Hoezo wannacry... zou deze ook bij NSA in het arsenaal zitten.
Hoe gaan al die iot devices een update krijgen?

is bij mij vanmiddag al gepatcht!
yay voor open source!

~dodo

Dappere dodo het gaat er niet om hoe snel jij de patch bij jou thuis kan aanbrengen.
Het gaat er om hoe snel alle machines bijgewerkt kunnen zijn.
Het gaat er om hoeveel misbruik er van gemaakt is (en zou kunnen) voordat de fout gevonden is.
Het gaat er om dat er geen nieuwe fouten bij gemaakt worden die je nu nog niet weet.

Bij wannacry was de fix a twee maanden beschikbaar en uitgerold bij wie volgde voordat het geemmer begon.
Dan bleek de worm in XP niet eens te werken. Een te oud systeem waarvoor geen interesse meer voor was.

Even afgezien zoals gemeld alle IOT of NASsen die niet meer ondersteund worden en gewoon blijven draaien. Gebruikers die het ooit eens geinstalleerd hebben, maar er nooit meer naar om kijken. Juist het punt wat aangehaald wordt.

Nee... Het is nu een change inschieten en deze testen en inplannen in een beschikbaar change window. Die niet ergens moet spoed aangevraagd worden.

dus ik zeg hulde voor het tempo!

OS staat hier helemaal los van. Je moet nog steeds je complete tests uitvoeren. Je past iets aan. Waarbij een 3de partij software primaire functionaliteit bied aan clients, dus moet je alles door testen.

Waarop je nu niet kunt plannen, en dus vanalles moet gaan aanpassen. Bedrijven zitten hierop niet te wachten. En niets is risicoloos, regel 1 van change management. Er is altijd een risico. Dat is geen regenen om je tests aan te passen.

Game changer.... Je kunt er niet op plannen, dus is niet voorspelbaar. Dus.... Security technisch niet gewenst. Want of je wacht nu maar, of release schema's van applicaties moeten aangepast worden (je weet wel, waar het bedrijf zijn geld mee verdient). Wat denk je dat het dan wint? Je wacht maar tot het volgende eerst volgende mogelijkheid.

Waarbij je nu ook nog eens afhankelijk bent van eventuele NAS leveranciers, die nu deze patch eerst zelf moeten testen. Voordat jij hem kan testen.

Weet iemand wanner SONOS een update op hun luispreker system uitvoert?

Ik weet niet in welke wreld jij leeft.. Je ziet een patch en beweert zonder onderzoek / test dat het risicoloos doorgevoerd kan worden. Elke verandering / update is per definitie met een risico verbonden. Dat is standaard in elke organisatie inclusief de wetenschappelijke wereld.
Je had het over CERN, dus: https://cern.service-now.com/service-portal/ssb.do?area=IT&&tab=transitions
OSS kijk dan eens series naar: http://openlab.cern/resources/press_release/cern-and-leading-ict-companies-collaborate-through-cern-openlab-tackle "Huawei, Intel, Oracle, and Siemens are all partner companies for the new phase of CERN openlab. Brocade, Cisco, IDT, Rackspace, and Seagate are contributors, while Yandex is an associate member."
Dat soort bedrijven doen het gratis en voor niets, dacht het niet. Wetenschap is gewoon big business.

Voor alle devices waar de leverancier geen updates meer van ondersteund, maar waar je wel de smb.conf kan aanpassen:
https://forums.freenas.org/index.php?threads/ugly-mitigation-for-remote-code-execution-vulnerability-in-samba.54791/

En daar staat:

Je beweerde eerst dat elke patch zo geïnstalleerd kon worden en in je antwoord hier zeg je dat weer. De fabrikant kun je vertrouwen, je hoeft zelf niet na te denken. Ik he genoeg ervaringen waar dat beschaamd is en dat gaat niet over kleine fabrikanten. Er is een verschil in geloof en de echte werkelijkheid.

Fabrikant georiënteerd met een ersoonlijke mening niet op het business proces als geheel. Het lijkt meer de inkoper houding.

Onbetaalde support door fabrikanten bestaat niet. De rekening gaat ergens heen, als onderdeel van het aanbestedingscontract of een voort wat hoort wat constructie. Je zegt dat je het niet over gratis hebt en gratis support door fabrikanten in één zin. Hoe erger kronkelig kun je je zelf tegenspreken.

De verwijzing naar rocket science is aardig. Een klassiek voorbeeld van uitbesteding onder het mom van wetenschap.


Oude koek werd lang geleden al gepromoot (eerste versies uit 1960). Kijk naar de sites https://nl.wikipedia.org/wiki/LOFAR
http://www.lofar.org/about-lofar/about-lofar en je ziet het hele budgetteringsverhaal en de uitbesteding.
Het is big data uit de oude doos met streaming processing.

De huidige big-data setting is veel meer gegroeid uit de marketing met statistiek waarbij de sociale menselijke gegevens opgepakt worden. Als je dat onderscheid niet eens door hebt met andere context andere belevingswerelden dan ben je gewoon geblokkeerd. Je komt met reacties niet verder dan dat het om Linux gaat, niet om het geheel.
Met de hoeveelheid verschillende zaken die je aanhaalt geef je aan dat je er niet echt deel van uitmaakt. In de wetenschappelijke wereld mag je toch informatie open en eerlijk delen.
Sorry ik kan niets delen mijn wereld bevat te veel persoonlijke gegevensverwerkingen. Juist daar mag een en ander verbeterd worden zonder dat "OS Linux is alles" geschreeuw.
Ah snap dat je gek bent op Oracle http://www.oracle.com/us/corporate/press/301264 "Oracle WebLogic Server Selected by CERN to Manage HR and Administrative Applications"

Even terug naar het topic.
7 jaar een ernstige fout in open source Samba SMB en iedereen kon het zien maar niemand keek er naar. Dan ineens als iemand een fix gaat leveren dan moet het in zo kort mogelijke tijd uitgerold worden. Ik vind dat een topprestatie van kortzichtigheid. Inmiddels zal het her en der in allerlei embedded systemen voorkomen. Durf je nog met de auto weg, hoe staat het met de pacemaker, wat met een trein.. als hij rijdt?
Een prachtige prestatie van blindheid.

Gelukkig niet. Ik heb niet alle wijsheid (gelukkig niet). Ik heb wel een hoop ervaring in beheer en change management.
Daar kan ik wel uit spreken. En dan zie je dat de praktijk vaak heel anders is dan de theorie.

nein dat beweer ik niet. ik beweer dat er systemen en fabrikanten zijn die wel snel patchen kunnen en dat je er van uit kunt gaan bij hen dat je die vlekkeloos kunt installeren zonder down time en issues. die systemen en fabrikanten hebben een betere kwaliteits controle en systeem architectuur misschien?[/quote]Meestal leveren OS leveranciers een OS met bepaalde services. Dit kunnen database, webserver of iets dergelijks zijn. Daarop draai je weer je eigenlijk applicaties, waarop het bedrijf, zijn bedrijfs processen heeft lopen.
Je kunt ongeacht je OS leverancier er niet op vertrouwen dat je bedrijfs applicaties geen impact hebben op een update van je OS leverancier. Hoe mooi de architectuur of wat dan ook mag zijn.
Belangrijker is, hoevaak, je iets moet aanpassen, en hoevaak je controle hebt, over wanneer je dit kunt uitvoeren.

Mooi voor jullie.

Risico is ook dat nu in eens spoedchanges moet hebben, je kunt dat 1 of 2 keer hebben. Maar daar heb je gewoon pech. Als jij niet kan plannen, is dat niet mijn plannings probleem.



Voor een change proces maakt dit niet uit, en is niet van belang. Of een server nu moet rebooten of alleen de services even weg is. Er is impact, dus moet het geplanned worden in een change window.

Daarnaast, er vind een wijzing plaats, dus moet je je applicaties hier tegen testen. Juist Business applicaties moet je goed door testen hierop. En daar heeft je standaard L / M leverancier weinig over te zetten, tenzij je alles van 1 leverancier afneemt. Dat is juist de kracht van 1 leverancier.

Daarnaast, veel reboot? Mijn MS patches installeren bijna altijd met 1 reboot. Een enkele keer een extra reboot. Maar die kun je tegenwoordig op je handen tellen. Daarnaast, het is een change windows, dus tussen 22:00 en 04:00 mag er gewoon impact zijn Daarna wordt de productie omgeving weer opgestart. Of jij nu 5 minuten nodig hebt, of 2 uur. Maakt niet uit. Daar is een change Window voor.
traag update mechanisme.... Windows Update heeft vroeger wat traagheid gehad. Maar in een bedrijfs omgeving, gebruikt je standaard al geen Windows Updates, maar WSUS, SCCM of een andere tool voor centraal beheer. Traag is dus dan ook niet aan de orde.

Mooi dat je 20 jaar praktijk ervaring hebt... Maar duidelijk niet in een Enterprise omgeving met dit soort acties. Dit is totally not done, en gaat tegen alle processen en certificeringen in (ISO, ITIL). Dingen veranderen zonder documentatie of approvals en buiten change windows. Alleen de gedachte al dat mensen zo denken. Dit zegt iets over de kwaliteit en de denk wijze van iemand. Totaal onverantwoordelijk.

Bij menig bedrijf is dit meteen een officiële waarschuwing.

En 20 jaar praktijk ervaring..... Ik heb meer personen dat horen zetten. Daarna hebben we wel een maand ellende gehad, wat breed in het nieuws is uitgemeten. Gewoon iemand die even dacht dit kan ik wel doen.


Je denkt weer vanuit de techniek. Je voert een change uit, dus

Beide auto's hebben gewoon onderhoud nodig op afgesproken tijdstippen. Sommige kun je alleen beter plannen dan andere. Iets waar planning altijd blij mee is. Want dan kunnen ze om die dag heen plannen. Zo heb je geen klanten die ontevreden zijn dat de auto onderhoud nodig heeft.
En die dag staat de auto in de garage, en kosten ze dus geld.....

De meeste W changes zijn gewoon goed voorbereid. Het zijn juist de L changes waar we het meest over moeten praten. Die impact is veel groter en wordt vaak onderschat. Beheerders die juist denken zoals jij spreekt. Die duidelijk denken alleen maar vanuit de techniek, en daarom met oog kleppen denken. Het valt allemaal weel mee. Nee... Zo werkt het niet in de echte wereld.
Er vind een wijziging plaatst op een systeem, dus moet het systeem plat en is er dus directe impact voor het bedrijf of fabriek
Jij voert je wijzing door, en daarna start de applicatie weer op en moet het test plan uitgevoerd worden of alles weer goed werkt. De systemen zijn officieel pas weer beschikbaar aan het eind van de change windows, en dan wordt het final test plan uitgevoerd.
Jouw wijzing van misschien 5 minuten, kost het bedrijf uren. Dit scheelt natuurlijk wel per change, maar zit de wereld wel in elkaar. Dit wil je niet even ad hoc uitvoeren, dus zijn er change windows die al een jaar van te voren bekend zijn. Zodat iedereen weet wanneer de fabriek even mag stoppen of wanneer bedrijfs applicaties plat mogen gaan.

Voor de L changes, zijn het huist de beheerders die veel te gemakkelijk denken, waardoor de change afgewezen wordt.
De W changes, zijn beter voorbereid, mede omdat deze veel meer ervaring hebben in changes en de voorbereidingen hiervoor. En (wat jij graag wilt horen) ze draaien vaak KA en niet BA (lees vaak dus Windows draait ook zeker een groot gedeelte van BA). Kantoor automatisering is minder kritiek, en dus minder risico voor een bedrijf.
Windows wordt gewoon iedere maand gepatched, iets wat nodig is, maar ook alles is hiervoor uitgewerkt. Voor Linux, kunnen we niet plannen, dus wordt meestal opgespaard en 1 keer per kwartaal gedaan.


Het probleem is juist vaak dat men denkt vanuit de techniek. En Techniek is alleen maar ondersteunend.
Mijn OS is beter dan Jouw OS want.....
Ik heb een Phd en jij lekker niet.
Waar werk jij?

Beetje oogkleppen denken en vooral niet zien dat ieder OS zijn goede en slechte eigenschappen heeft.
Iedere update een risico is.
De beste techniek niet de beste oplossing hoeft te zijn voor een probleem.

Dat men vooral het andere OS als een probleem ziet, Maar spreek nooit iets verkeerd over mijn OS, Maar nooit naar zich zelf eens kijkt, want daar is een hoop op te verbeteren.

En Theorie en praktijk liggen vaak heel ver uit elkaar. Dat is mijn ervaring..... Maar zodra je daarover begint, ben je een troll of OS Fan.

Dat is inderdaad vanuit de techniek. Op jouw doos draait een dienst. En het draait om die dienst, en niet die doos. Of jij 1 of 10 dozen hebt draaien, of jij 1 minuut of 5 uur nodig hebt voor jouw updates. De dienst is uit de lucht, of krijgt onderhoud en de kans op verstoringen is aanwezig.

Hoe mitigeer jij die? En zorg jij dat op het einde van jouw change, de omgeving goed draait.

Nee..... Aan de W changes heb ik het minste werk, die hebben ervaring als er ergens weer eens een systeem uitlicht, hoe de gebruikers dit ervaren. Immers de meest calls komen eerst bij hun uit, en daarna mogen hun gaan uitzoeken wel systeem (networking, Linux, Windows) niet goed werkt. De L changes moet ik het vaakst terug zetten, omdat die beheerders alleen maar denken vanuit de techniek ik krijg altijd de opmerkingen: Mijn leverancier heeft dit al getest, onze patches zijn veel stabieler. Tot dat ik ze vraag, heeft jouw leverancier ze ook getest tegen onze systemen? Bijvoorbeeld onze Legacy Unix, Legacy Windows, onze VMS? Daarna zie je ze meestal terug lopen.

Fijn voor jouw. Je opmerking zegt wel weer iets.

Om een gemiddelde multinational of overheid, of energie leverancier, of telecombedrijf te vergelijken met dit soort highend ICT bedrijven. Tja.... Je opmerking zegt wel weer iets.

Problemen kan ik op 1 hand tellen. De onverwachte issues uit L changes zijn veel groter. Omdat ze toch ergens iets vergeten waren, of meer deden dat ze vertelde.

Opmerking zegt eigenlijk ook al weer genoeg.

De fabriek heeft voorspelbaarheid nodig, en blijkbaar kan Linux dat niet leveren (iets met beste gereedschap). Dus vinden ze het te lastig. Mede omdat ze vaak de impact verkeerd inschatten (Nee Linux beheerder je kunt niet even MySQL updaten zonder dit met de ontwikkelaars te bespreken, zodat hun dit ook kunnen testen).
Ik zou inderdaad wel graag meer beheerders willen die net even boven de techniek denken. Wat is werkelijk de impact van de change voor de omgeving. Niet zomaar blind updates installeren, eerst een goede impact analyse maken (en nee dat is niet een diff van de sources, of welke commando's je moet uitvoeren, want dat zijn de antwoorden die ik dan terug krijg)
De techniek beheren ze perfect, daar heb ik totaal niet over te twijfelen. Techniek is alleen niet alles, en daar schoort het aan.

Misschien heb jij er geen last van, maar dat wil niet zeggen dat andere dit niet hebben. En ik kom bij heel wat grote en kleine bedrijven binnen. Er wordt veel te vaak in techniek gedacht.....

Nu lig ik echt in een deuk. Ik ben echt die anoniempjes niet. Laat 4amrak zich kennen als https://en.wikipedia.org/wiki/NetworkManager een uitvoerend systeembeheerder op OS niveau in een niet professioneel gecontroleerde omgeving waar hij zelf wat hobbied.

Moira had net geconstateerd dat de beheerders in de L wereld het grootste probleem zijn. Laat dat nu hetgeen zijn wat ik constant loop te posten maar de L heren zelf ontkennen.

Hoeft je niet uit te leggen hoor. Ik heb het wel door wat voor spelletje er gespeeld wordt.
Nu nog de argeloze meegluurders,