Joh?

In een perfecte wereld kun je gewoon poort 135, 137, 138 en 445 naar het internet open zetten, want in een perfecte wereld is iedereen eerlijk naar elkaar.


Dan snapt hij niet waarom NSA naar dit soort bugs zoekt. Als ze het direct zouden melden is voor hun de reden naar het zoeken naar de bugs weg en blijven ze ook ongepatched. Het zou juist MS moeten zijn die naar bugs in hun eigen code zoekt.

Naar ik begrepen heb, heeft de NSA deze bugs direct gemeld aan MS, toen men door had dat ze gestolen waren. Meer kun je niet verwachten van de NSA, gezien hun doelstellingen.

Inderdaad..........
Helaas moeten wij ons ook nog beperken tot symptoom bestrijding en kunnen we de oorzaak niet wegnemen.
Om er voor te zorgen, dat de Amerikanen minder vrienden krijgen wellicht? :-)

De NSA denkt nog in massavernietigingswapens.... Als wij de aarde in 20 minuten tijd 10 keer kunnen vernietigen en de russen de aarde 12 keer kunnen vernietigen... dan lopen we achter....

Hun beperkte hersencapaciteit en jarenlange hersenspoeling zijn ze hun eigen propaganda gaan geloven daar in de VS...

Jammer dat de ene overheids organisatie niet snapt dat de gevolgen zijn voor een andere overheids organisatie...
Dus als de CIA een regering omver helpt die pro-rusland is, dan heeft de NSA daarna last ervan.
Wat ze ook niet snappen is dat de aarde 1 keer compleet kunnen vernietigen al te veel macht op 1 plek is... laat staan als de VS een paar Castle Bravo's dropt... 20.000 stuks is genoeg om alles weg te vagen... natuurlijk is 200 al voldoende om elke mens op deze planeet te vernietigen, al duurt het dan wellicht een week ipv 20.000 stuks die het in 15 seconden kunnen.

Het gebruik van exploits tegen de vijand (die dankzij een president (bijvoorbeeld Bush of Reagan) van vriend (Iran, Iraq, Afghanistan, Cuba, Korea, Vietnam, Rusland) naar aardsvijand #1 kunnen gaan in 1 week.) is dan ook zinloos... Net als een kleuter die geflitst wordt .. "ja maar jij reed ook 110km/h om mij aan te houden"... of "pietje heeft ook een dropje gejat"...

Je bent verantwoordelijk voor je eigen acties... en nou hebben ambtenaren daar zowiezo al moeite mee... maar CIA, NSA en de VS in het algemeen wel heel erg bijzonder veel...

Eerst de regering omver werpen omdat de president pro rusland blijft, en dan miepen over dat de russen hun belangrijkste haven, zee doorgang en fabrieken proberen veilig te stellen...

Het inrichten van (complexe)netwerken kent een aantal problemen. Veel bedrijven huren kennis in. Grootste nadeel is het gebrek aan kwaliteitscontroles hierop. Alles gaat hier om details en precies werken.

Daarnaast is er vaak gebrek aan kennis dit goed te beheren/monitoren.

Ergste van alles is het gebrek aan change management. Elke route, firewall regel, vpn tunnel en NAT regel moet te verklaren zijn en te herleiden tot een dienst of service. UTM moet laten zien welke risico's voorzien zijn en hoe dit het beste beveiligd dient te worden. Dit actueel houden is lastig.

Vele IT afdelingen doen het netwerk er even bij. Werking is belangrijker dan de veiligheid in veel gevallen. Terwijl met vrij weinig middelen je alles door 1 of meerdere UTM's kan routeren. Kortom afdekken doe je op een aantal lagen.

Een vertrouwd netwerk is dat niet meer zodra (bewust of onbewust) onvertrouwde software op 1 of meer devices aan dat netwerk draait en/of 1 of meer gebruikers securitynoobs of onvoldoende betrouwbaar zijn. Met de groei van het aantal op (thuis- maar ook bedrijfs-) netwerken aangesloten devices en zwaar achterblijvende security awareness van gebruikers vormen theoretisch "vertrouwde netwerken" in de meeste gevallen een ernstig vals gevoel van veiligheid, vooral omdat er zelden gemonitord wordt.

Je zou elk device met WiFi en/of LAN koppeling out-of-the-box direct op Internet moeten kunnen aansluiten zonder risico's op compromittering (hooguit (D)DoS aanvallen). Het is een schandaal dat Microsoft deze les nog steeds niet geleerd heeft, maar ook dat "security professionals" om het hardst roepen dat je Microsoft crap natuurlijk achter een firewall draait. Want firewalls (en NAT routers) zijn kansloos zodra een netwerk niet vertrouwd meer is. Kijkend naar het aantal succesvolle phishingaanvallen (zie bijv. [1]) boffen we dat cybercriminelen niet veel doortastender zijn.

[1] https://www.security.nl/posting/516188/Honderden+organisaties+VS+slachtoffer+van+phishingaanval

Routers en firewalls zijn zo lek als een mandje. Wonderlijk genoeg komen doe niet van ms maar draaien gewoon lijk een variant van het onfeilbate ...
Security begint met te beseffen waar je mee bezig bent. En bashing valt daar niet onder. Punt

STRONT KOMT ALTIJD NA DE MAALTIJD!

Gelijk heb je. Besef waar je mee bezig bent en doe daar wat mee want niets doen is ook een veel genoemde optie.

Jammer dat je in je post toch nog dat doet waarvan je zelf aangeeft dat dit er net onder valt.

Gelijk heb je. Het ergerlijke is dat voor kwaliteit iets o


tegenwoordig geen belangstelling blijkt te bestaan.
Men zoekt een groep waar je bij wilt horen en dan anderen gaan afkammen. Alsof er es vijand nodig is. Niet echt positief.

Je lijkt pas aandacht te krijgen als je weerwoord biedt. Niet de makkelijkste weg, maar zie jij een andere?

Ja hoor, elke dag opnieuw.

Lul niet, op elke Windows PC draait, out of the box, een MICROSOFT firewall.

Uit https://www.microsoft.com/en-us/safety/pc-security/firewalls-whatis.aspx:
Je hebt wel volkomen gelijk dat deze in Windows ingebouwde MICROSOFT firewall waardeloos is bij virussen (want die verspreiden niet via netwerkprotocollen) maar ook waardeloos is in het geval van computerwormen zoals Blaster, Code Red, Nimda, Slammer, Netsky, Bagle, Mydoom en nu WanaCry (of andere SMB wormen die de komende maanden zullen volgen) omdat die via poorten lopen die deze "firewall" standaard open zet. Voor geen enkele andere softwarefabrikant hebben ooit zoveel wormen bestaan, terwijl het merendeel van de besturingssystemen die JIJ altijd basht vaak direct aan internet hangen en sinds de Morris worm (1988) gehackte systemen vooral zijn terug te voeren op default of onveilige wachtwoorden of op PHP gebaseerde crap.

Maar ON TOPIC is hier het zoveelste lek in Windows dat via het netwerk jarenlang uitgebuit kon worden door de NSA met nu een worm erachteraan. En ik stel een m.i. terechte vraag hoe we permanent van deze ellende afkomen!

Volgens Microsoft los je dat op met een perimeter firewall (die jij waardeloos vindt maar die Microsoft vroeger zelf ook maakte), zie https://technet.microsoft.com/en-us/library/security/ms06-040.aspx
Vergelijkbaar advies geeft Microsoft heel vaak, o.a. in:
https://technet.microsoft.com/en-us/library/security/ms02-045.aspx (Unchecked Buffer in Network Share Provider),
https://technet.microsoft.com/en-us/library/security/ms03-039.aspx (DCOM/RPCSS: Block UDP ports 135, 137, 138, 445 and TCP ports 135, 139, 445, 593 at your firewall and disable COM Internet Services (CIS) and RPC over HTTP, which listen on ports 80 and 443, on the affected systems),
https://technet.microsoft.com/en-us/library/security/ms04-011.aspx (LSASS: Block the following at the firewall:UDP ports 135, 137, 138, and 445, and TCP ports 135, 139, 445, and 593; All unsolicited inbound traffic on ports greater than 1024; Any other specifically configured RPC port)
https://technet.microsoft.com/en-us/library/security/ms04-029.aspx (RPC runtime library),
https://technet.microsoft.com/en-us/library/security/ms05-051.aspx (MSDTC and COM+: Block the following at the firewall: UDP ports 135, 137, 138, and 445, and TCP ports 135, 139, 445, and 593. If installed, COM Internet Services (CIS) or RPC over HTTP, which listen on ports 80 and 443),
https://technet.microsoft.com/en-us/library/security/ms06-008.aspx (Although WebDAV uses TCP port 80 for outbound communication, TCP ports 139 and 445 can be used inbound to attempt to connect to this service and try to exploit this vulnerability. Blocking them at the firewall can help prevent systems that are behind that firewall from attempts to exploit this vulnerability),
https://technet.microsoft.com/en-us/library/security/ms06-040.aspx (server service),
https://technet.microsoft.com/en-us/library/security/ms07-058.aspx (RPC),
https://technet.microsoft.com/en-us/library/security/ms08-067.aspx (server service),
https://technet.microsoft.com/en-us/library/security/ms09-050.aspx (SMBv2 lek),
https://technet.microsoft.com/en-us/library/security/ms10-020 (SMB client lek),
https://technet.microsoft.com/en-us/library/security/ms10-095.aspx (WebDav lek),
https://technet.microsoft.com/en-us/library/security/ms11-003.aspx (webclient),
https://technet.microsoft.com/en-us/library/security/ms11-025.aspx (MFC insecure library loading),
https://technet.microsoft.com/en-us/library/security/ms11-057.aspx (telnet handler),
https://technet.microsoft.com/en-us/library/security/ms12-014.aspx (Indeo codec),
https://technet.microsoft.com/en-us/library/security/ms12-074.aspx (.NET Framework Insecure Library Loading),
https://technet.microsoft.com/en-us/library/security/ms14-023.aspx (MS Office),
https://technet.microsoft.com/en-us/library/security/ms13-036.aspx (Win32k font parsing - ook MS13-053 en MS13-054),
https://technet.microsoft.com/en-us/library/security/ms14-023.aspx (MS Office) en nog minstens 3 andere MS14 bulletins,
En ook daarna gaat dit verder (roep maar als je meer urls wilt).

Het SMB protocol is zelfs zo onveilig dat MICROSOFT adviseert om een firewall tussen je PC en Internet in te zetten die uitgaand SMB verkeer blokkeert: https://support.microsoft.com/en-us/help/3185535/guidelines-for-blocking-specific-firewall-ports-to-prevent-smb-traffic-from-leaving-the-corporate-environment. Waarom zou dat verkeer (waarin wachtwoordhashes kunnen worden gelekt gedeeld met potentieel niet vertrouwde systemen, of erger, een ring-0 exploit mogelijk was via antwoordpakketjes naar DFS en SMB clients, zie https://blogs.technet.microsoft.com/srd/2011/06/14/assessing-the-risk-of-the-june-security-updates/) wel velig genoeg zijn op een "intern" netwerk?

Microsoft protocollen, met name SMB en alles wat daarmee te maken heeft (CIFS, mailslots or named pipes (RPC over SMB), Server (File and Print Sharing), Group Policy, Net Logon, Distributed File System (DFS), Terminal Server Licensing, Print Spooler, Computer Browser, Remote Procedure Call Locator, Fax Service, Indexing Service, Performance Logs and Alerts, Systems Management Server, License Logging Service etc.) zijn aantoonbaar ongeschikt voor een niet-vertrouwd netwerk - en Microsoft zegt dit zelf.

Mijn bijdrage heeft dus NIETS te maken met bashing, maar betreft een aantoonbaar groot risico door een veel te groot aanvalsoppervlak. En het gaat niet alleen om SMB-achtige diensten, maar ook om WPAD, NBNS, UPNP, Teredo en andere tunnelingprotocollen die allemaal standaard aan staan. Waarom luisteren end-user PC's met Windows standaard op zoveel poorten? Waarom moet elke Windows PC een server zijn? Dit is vragen om rampen zoals WanaCry.

Dat ben ik niet met je eens. Ik verwacht dat de NSA zulke bugs kort (maandje ofzo) na de ontdekking gebruikt om in vijandelijke netwerken binnen te dringen en deze daarna direct bij MS meldt, zodat de bug gefixt kan worden.

Vergeet niet dat de NSA niet alleen voor SIGINT verantwoordelijk is, maar ook voor de verdediging van de systemen van de Amerikaanse overheid. Hier hebben ze in dit geval zwaar verzaakt, aangezien ook deze systemen ten minste 5 jaar niet tegen deze bug beveiligd waren!

Waarom staat standaard binnen Windows het protocol "File and Printer Sharing for MS networks" aan?
Ik denk dat standaard uitzetten tijdens de installatie heel wat probleem voorkomen hadden kunnen worden.
Alleen op een fileserver is deze noodzakelijk en zelden op een Win7/10 werkplek.

Standaard horen alle poorten dicht te staan, de gebruiker moet de mogelijkheid hebben om hierover te beslissen.
Iedere open poort is tenslotte een potentieel gevaar.

Zegt degene die een zin ervoor aan het bashen was.
Interessante zin voor iemand die suggereert belangstelling voor kwaliteit te hebben.

Je bent lekker op dreef, karma4. Amuseer je je een beetje?

Ik wel ken je de verhalen rond Gandi. Op het moment dat de andere partij jouw belachelijk probeert te gaan maken weten ze kennelijk niets anders meer.

Mijn (vandaag 00:58) doel is niet om jou belachelijk te maken, maar om op basis van argumenten (waar ik veel tijd in stop) jouw ongelijk aan te tonen.

Als je mijn argumenten slechts op deze wijze weet te "pareren" is er maar één die jou belachelijk maakt, en dat ben jijzelf.

Laat iemand mij maar eens uitleggen, waarom het dubbel extensie probleem bij M$ zo vele jaren na dato nog steeds niet is verholpen.

Steeds hoor je, dat gebeurt nu binnenkort, laatst weer via Wilders vernomen van in augustus, maar we wachten nog steeds nu na zo vele infecties. Vraag ik me af, wat is dan de grondhouding en de achtergronden van het open blijven staan van de ellende?

We hebben een a priori onveilige infrastructuur nodig om te kunnen "rommelen" en de gewone man merkt het toch niet is dat de algemene mores? .... en de beslissingnemers zonder verstand van IT vertellen we ook een verhaaltje.

WannaCry en het verschil tussen twee versies een onveilige SMB v 1 en een veiliger versie. Mono-cultures maken het allemaal nog erger.

Ga je met je inzicht van IT logisch nadenken over het beveiligingslandschap, dan ga je je steeds meer verbazen.

Conclusie: Er kloppen zaken niet en Pandora kan niet meer terug in de doos.

Dat hele probleem zou er niet zijn, wanneer de file extensie standaard zichtbaar was.
Nu moet je het bewust aanzetten, maar hoeveel mensen weten dat en doen dat?

Nee, ik wees je alleen maar op je eigen inconsistenties. Ik probeerde je een spiegel voor te houden. Je suggereert dat bashing niet je norm is maar het is precies wat je zelf deed. Je reageerde op MS-bashing door er Linux-bashing (al insinueerde je Linux zonder het bij naam te noemn) tegenover te stellen. Je suggereerde dat kwaliteit er voor jou toe doet in een zin die qua inhoud en layout zo rammelde dat ik mag hopen dat dat niet het kwaliteitsniveau vertegenwoordigt dat je toepast als security in het geding is.

Je schreef ook:
Je weet inderdaad aandacht te krijgen op deze website, daar slaag je goed in. Maar waar je behoorlijk slecht in slaagt is om je argumenten goed over te brengen of om de argumenten van anderen goed tot je door te laten dringen. Je "weerwoord" is vaak onbegrijpelijk, komt vaak over als een onsamenhangende brei van jargonwoorden, en als anderen (inclusief ik, ik heb verschillende keren inhoudelijk op je gereageerd) jou weerwoord geven dan reageer je vaak als een trol door consequent de essentie van wat gezegd wordt te missen en in plaats daarvan naar je eigen stokpaardjes toe te interpreteren.

Dus wat voor aandacht wil je eigenlijk? Wil je als een trol persoonlijke negatieve aandacht genereren of wil je aandacht voor inhoudelijke punten die je maakt? Als je het laatste wilt dan zie ik inderdaad een andere weg: reageer op wat anderen daadwerkelijk schrijven en niet op wat je vermoedt dat ze er wel mee zullen bedoelen, laat kritiek tot je doordringen, misschien hebben de kritici wel een punt, en lees je reacties kritisch na voordat je post en corrigeer ze tot ze duidelijk zijn.