Windows niet het enige systeem met lekken, of wel?

Even op hoofdlijnen een geen MS Windows OS geeft vaker een
veiliger gevoel. Om wat voor reden dan ook. Vaak is de
veiligheid van een OS te wijten aan kennis en kunde.

Het gaat niet zo zeer om het aantal lekken, of er wel of
geen lekker in zitten. Liever dat er veel minder grote gaten
in zitten dan een paar heel grote. Dat geeft je toch te
denken over het ontwerp.

Nu in detail.
Ten eerste gaat het om het type lekken:
- local exploitable
- remote exploitable
- DoS

Ten tweede waar de lekken in zitten.

Ten derde om risico en impact beperking.

Als het om risico beperking gaat. Is het helaas zo dat een
gat in MS Windows een hoger risico betekend. Dit is te
wijten aan het feit dat de kern van MS Windows meer code
bevat dan de kern van menig ander OS op de markt.

Ten vierde om beveiligbaarheid van het OS. (transparantie)

MS Windows is minder inzichtelijk op security en
technologisch gebied. Dit is handig voor de meeste
beginnende gebruikers, echter niet om een OS goed te
beveiligen.

MS Windows metname als het om Windows domeinen bevat een
brei aan ondoorzichtelijke door RPC aan elkaar geknoopte
oplossingen. GEEN eenduidige structuur. (dit geldt tevens
voor NIS en NFS). Dus je kunt er ook niet zo gemakkelijk
iets ongestraft wat uitslopen, dat niet nodig is.

Ten vijfde het motto:
Alles staat open tot het wordt dicht gezet. I.p.v. alles
staat dicht tot het wordt open gezet.

Ten zesde er zijn meer electronische vandalen (ook wel vaak
script kiddies genoemd). Die meer schade op een MS Windows
doos kunnen verrichten dan op een ander OS. Dit punt staat
zeer wankelend, maar is momenteel in de praktijk wel vaak
het geval.

Ten zevende, risico reductie:
Tevens biedt MS Windows weinig risico beperkende
mogelijkheden, behalve op het gebied van "security by
obscurity". Of er worden methoden gebruikt die gemakkelijk
te omzeilen zijn, zoals: Windows 2003 stack out of bounds
protection, MS Message Queue.

Andere OS'en bieden dit wel zoals*BSD met jailed
environments, Linux met chroot, SecureLinux en virtual
server (heel OS in een chroot).

Bla bla bla....ieder OS heeft zo zijn security lekken. Je blijft patchen dus het
maakt geen f*ck uit welk OS je beheert. Het gaat erom wie het beheert!

hier ben ik het mee eens

Hou nou eens op met dat technische gelueter over security.
Als mijn internetmachine gehackt wordt moet ik 'm opnieuw
installeren... big deal :-)

Als mijn kantoormachine gehackt zou worden, dat zijn
potentieel mijn complete administratie en mijn
klantenbestand in gevaar. BIG deal!!

Het gaat om informatiebeveiliging mensen, niet om
computerbeveiliging. Computerbeveiliging is wellicht een
onderdeel van informatiebeveiliging. Ik vind wel dat
iedereen die een machine aan een publiek netwerk heeft
hangen de plicht! heeft te voorkomen dat die machine
gebruikt kan worden om rottigheid uit te halen.

Als jouw internetmachine gehackt wordt merk je dat niet
eens. Maar als ie dan onderdeel uitmaakt van een ddos
attack, zoals blaster in zekere zin was, merken de andere
internet gebruikers dat wel. En als je dan ook nog je
internetmachine koppelt aan je bedrijfslaptop om snel wat
bestandjes uit te wisselen, merken je collega's ook dat je
internetmachine gehackt was.

Big deal.

Hoe groot is de bariere tussen Internet en je
bedrijfsnetwerk ? Wat staat er open ? Als je al kunt browsen
van af een MS Windows PC met MSIE met of zonder proxy ben je
op zich al kwetsbaar. Laat staan dat een crimineel of ander
kwaadwillende al is binnengedrongen op je DMZ netwerk. Het
is nl niet alleen je gegevens of je systemen die getroffen
worden, maar ook de naam van je bedrijf.

Je bedrijfsgegevens nog alleen op het interne netwerk maar
hoelang nog voordat je Internet gebaseerde koppeling maakt
met leverancies, klanten, en werknemers? Wel eens na gedacht
over de implicaties van MS dot Net? Niet allen op het
security gebied, maar ook hoe MS haar software gaat
aanbieden? Software by subscribtion? TCPA?

Informatie beveiliging ... je hebt blijkbaar een hoofdstukje
gemist ... als iemand je DMZ systemen beheerst kan die ook
je mail uitwisseling bekijken. Hoeveel interessante gegevens
daar wel niet in staan. Laat staan dat iemand van binnen uit
bij die gegevens kan komen.

Nog even voor de mensen die zo graag patchen. Patchen en
goede beheerders wil niet zeggen dat je je beveiliging ook
daadwerkelijk beheerst. Het gaat net zoals in
bedrijfsvoering om risico spreiding, dus accepteer je de
risico's gebonden aan de gebreken van een MS Windows
omgeving? Of kies voor risico reductie d.m.v. een anders OS
of alternatieve oplossing.

Nog steeds bla bla bla

Als dit allemaal zo'n bla bla is, waarom heeft de regering
dan een motie aangenomen waarmee alle overheids-instellingen
per 2006 verplicht zijn Open Source software te gebruiken?
Door deze motie is de overheid niet meer afhankelijk van een
enkele fabrikant - zelf als de hele Open Source wereld
instort kunnen ze nog steeds zelf lekken dichten etc.

Ik zei dus Hou op met dat technische geleuter!! Ik
heb zelf ruim voldoende kennis en ervaring (!) om mijn
netwerken te beveiligen. Dat is namelijk mijn vak, en dan
niet voor twee SOHO-machines die via een linuxdoosje aan een
adsl-draadje hangen. Ik doe technische consultancy voor
grote bedrijven (banken, verzekeraars).

Voor meneer anoniem die op 17 december om 19:37 gereageerd
heeft: Denk jij nu echt dat ik jou aan je neus ga hangen hoe
mijn beveiligingssituatie in elkaar zit?
En wat bedoel je met: .
Ik heb sterk de indruk dat jij nog nooit BS7799 hebt
gelezen. Ga dat eerst eens doen en kom dan maar terug met
een paar relevante opmerkingen, snotneus.

Een vraag aan het persoon BS7799/ISO17799-2:2003. Zeker nog
een kopie van de rainbowbooks op de plank er naast ligggen?

De theorie waar naar je verwijst, is allemaal leuk en aardig
en het is leuk voor je dat je het in praktijk kunt brengen
in organisaties die zeer gericht zijn op organisatorische
beveiliging. Echter de wereld is groter dan je eigen
kantoortje.

Dus waarom heb je zo'n aversie tegen een technische
discussie van beveliging? (waarom reageer je uberhaupt op
dit forum ?)

Heb je Bruce Schneier boek: Secret and lies wel eens gelezen
... een aanrader ... hopelijk zie je dan ook in dat in de
praktijk kan de theorie niet zonder de praktijk, in theorie wel.

pff, [color=red]flame flame[/color]
Te grote egotjes, dat staat me zo tegen in de ICT he..
Laten we afspeken dat IEDEREEN de slimste is en iedereen in zijn
vakgebied zijn best doet!

Niet alleen de rainbow books; ook Common Criteria :-) En ik
heb hel niet alleen gelezen, maar begrijp ook nog wat er in
staat :-)

Wat ik tegen technische beveiliging heb? Dat iedereen zo
door draaft. "Je netwerk is pas veilig als er een firewall
en een IDS en een filtering router en nog een firewall en
een dmz en alles geproxied etc. etc. ". Heb je wel eens
nagedacht dat dat allemaal geld kost? En dan bedoel ik niet
de aanschafkosten, maar de beheerkosten. Firewalls en
dergelijke zijn geen dozen die je in een netwerk schuift
waarna het opeens veilig is, het is een nieuwe
infrastructuur die blijvend beheer behoeft. Aangezien dat
(veel) geld kost, moet je je dus voor je technisch gaat
beveiligen eerst eens kijken naar wat je nu eigenlijk gaat
beveiligen. Dat heet een risico-analyse maken. Aan de hand
daarvan kun je afwegingen gaan maken met betrekking tot
kosten om die risico's af te dekken.

Wat dacht je van de menselijke aspecten van beveiliging? Leg
jij maar eens aan gebruikers uit waarom ze bepaalde dingen
niet meer kunnen of mogen. Leg jij dat maar eens aan de
algemeen directeur uit! Bij mijn klanten is dat niet zo'n
groot probleem, bij vooral bedrijven in het MKB is dat wel
een probleem.

Als jij zo van boeken lezen houdt, dan heb ik nog wel twee
tips voor je.
- The art of deception, Kevin Mitnick. Wordt langdradig, na
een paar hoofdstukken heb je zijn punt wel begrepen. Dit
boek geeft mooi aan dat de mens nog altijd de zwakste
schakel is. (En blijft!)
- All in one CISSP study guide. CISSP is een hele brede
verkenning van het security vakgebied, en bevat naast
computerbeveiliging ook fysieke beveiliging en disaster
recovery (is ook beveiliging :-). Gewoon om je horizon te
verbreden... techneuten kunnen dat best gebruiken :-P

Tja...... *zucht*.

Wat vinden jullie van hostbased firewalls? Dus niet ergens
een DMZje maar ieder onderdeel van de infrastructuur heeft
zijn eigen firewall (& definitie).
(Ja, ik weet dat het op dit moment moeilijk te beheren is,
maar afgezien van dat........)

Afgezien van het lastige beheer dat je al noemt heb ik de
ervaring dat het op workstations niet zo best werkt.
Gebruikers hebben de neiging die pop-ups na een tijdje te
gaan negeren.

Op servers biedt het een extra laag beveiliging, en
aangezien de configuratie van een server niet zo vaak
wijzigt denk ik dat het daar wel een zinvolle toevoeging is.

Windows is niet alleen een besturingssysteem met bewezen
veel beveiligingslekken. Het is ook het enige systeem dat
het onder de EULA onmogelijk maakt eigenhandig (potentiële)
lekken te verwijderen.

Μπας

Jalla jalla jalla. Beveiliging hier en beveiliging daar. Firewalls, proxy's,
BS7799/ISO17799-2:2003-dinges en dergelijke zooi. Als het inderdaad zo
veilig moet zijn moet je gewoon geen gebruik maken van computers.

Onzin.

Als Linux dan onkraakbaar is? Waarom is er dan zo veel malware in de playstore?
Als Windows dan onkraakbaar is? Waarom zijn er dan zo veel virussen voor?

Ik ben blij dat IBM weg is, anders zaten we nu met OS/2 RAP te werken. Oh. Het kan nog erger.