image

Multifactor-authenticatie Microsoft was door lek te omzeilen

donderdag 16 augustus 2018, 11:47 door Redactie, 33 reacties

Door een beveiligingslek in de Active Directory Federation Services (ADFS) van Microsoft was het mogelijk om de multifactor-authenticatie van accounts te omzeilen. De kwetsbaarheid bevond zich specifiek in het ADFS-protocol voor de integratie met multifactor-authenticatieproducten.

Hierdoor kon de tweede factor van één account als tweede factor voor alle accounts in een organisatie worden gebruikt, zo laat securitybedrijf Okta weten dat de kwetsbaarheid ontdekte. Om misbruik van het beveiligingslek te maken waren er wel echter verschillende vereisten waar aan moest worden voldaan.

Zo moest een aanvaller de gebruikersnaam en het wachtwoord van account "a" hebben, alsmede de tweede factor. Wanneer de aanvaller op een account "b" wil inloggen moet hij nog steeds de gebruikersnaam en het wachtwoord van dit account hebben. Daarnaast moeten zowel account "a" als "b" onderdeel van dezelfde Active Directory (AD) organisatie zijn.

Andrew Lee van Okta erkent dat de aanval de nodige vereisten heeft. Het gaat dan met name om de tweede factor en het wachtwoord van een account. Hier kan op verschillende manieren aan tegemoet gekomen worden merkt hij op. Zo kan de gebruiker bijvoorbeeld een kwaadwillende insider zijn is account "a" zijn eigen account. Een andere optie is dat de gebruiker zijn eigen account niet gebruikt en nog geen tweede factor heeft ingesteld.

Een derde mogelijkheid is dat het account niet van een individu is, maar alleen voor geautomatiseerde doeleinden wordt gebruikt en daarom geen tweede factor vereist. Daarnaast kan een aanvaller de helpdesk misleiden om de tweede factor te resetten. Wanneer het wachtwoord en de tweede factor in handen van de aanvaller zijn kan hij op andere accounts inloggen, mits hij ook van deze accounts het wachtwoord heeft. Microsoft werd op 19 april door Okta ingelicht en kwam dinsdagavond met een beveiligingsupdate.

Image

Reacties (33)
16-08-2018, 11:50 door -karma4
Ach, ach, ach! Niemand kijkt hier toch meer van op?
16-08-2018, 14:03 door Tha Cleaner
Door The FOSS: Ach, ach, ach! Niemand kijkt hier toch meer van op?
Het is inderdaad een security issue in de Multifactor-authenticatie icm ADFS, maar heel erg groot is deze ook niet. Je moet ook al een heel hoop van te voren weten voordat je er iets mee kan doen.
Is het een securoty issue. Ja en het is opgelost -> Mooi dus.

De wereld is niet vergaan, en zal ook niet vergaan met dit issue.

Niemand kijkt hier toch meer van op?Net als je opmerking.....
16-08-2018, 14:36 door -karma4 - Bijgewerkt: 16-08-2018, 14:37
Door Tha Cleaner:
Door The FOSS: Ach, ach, ach! Niemand kijkt hier toch meer van op?
Het is inderdaad een security issue in de Multifactor-authenticatie icm ADFS, maar heel erg groot is deze ook niet. Je moet ook al een heel hoop van te voren weten voordat je er iets mee kan doen.
Is het een securoty issue. Ja en het is opgelost -> Mooi dus.

De wereld is niet vergaan, en zal ook niet vergaan met dit issue.

Je lijkt karma4 wel, met dat gebagatelliseer van je. Om jou tegemoet te komen even een linkje naar dat moeilijke woord: https://nl.wiktionary.org/wiki/bagatelliseren.

Door Tha Cleaner: Niemand kijkt hier toch meer van op?Net als je opmerking.....

Het is vervelend werk, dat aan de kaak stellen van Microsoft software, maar iemand moet het doen. Oh wacht, ze doen het zelf al en redactie pikt de problemen telkens goed op. Nou ja, herhaling werkt zeggen ze in de reclamewereld.
16-08-2018, 15:06 door Anoniem
Al dit soort bugs in Microsoft software komen door het Dummie-Proof moeten zijn ervan.

Het moet werken onder alle omstandigheden en dan kan een niet overdachte click wel eens leiden tot ..... juist.

Het is inherent aan alle succesvolle propriety software of is geintroduceerd door andere features van Silicon Valley Tech,
waar de eindgebruikers niet direct voordeel bij hebben. We kunnen daar echter slechts over speculeren en af en toe krijgen we er iets achteraf van mee: "Security through obscurity of insecurity by design".

Het gehele Trust model is in feite al omgevallen maar dat realiseert zich noch de grote meute noch de wegkijkende professional. Maar het moment dat we hier met zijn allen keihard tegenop kunnen gaan lopen vergelijkbaar met het spreekwoordelijke gevecht tegen de bierkaai, is wel duidelijk inmiddels.
16-08-2018, 16:06 door Anoniem
Door Anoniem: Al dit soort bugs in Microsoft software komen door het Dummie-Proof moeten zijn ervan.

Het moet werken onder alle omstandigheden en dan kan een niet overdachte click wel eens leiden tot ..... juist.

Het is inherent aan alle succesvolle propriety software of is geintroduceerd door andere features van Silicon Valley Tech,
waar de eindgebruikers niet direct voordeel bij hebben. We kunnen daar echter slechts over speculeren en af en toe krijgen we er iets achteraf van mee: "Security through obscurity of insecurity by design".

Het gehele Trust model is in feite al omgevallen maar dat realiseert zich noch de grote meute noch de wegkijkende professional. Maar het moment dat we hier met zijn allen keihard tegenop kunnen gaan lopen vergelijkbaar met het spreekwoordelijke gevecht tegen de bierkaai, is wel duidelijk inmiddels.

toch lees ik een soort van tegenstrijdigheid in je post:

'Dummie-Proof' versus 'wegkijkende professional'.

is die tegenstrijdigheid een indicator van een logica fout in je betoog? kijk, het kan niet brak OS voor jan met de pet zijn en rommel zijn en tegelijkertijd een OS dat door professionals gebruikt wordt want dat spreek mekaar in een zin tegen). Logica gebied mij te concluderen dat dit dus geen eigenschap van het OS is maar van de gebruiker, of dat de classificatie van gebruikers die je doet onjuist is en dus met als gevolg, (omdat er immer nou eenmaal meer idiots zijn dan pro's en ze bestaan beiden), die window pro's ook eerder idiots zijn.

efin, dus eigenlijk maar twee opties, of concluderen dat windows pro's toch wel idiots zijn, ofwel dat zijn ze niet, maar dan moet het een eigenschap van het OS zijn dat steeds de problemen levert.

kies maar... ik heb niet een uitgesproken mening hierin.

ach, tja... voor de volledigheid, natuurlijk kan het ook nog zo zijn dat het weldegelijk een OS issue is EN tegelijkertijd dat window pro's toch eerder idiots zijn, maar, ik ben eerder optimisties en denk niet meteen in twee negatieven als slechts een enkele ook al volstaat!
16-08-2018, 16:39 door Anoniem
Oh die kende ik al! Ik dacht dat dit gewoon een "gebruikersvriendelijkheidfeature" was die door domme ontwerpers
die de materie niet begrijpen erin gebouwd was. Ik ging er vanuit dat dit ook wel disabled kon worden in de configuratie.
Verder nooit tot op de bodem uitgezocht hoe dat werkte. Maar kennelijk is nu toegegeven dat het wel een lek is?

(hoe werkt dit: als je voor het eerst inlogt op een account waar 2nd factor op is aangegeven maar nog niet gebruikt,
dan vraagt ie zelf aan je wat het telefoonnummer is waarop ie je moet bellen! daar kun je dan een willekeurig nummer
op invullen en daar word je op gebeld. dus dat kan gewoon je eigen telefoon zijn en dan is die hele 2nd factor waardeloos.
mijn reactie naar de dumbo die over dit soort dingen adviseert hier is dat je dat natuurlijk alleen als beheerder moet kunnen
instellen maar ja dat rolt zo lastig uit he?)
16-08-2018, 17:26 door SPer - Bijgewerkt: 16-08-2018, 17:26
Door Tha Cleaner:
Door The FOSS: Ach, ach, ach! Niemand kijkt hier toch meer van op?
Het is inderdaad een security issue in de Multifactor-authenticatie icm ADFS, maar heel erg groot is deze ook niet. Je moet ook al een heel hoop van te voren weten voordat je er iets mee kan doen.
Is het een securoty issue. Ja en het is opgelost -> Mooi dus.

De wereld is niet vergaan, en zal ook niet vergaan met dit issue.

Niemand kijkt hier toch meer van op?Net als je opmerking.....
Als ik het goed lees haalde dit het nut weg van multifactor, als ik mijn eigen id/pw/token weet kan ik dus inloggen op een ander account waarvan ik het id/pw weet omdat ik het token weet van mezelf. De wereld is in ieder geval (nog) niet vergaan, maar ik ben benieuwd of er geen onbekende implicaties zijn geweest. Helaas zullen we dit nooit weten.
16-08-2018, 18:12 door karma4 - Bijgewerkt: 16-08-2018, 18:25
Door The FOSS: ....
Het is vervelend werk, dat aan de kaak stellen van Microsoft software, maar iemand moet het doen. Oh wacht, ze doen het zelf al en redactie pikt de problemen telkens goed op. Nou ja, herhaling werkt zeggen ze in de reclamewereld.
Het is net zo vervelend als het constant moeten aangeven van het gebrek aan security in linux omgevingen.
Voornamelijk veroorzaakt door OS Nerds die niet aan informatiebeveiliging toekomen omdat zoiets te lastig voor ze is. Bijvoorbeeld SSH sleutels op makkelijk vindbare en eenvoudig te kopiëren plekken omdat er geen gecentraliseerde security opzet bestaat zoals AD.

Wel opvallend die lijst met voorwaarden voor het misbruik.
16-08-2018, 21:29 door Tha Cleaner
Door The FOSS:
Door Tha Cleaner:
Door The FOSS: Ach, ach, ach! Niemand kijkt hier toch meer van op?
Het is inderdaad een security issue in de Multifactor-authenticatie icm ADFS, maar heel erg groot is deze ook niet. Je moet ook al een heel hoop van te voren weten voordat je er iets mee kan doen.
Is het een securoty issue. Ja en het is opgelost -> Mooi dus.

De wereld is niet vergaan, en zal ook niet vergaan met dit issue.

Je lijkt karma4 wel, met dat gebagatelliseer van je. Om jou tegemoet te komen even een linkje naar dat moeilijke woord: https://nl.wiktionary.org/wiki/bagatelliseren.
Bedankt.
Maar je kan ook overdrijven. Om jou tegemoet te komen even een linkje naar dat moeilijke woord: https://nl.wiktionary.org/wiki/overdrijven

Door Tha Cleaner: Niemand kijkt hier toch meer van op?Net als je opmerking.....

Het is vervelend werk, dat aan de kaak stellen van Microsoft software, maar iemand moet het doen. Oh wacht, ze doen het zelf al en redactie pikt de problemen telkens goed op. [/quote]Dat is inderdaad mooi dat de redactie dit oppakt. Immers het is een issue en deze is opgelost. Om echter dit te misbruiken zijn er wel veel afhankelijkheden. Het is dus niet zo maar dat je "zo maar " even binnen komt. Dus de wereld vergaat niet, maar is wel een hele lullige.

En misschien wist je het nog niet... Maar alle software bevat fouten. Dat komt misschien als een verrassing voor je. Maar het is echt.

Daarom is jou reactie een bepaalde trigger die jij graag lost laat, en daar kijkt niemand van op.


Nou ja, herhaling werkt zeggen ze in de reclamewereld.
En daar vertellen ze ook altijd de volledige waarheid. Iets met wc eend....
17-08-2018, 01:38 door Anoniem
Door karma4:
Het is net zo vervelend als het constant moeten aangeven van het gebrek aan security in linux omgevingen.
Voornamelijk veroorzaakt door OS Nerds die niet aan informatiebeveiliging toekomen omdat zoiets te lastig voor ze is. Bijvoorbeeld SSH sleutels op makkelijk vindbare en eenvoudig te kopiëren plekken omdat er geen gecentraliseerde security opzet bestaat zoals AD.

Wel opvallend die lijst met voorwaarden voor het misbruik.

Met dergelijke argumenten kom je wel vaker, maar hoe verklaar je dat er op deze website maar zelden échte veiligheidsissues behandeld worden, en dat er over Windows constant issues zijn te lezen?

Geef ons eens een serieuze veiligheidsissue onder Linux die langdurig niet gepatched wordt? Want met het verhelpen met veiligheidsissues zit je volgens mij op Linux nog het best. Elke issue die bekend wordt is binnen een dag opgelost. Dat sommige IT'ers te beroerd zijn om elke update te installeren is niet de schuld van Linux en de ontwikkelaars, maar van de IT'er in kwestie.

Elke keer als er een kwetsbaarheid onder Windows wordt behandeld, en mensen hebben daar hun mening over, dan is het eerste wat je doet zitten hakkelen en stamelen over Linux. Wat heb je te bewijzen? Zo'n discussie win je toch niet. Het is nu eenmaal zo dat Windows bij design gewoon véél minder veilig is dan een gemiddeld Unix-like systeem. Daar kun je met de beste wil van de wereld ook maar een speld tussen krijgen.

Stop hiermee, en ga eens constructief reageren.
17-08-2018, 08:03 door -karma4
Welnu, on-topic. Er kijkt toch werkelijk niemand meer op van wéér een probleem in Microsoft software!
17-08-2018, 08:11 door -karma4 - Bijgewerkt: 17-08-2018, 08:13
Door karma4:
Door The FOSS: ....
Het is vervelend werk, dat aan de kaak stellen van Microsoft software, maar iemand moet het doen. Oh wacht, ze doen het zelf al en redactie pikt de problemen telkens goed op. Nou ja, herhaling werkt zeggen ze in de reclamewereld.
Het is net zo vervelend als het constant moeten aangeven van het gebrek aan security in linux omgevingen.

Kijk, laat ik jou iets leren over het verschil tussen (jouw) fantasietjes ('vermeend gebrek aan security in de Linux wereld') en de realiteit (de in real life, daadwerkelijk aanwezige problemen in Microsoft software. Dat eerste bestaat alleen in de kleine wereldjes waarin sommigen hier zich plegen op te houden. Het tweede is de dagelijks optredende harde realiteit -zoals ook hier weer gedemonstreerd - die bedrijven en instellingen veel geld kost en veel leed veroorzaakt. En dat is natuurlijk de reden dat de echt grote spelers in dit speelveld gebruik maken van Linux, Unix. Neem Google, Amazon, supercomputers.
17-08-2018, 09:14 door Anoniem
Door Tha Cleaner: En misschien wist je het nog niet... Maar alle software bevat fouten. Dat komt misschien als een verrassing voor je. Maar het is echt.

Wat een BS.
Als je nou had gezegd dat alle OS'en fouten bevatten, had ik me d'r nog iets bij kunnen voorstellen, maar zeggen dat alle software fouten bevat, geeft mij aan dat je blijkbaar nog nooit hebt geprogrammeerd en dus niet weet waar je het over hebt!
17-08-2018, 12:31 door Anoniem
Door The FOSS: Welnu, on-topic. Er kijkt toch werkelijk niemand meer op van wéér een probleem in Microsoft software!
Heb je Cisco toevallig ook al even bekeken? Of OpenEMR?

Als je even zoekt op PHP CVE van deze maand, en dan even een scan op het Internet doet van oude PHP versie....

Tja ook daar kijkt niemand meer van op...
17-08-2018, 13:15 door [Account Verwijderd]
Door karma4:
Het is net zo vervelend als het constant moeten aangeven van het gebrek aan security in linux omgevingen.

Ik weet werkelijk niet, net als vele anderen hier, waar je op doelt? Het veiligheidsaspect is bij Linux al standaard ingebouwd in het systeem bij design. Je moet zaken als slecht beheer van systemen niet verwarren met het systeem op zich. Het is wat anoniem (17-08-2018, 01:38 uur) al zegt: Linux systemen zijn bij het ontwerp al veel beter dicht getimmerd dan Windows. Dat zie jij meteen als een aanval op het door jou zo geliefd systeem, maar het is alleen een weergave van feiten. Niks meer en niks minder. Als het anders was geweest, dan zou de hele wereld, en sowieso de grote spelers op het internet (Google, Amazon, Facebook, IBM en ga zo maar door), Windows servers draaien en geen Linux servers. Maar omdat Linux zoveel méér voordelen heeft dan Windows (veiligheid, inzetbaarheid, schaalbaarheid etc.) kiest men voor Linux. Jammer dat er beheerders zijn die hun systeem niet goed opzetten (slecht wachtwoord, slechte configuratie etc.), maar nogmaals: dat doet niks af aan de - bij design - veel betere veiligheid onder Unix-like systemen. We kunnen er nog een eeuw over door discussiëren, maar de praktijk heeft dit al uitgewezen. Deze website staat bol van de veiligheidsissues onder Windows, en maar zelden over Linux. En het is me al vaak genoeg gebeurd dat als ik hier over een veiligheidslek onder Linux lees, ik de update diezelfde ochtend al had geïnstalleerd bij het updaten van het systeem.

Neem nu eens die laatste Intel issue. Dat werd woensdagochtend bekend, een dag na "patch tuesday" onder Windows. Alle Windows gebruikers moeten nu dus een maand wachten eer hun systeem voor dit specifieke geval worden gepatched. Ik las het woensdagochtend, en wat bleek? Ik had een moment daarvoor de nieuwste kernel met de patch al geïnstalleerd! En zo heb ik legio voorbeelden van de slagvaardigheid en snelheid waaronder onder Linux dingen opgepakt en gefixt worden. Sterker nog: ik vind het een lichtend voorbeeld voor alle overige bestaande systemen!

Even een vraag: geef eens wat voorbeelden, liefst in Jip-en-Janneke-taal (dus niet in onsamenhangend gewauwel waar je je vaker schuldig aan maakt) waar volgens jou de werkelijke security-issues zitten onder Linux. Niet beginnen over slecht beheer, maar puur en alleen gericht op het design van Linux. En wat is er volgens jou - bij design - véél beter geregeld onder Windows? Ik ben benieuwd naar je antwoord. Misschien leer ik er nog iets van? Maar weet wel dat als je onzin verkoopt je weer een karrevracht aan kritiek over je heen krijgt.

Ik ben benieuwd naar je voorbeelden.
17-08-2018, 15:03 door Anoniem
Door Unix4:
Door karma4:
Het is net zo vervelend als het constant moeten aangeven van het gebrek aan security in linux omgevingen.

Neem nu eens die laatste Intel issue. Dat werd woensdagochtend bekend, een dag na "patch tuesday" onder Windows. Alle Windows gebruikers moeten nu dus een maand wachten eer hun systeem voor dit specifieke geval worden gepatched. Ik las het woensdagochtend, en wat bleek? Ik had een moment daarvoor de nieuwste kernel met de patch al geïnstalleerd! En zo heb ik legio voorbeelden van de slagvaardigheid en snelheid waaronder onder Linux dingen opgepakt en gefixt worden. Sterker nog: ik vind het een lichtend voorbeeld voor alle overige bestaande systemen!

Afgelopen patch tuesday waren er ook updates van Microsoft voor het laatste Intel issue. Dat had je eenvoudig kunnen checken.
17-08-2018, 20:29 door karma4 - Bijgewerkt: 17-08-2018, 20:42
Door Unix4: ...
Ik ben benieuwd naar je voorbeelden.
IOT is natuurlijk met het gebrek aan security onvermijdelijk https://www.techrepublic.com/article/how-iot-is-reinventing-it-architecture/ De keuze voor onveiligheid gaat samen met het gratis argument Linux.
Recent hier op deze site:
- https://www.security.nl/posting/573813/Apple%3A+geen+gebruikersgegevens+gestolen+door+tiener
- https://www.security.nl/posting/573864/Britse+en+Canadese+overheid+lekken+wachtwoorden+via+Trello-pagina%27s
Wat zoektermen naar op deze site:
- https://www.google.nl/search?ei=k_92W4CeOcqvkwXT5L8Q&q=mongodb+site%3Asecurity.nl&oq=mongodb+site%3Asecurity.nl
- https://www.google.nl/search?ei=-P92W-PdNJL1kwXu75aoDQ&q=amazon+bucket+data+lek+site%3Asecurity.nl&oq=amazon+bucket+data+lek+site%3Asecurity.nl
- https://www.google.nl/search?ei=Sf92W-3DKNH4wAK4p6LQBA&q=shodan+site%3Asecurity.nl
Wat langer geleden: https://en.wikipedia.org/wiki/Knight_Capital_Group "Power Peg was designed to move stock prices higher and lower in order to verify the behavior of trading algorithms in a controlled environment"

Beslissers kiezen niet omdat het veilig is. Ze kiezen omdat veel andere ook die keus gemaakt hebben en dat de dienstverlener beweerd dat het goedkoper en beter is dan de concurrent.
Een aantal cloudoplossingen worden ingegeven doordat de eigen ICT faalt, dan gaat de manager en marketeer zelf wat regelen. Dat falen hangt van wat ik waargenomen heb samen met de Linux OS nerds die niet coöperatief voor informatieveiligheid zijn. Natuurlijk kan ik je die details van mijn ervaringen niet geven. Je zult het met de lijn van die openbare bekende zaken moeten doen.
Die is:
- het moet goedkoop met bekende zaken, informatieveiligheid is niet aan de orde.
- Daarna komt afblijven niet upgraden want het werkt. Maakt niet uit of het wel veilig is of niet (ITiL).
Nooit een andere insteek meegemaakt

Als je geïnteresseerd bent in klantgerichtheid als ICT moet je ook eens naar deze ontwikkelingen kijken:
https://www.sueddeutsche.de/muenchen/internetangebot-stadt-buendelt-ihre-online-dienstleistungen-1.4086130
Waarom is er niet eerder gevraagd wat echt nodig is om af leveren?


https://www.ncsc.nl/dienstverlening/response-op-dreigingen-en-incidenten/beveiligingsadviezen/?trefwoord=&periode-van=&periode-tot=&kans=&schade=hoog
Vandaag:
- Kwetsbaarheid verholpen in IBM Security Access Manager NCSC-2018-0758
- Meerdere kwetsbaarheden verholpen in PostgreSQL NCSC-2018-0713
- Kwetsbaarheid verholpen in Linux-kernel (SegmentSmack) NCSC-2018-0700
- Kwetsbaarheden in Intel processoren verholpen (L1TF, Foreshadow) NCSC-2018-0742
- Kwetsbaarheid verholpen in GDM NCSC-2018-0722
- Kwetsbaarheden in processoren ontdekt (Spectre-NG) NCSC-2018-0495
- Kwetsbaarheid verholpen in VMWare Workstation en Fusion NCSC-2018-0751
- Meerdere kwetsbaarheden verholpen in Apache HTTP Server NCSC-2018-0653
- Meerdere kwetsbaarheden verholpen in PostgreSQL NCSC-2018-0713
- Meerdere kwetsbaarheden verholpen in Red Hat-kernel NCSC-2018-0740
- Kwetsbaarheid verholpen in afhandeling van IP-fragmenten (FragmentSmack) NCSC-2018-0739
- Meerdere kwetsbaarheden verholpen in de SUSE-kernel NCSC-2018-0748
...
17-08-2018, 22:23 door Tha Cleaner
Door Unix4:
Neem nu eens die laatste Intel issue. Dat werd woensdagochtend bekend, een dag na "patch tuesday" onder Windows. Alle Windows gebruikers moeten nu dus een maand wachten eer hun systeem voor dit specifieke geval worden gepatched. Ik las het woensdagochtend, en wat bleek? Ik had een moment daarvoor de nieuwste kernel met de patch al geïnstalleerd! En zo heb ik legio voorbeelden van de slagvaardigheid en snelheid waaronder onder Linux dingen opgepakt en gefixt worden. Sterker nog: ik vind het een lichtend voorbeeld voor alle overige bestaande systemen!
Je bedoelt het issue wat MS juist gepatched heeft? Waar de Microsoft beheerders al van te voren rekening mee gehouden hadden en alle change processen al actief hadden? Testers gereed waren en eind gebruikers al geïnformeerd waren van de changes.

En wat de Linux beheerders allemaal moesten opstarten en ergens een change plekje moeten zien te regelen, en de rest van de testers en gebruikers kunnen gaan informeren? En maar hopen dat ze ergens tussen door kunnen.

Of bedoel je dat niet?


Ik ben benieuwd naar je voorbeelden.
http://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/ Ik ben nieuwd naar het aantal Microsoft systemen. Maar laten de 17 grooste even bekijken..... [urlhttps://www.csoonline.com/article/2130877/data-breach/the-biggest-data-breaches-of-the-21st-century.html[/url] Volgens mij geen Microsoft software.....
18-08-2018, 00:00 door [Account Verwijderd]
Door karma4:
IOT is natuurlijk met het gebrek aan security onvermijdelijk https://www.techrepublic.com/article/how-iot-is-reinventing-it-architecture/ De keuze voor onveiligheid gaat samen met het gratis argument Linux..... [KNIP!]

Tjonge jonge... wat is dit nu weer voor een posting? Ik kan hier niet fatsoenlijk op reageren. Denk je nu werkelijk dat ik al deze linkjes ga doorjakkeren? En al zou dat voorbeelden opleveren van een "onveilig" Linux, dan sla je de plank al meteen mis. Ik wil namelijk niks weten over slecht beheer van systemen. Wat ik wil is dat je AANTOONT dat Linux bij design onveiliger zou zijn dan Windows systemen. Linux is ook niet 100% veilig, waterdicht of onkraakbaar (geen enkel systeem is dat!), maar het gaat er mij om dat je met argumenten aangeeft WAAROM Linux onveiliger zou zijn?

Dat kun je niet, en dan irriteert dat. Maar volgens mij kun je er zelf niet eens wat aan doen. Ergens heb je een soort van Windows-fundamentalisme ontwikkeld, en blijft geloven in het eigen gelijk. Het feit dat je steevast praat over "Linux OS nerds" laat je partijdigheid al ongegeneerd zien. Alleen dáárom kun je toch al niet meer met valide en steekhoudende argumenten komen over Linux, laat staan een fatsoenlijke discussie opstarten.

Ik kan je zeggen dat jij maar standvastig blijft roepen dat Linux onveilig is, maar voorlopig blijkt de praktijk anders uit te wijzen. Bijna alle, zo niet alle kritische processen op het internet, de meeste bedrijfkritische processen op cruciale en strategische plekken, overal is daar Linux te vinden. Geen Windows. Dat is niet voor niets. Als je dat gemakshalve maar even overslaat, dan ben je werkelijk jezelf maar aan het degraderen tot een extreme Windows-fanaat avant la lettre.

Dat falen hangt van wat ik waargenomen heb samen met de Linux OS nerds die niet coöperatief voor informatieveiligheid zijn.

Daarmee kun je toch niet beweren dat Linux onveiliger zou zijn of het systeem security issues heeft? Ervan uitgaande dat jouw verhaal klopt heb je het hier over slecht beheer. Wat heeft dat met de veiligheid van Linux als systeem te maken? Je kunt van een dikke kluisdeur toch ook niet zeggen dat het van slechte kwaliteit is omdat iemand te laks was om de sleutel van die deur uit het slot te halen? Gaan we toch vergelijken, dan is Linux een dikke kluisdeur, en Windows een kartonnen deurtje waar zelfs het slot ontbreekt.

Tot slot kom je nog met een opsomming van kwetsbaarheden die Linux-gerelateerd zouden zijn. Weer mis, Karma4, want dat zijn in de meeste gevallen geen typische Linux-kwetsbaarheden, maar kwetsbaarheden in softwarepakketten die OS-onafhankelijk zijn, en hardware kwetsbaarheden (ook al OS-onafhankelijk). Alleen opsomming 3, 5, 10 en 12 zijn Linux-gerelateerd. En OPGELOST! Wat is nu je punt?

Sorry hoor, maar ik vind je posting zwak en flinterdun. Zeker door met nietszeggende linkjes te smijten en met een lijstje te komen die niet eens de (on)veiligheid van Linux aantonen.

Weet je wat? Ik draai de vraag nu gewoon om, in de hoop dat je erin slaagt je geliefde Windows in het zonnetje te zetten: Kun je mij/ons uitleggen waarom - volgens jou - Windows zoveel beter zou zijn als het om security gaat? Graag met eigen woorden, niet verwijzend naar linkjes die toevallig "jouw" verhaal vertellen. Graag objectief.
18-08-2018, 00:18 door [Account Verwijderd]
Door Tha Cleaner:
Je bedoelt het issue wat MS juist gepatched heeft? Waar de Microsoft beheerders al van te voren rekening mee gehouden hadden en alle change processen al actief hadden? Testers gereed waren en eind gebruikers al geïnformeerd waren van de changes.

Het spijt mij zeer, maar ik draai op één machine Windows 10 (laptop van het werk ook nog), maar ik heb geen enkele update voorbij zien komen die de laatste Intel issue patcht. Dan heb ik blijkbaar iets gemist?

En dan nog iets: waar haal jij deze info vandaan? Ben je een insider bij Microsoft?

Door Tha Cleaner:En wat de Linux beheerders allemaal moesten opstarten en ergens een change plekje moeten zien te regelen, en de rest van de testers en gebruikers kunnen gaan informeren? En maar hopen dat ze ergens tussen door kunnen.

Of bedoel je dat niet?

Nee, zeker niet. Want ten eerste is de Intel kwetsbaarheid in kernel 4.15.32 netjes opgelost onder Linux. En hoe weet jij hoe dat hele proces met het uitbrengen van deze patch is gegaan? Was je ook hier erbij soms?

Weet je, volgens mij roep je maar iets. Dingen die niet verifieerbaar zijn kun je wel roepen, maar daarmee zul je bij mij geen discussie winnen. Je posting is erg ongeloofwaardig, vind ik!

Door Tha Cleaner:http://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/ Ik ben nieuwd naar het aantal Microsoft systemen. Maar laten de 17 grooste even bekijken..... [urlhttps://www.csoonline.com/article/2130877/data-breach/the-biggest-data-breaches-of-the-21st-century.html[/url] Volgens mij geen Microsoft software.....

Dat lijkt me ook niet, simpelweg omdat Microsoft in die tak van sport volledig uitgesloten is. En weet je waarom? Juist vanwege die onveiligheid en kwetsbaarheid die Windows met zich meebrengt. Als 100% Linux is zul je daar ook geen Windows kwetsbaarheden tegenkomen. Windows heeft alleen nog een rol van betekenis op de desktop computer. En niet omdat het zo'n geweldig OS is. Nee jôh, simpelweg vendor lock-in. Maar de hamvraag is: waarom is Windows server niet zo alom vertegenwoordigd op het internet? Legio redenen, maar één ervan is: kwetsbaarheid/onveiligheid.

Je link zegt dus helemaal niks en heeft het ook hier alleen over slecht beheer, niet over de security by design. Met ander woorden: Close, but no cigar!

Trouwens: ik vind het vreemd dat jij reageert terwijl ik mijn posting specifiek naar Karma4 richt. Of ben jij Karma4 en zit onder meerdere schuilnamen te reageren?
18-08-2018, 08:35 door Anoniem
Door karma4: Bijvoorbeeld SSH sleutels op makkelijk vindbare en eenvoudig te kopiëren plekken
Wat bedoel je? SSH weigert om een private key te gebruiken als die leesbaar is voor een ander dan de user die hem gebruikt. Ze worden wel op voorspelbare plekken opgeslagen maar daarmee kan je ze nog niet eenvoudig kopiëren.
omdat er geen gecentraliseerde security opzet bestaat zoals AD.
Zoiets als dit bestaat dus niet? https://www.freeipa.org/page/Main_Page
18-08-2018, 09:16 door karma4
Door Unix4: [Tjonge jonge... wat is dit nu weer voor een posting? Ik kan hier niet fatsoenlijk op reageren. Denk je nu werkelijk dat ik al deze linkjes ga doorjakkeren? .
Nog eentje dan. Je blindheid voor de wat er in ICT gebeurt is het echte probleem, bijvoorbeeld no5.
https://it.toolbox.com/blogs/peterkowalke/5-reasons-it-is-losing-the-security-battle-081718

En deze van een andere post. Doe nu eens je bst om met ICT security bezig te zijn ipv van als OS evangelist de boel te lopen frustreren. Ik heb nooit gezegd dat het ene OS of het ander OS (technisch) het uiteindelijk verschil uitmaakt.
Wat ik bljjf herhalen is dat het os evangelisme (en bashing) een probleem voor goede security by desgin is.
In de dagelijkse errvaring is dat vervelende evangelisme sterk gerelateerd aan Linux. Dat toon je ook constant weer..


https://openlab-mu-internal.web.cern.ch/openlab-mu-internal/07_Student-Programme/2010/Student-programme_lectures_2010/Lopienski-2010.07-students-2-secure-web-applications.pdf
- Htttp is stateless (sheet 8) je krijgt de onveiligheid vanaf die basis mee.
- Session management moet er aan geplakt worden, dat krijg je in een shared aanpak (browsers) nooit echt veilig .
- http authenticatie in de basis al zwak (sheet 9)
- IDOR sheet 16 -> validate inut, verify authorization …. 18 broken session management
19 Add missing authorization (het moet dicht by default, dat is wat anders dan het werkt toch.)

sheet 20
- Security on the client side doesn’t work (and cannot)
- Don’t trust your client
- Do all security-related checks on the server

sheet 21 etcc ….. Sheet 24 php hoe je het moet gebruiken. Advies voor de studenten bij CERN (de afgestudeerde Universiteits guru's die daar werken) http://information-technology.web.cern.ch/about/computer-centre/computing-history Deze basis zou voor elke ICT security Wannabee tussen de oren moeten zitten

Voor de eenvoudige familiegeschiedenis mogelijk te lastig om een goede technische invulling neer te zetten.
Blijft het nog steeds niet goed dat onderlinge concurrentie met computervredebreuk wordt uitgevochten.
18-08-2018, 09:27 door -karma4 - Bijgewerkt: 18-08-2018, 09:29
En karma4 probeert weer de aandacht af te leiden van een duidelijk en ondubbelzinnig gestelde vraag! Met voor de beantwoording van die vraag niet relevante uitweidingen. Uiteindelijk - natuurlijk - de vraag onbeantwoord latend.
18-08-2018, 11:20 door Tha Cleaner
Door Unix4:
Door Tha Cleaner:
Je bedoelt het issue wat MS juist gepatched heeft? Waar de Microsoft beheerders al van te voren rekening mee gehouden hadden en alle change processen al actief hadden? Testers gereed waren en eind gebruikers al geïnformeerd waren van de changes.

Het spijt mij zeer, maar ik draai op één machine Windows 10 (laptop van het werk ook nog), maar ik heb geen enkele update voorbij zien komen die de laatste Intel issue patcht. Dan heb ik blijkbaar iets gemist?
Blijkbaar, maar dat geeft niet.https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/adv180018

En dan nog iets: waar haal jij deze info vandaan? Ben je een insider bij Microsoft?
gewoon bij Microsoft (of google)
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/adv180018
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002

Door Tha Cleaner:En wat de Linux beheerders allemaal moesten opstarten en ergens een change plekje moeten zien te regelen, en de rest van de testers en gebruikers kunnen gaan informeren? En maar hopen dat ze ergens tussen door kunnen.

Of bedoel je dat niet?

Nee, zeker niet. Want ten eerste is de Intel kwetsbaarheid in kernel 4.15.32 netjes opgelost onder Linux. En hoe weet jij hoe dat hele proces met het uitbrengen van deze patch is gegaan? Was je ook hier erbij soms?
Nee. Maar je moet nu een update uitvoeren op je infrastructuur. En dat is een change, welke je dus moet aanvragen, beschrijven, plannen en dan uitvoeren.

Weet je, volgens mij roep je maar iets. Dingen die niet verifieerbaar zijn kun je wel roepen, maar daarmee zul je bij mij geen discussie winnen. Je posting is erg ongeloofwaardig, vind ik!
Dat mag je vinden. Of dat correct is, is een tweede. MS

Door Tha Cleaner:http://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/ Ik ben nieuwd naar het aantal Microsoft systemen. Maar laten de 17 grooste even bekijken..... [urlhttps://www.csoonline.com/article/2130877/data-breach/the-biggest-data-breaches-of-the-21st-century.html[/url] Volgens mij geen Microsoft software.....

Dat lijkt me ook niet, simpelweg omdat Microsoft in die tak van sport volledig uitgesloten is. En weet je waarom? Juist vanwege die onveiligheid en kwetsbaarheid die Windows met zich meebrengt. Als 100% Linux is zul je daar ook geen Windows kwetsbaarheden tegenkomen. Windows heeft alleen nog een rol van betekenis op de desktop computer. En niet omdat het zo'n geweldig OS is. Nee jôh, simpelweg vendor lock-in. Maar de hamvraag is: waarom is Windows server niet zo alom vertegenwoordigd op het internet? Legio redenen, maar één ervan is: kwetsbaarheid/onveiligheid.
De meeste issues komen door configuratie fouten, of slecht beheer. De meeste grote uitbraken kwamen omdat updates niet geïnstalleerd waren. Ongeacht het OS.....
Daarnaast Azure en Office 365 zijn gelukkig ook niet zo groot. IIS heeft momenteel ook een goed track records, beter zelfs al de alternatieven.

Je link zegt dus helemaal niks en heeft het ook hier alleen over slecht beheer, niet over de security by design. Met ander woorden: Close, but no cigar!
Hier sla je de spijker op zijn kop... Beheer.... Daar valt en staat alles mee. Wel een een klein verschil of je de focus op server of eind gebruikers legt. Gebruikers zijn een stuk lastiger dan servers.

Trouwens: ik vind het vreemd dat jij reageert terwijl ik mijn posting specifiek naar Karma4 richt. Of ben jij Karma4 en zit onder meerdere schuilnamen te reageren?
Ik reageer op punten, waar jij overeen stapt. Oa changes en de onvoorspelbaarheid daarvan. Nog afgezien eigenlijk alles van de beheerders afhangt. Dat bewijzen alle grote issues iedere keer.
18-08-2018, 13:26 door karma4
Door The FOSS: En karma4 probeert weer de aandacht af te leiden van een duidelijk en ondubbelzinnig gestelde vraag! Met voor de beantwoording van die vraag niet relevante uitweidingen. Uiteindelijk - natuurlijk - de vraag onbeantwoord latend.
De niet aflatende evangelist reactie die niets met informatieveiligheid van doen wil hebben. Tja, het gevaar blijft zo bestaan.
--> OS nerds die niets te maken willen hebben met goed beheer. <=> evangelisme (beide kanten op op waar)
18-08-2018, 14:07 door karma4
Door Anoniem: ….Zoiets als dit bestaat dus niet? https://www.freeipa.org/page/Main_Page
Het is niet geinntegreerd in het OS, het is er boven op geplakt. Je krijgt van de grote commerciële leveranciers (IBM SAP Oracle) niets mee om dat op wat voor systeem dan ook uit te rollen.
https://rhelblog.redhat.com/2018/05/21/sync-vs-trust-red-hat-enterprise-linux-identify-management-integration-with-active-directory/ .. https://rhelblog.redhat.com/2017/06/12/migrating-from-third-party-active-directory-integration-solutions/
18-08-2018, 16:06 door Anoniem
Door Anoniem:
Door karma4: Bijvoorbeeld SSH sleutels op makkelijk vindbare en eenvoudig te kopiëren plekken
Wat bedoel je? SSH weigert om een private key te gebruiken als die leesbaar is voor een ander dan de user die hem gebruikt. Ze worden wel op voorspelbare plekken opgeslagen maar daarmee kan je ze nog niet eenvoudig kopiëren.
omdat er geen gecentraliseerde security opzet bestaat zoals AD.
Zoiets als dit bestaat dus niet? https://www.freeipa.org/page/Main_Page
Dat is iets aan elkaar knopen. Iets wat je heel vaak op Linux moet doen. Zo kan je ook gewoon een LDAP omgeving bouwen, maar je moet alles zelf aan elkaar knopen met scripts of plugins.

De kracht van Microsoft is juist, dat alles op basis van ActiveDirectory werkt en er meteen mee werkt.
Dat is zijn een eigenschappen, of die nu slecht / fout / goed zijn, laat ik even in het midden.
18-08-2018, 16:17 door Anoniem
Door karma4:
Door Anoniem: ….Zoiets als dit bestaat dus niet? https://www.freeipa.org/page/Main_Page
Het is niet geinntegreerd in het OS, het is er boven op geplakt.
Je stelde dat het niet bestaat, dat is wat anders dan dat het niet beschikbaar is.

En elk pakket is op een OS geplakt. Microsoft heeft een benadering om als OS-leverancier van een heleboel zaken voor te schrijven dat dat de manier is waarop je het doet, en in de Unix- en Linuxwereldjes worden bouwstenen aangeboden waaruit je kan kiezen en die met elkaar kunnen concurreren maar ook goede ideeën van elkaar kunnen overnemen.

Klopt mijn indruk dat dat een benadering is die je niet aanstaat? Dan ben je niet zo OS-agnosisch als je regelmatig beweert.

Trouwens, AD is ook op LDAP, Kerberos en DNS gebouwd, bouwstenen die Microsoft uit de Unix-wereld heeft overgenomen.
Je krijgt van de grote commerciële leveranciers (IBM SAP Oracle) niets mee om dat op wat voor systeem dan ook uit te rollen.
https://rhelblog.redhat.com/2018/05/21/sync-vs-trust-red-hat-enterprise-linux-identify-management-integration-with-active-directory/ .. https://rhelblog.redhat.com/2017/06/12/migrating-from-third-party-active-directory-integration-solutions/
Grappig, dat zijn twee links naar een andere grote commerciële leverancier die het wel biedt. Sterker nog, het pakket dat ik noemde is de upstream-versie van wat RedHat daar beschrijft.
18-08-2018, 16:20 door Anoniem
Door karma4:
Door Anoniem: ….Zoiets als dit bestaat dus niet? https://www.freeipa.org/page/Main_Page
Het is niet geinntegreerd in het OS, het is er boven op geplakt.
Ik zou het bijna vergeten, maar ik vroeg ook:
Door Anoniem:
Door karma4: Bijvoorbeeld SSH sleutels op makkelijk vindbare en eenvoudig te kopiëren plekken
Wat bedoel je? SSH weigert om een private key te gebruiken als die leesbaar is voor een ander dan de user die hem gebruikt. Ze worden wel op voorspelbare plekken opgeslagen maar daarmee kan je ze nog niet eenvoudig kopiëren.
Wat voor probleem is er volgens jou met SSH-sleutels?
18-08-2018, 21:20 door -karma4
Door karma4:
Door The FOSS: En karma4 probeert weer de aandacht af te leiden van een duidelijk en ondubbelzinnig gestelde vraag! Met voor de beantwoording van die vraag niet relevante uitweidingen. Uiteindelijk - natuurlijk - de vraag onbeantwoord latend.
De niet aflatende evangelist reactie die niets met informatieveiligheid van doen wil hebben. Tja, het gevaar blijft zo bestaan.
--> OS nerds die niets te maken willen hebben met goed beheer. <=> evangelisme (beide kanten op op waar)

Waar staat deze reactie op? En beantwoord de vraag eens want dit is dus geen antwoord op de vraag!
19-08-2018, 09:03 door Anoniem
Door karma4:
Door Anoniem: ….Zoiets als dit bestaat dus niet? https://www.freeipa.org/page/Main_Page
Het is niet geinntegreerd in het OS, het is er boven op geplakt. Je krijgt van de grote commerciële leveranciers (IBM SAP Oracle) niets mee om dat op wat voor systeem dan ook uit te rollen.
https://rhelblog.redhat.com/2018/05/21/sync-vs-trust-red-hat-enterprise-linux-identify-management-integration-with-active-directory/ .. https://rhelblog.redhat.com/2017/06/12/migrating-from-third-party-active-directory-integration-solutions/

wat een onzin weer, je moet begrijpen dat een AD ook niets meer dan een gui om een kerberos, ldap en dns eigenlijk is en dat je vanuuit de unix kan (vooral met sssd bijv) vrijwel naadloos aan een AD kunt 'joinen' om het MS jargon maar te gebruiken voor concepten die reeds eerder in unix land bestonden. FreeIPA is precies zo een verzameling en doet alles behalve onder voor een MS AD op functioneel vlak. het enige verschil is misschien dat er bij de een een pointy-clicky-gui komt die door wannabee beheerders vlug opgepakt kan worden wereas het alternatief toch wat meer diepgang en achtergrond kennis behoeft. anyway, voor iemand die steeds 'info sec beheer geen os nerds' kaart speelt, heb je wel duidelijk steeds te weining achtergrond kennis van hedendaags beheer op het grensvlak van windows en unix. je laat je leeftijd zien, niet je wijsheid!
19-08-2018, 14:00 door [Account Verwijderd] - Bijgewerkt: 19-08-2018, 14:20
Door karma4:
Doe nu eens je bst om met ICT security bezig te zijn ipv van als OS evangelist de boel te lopen frustreren..... [KNIP!]

Wéér zo'n warrige en onnavolgbare posting die - voor mij althans - niet te begrijpen is, maar ook nog eens een gerichte vraag ontwijkt. Weet je: ik stop hiermee, want dit wordt een lange, saaie en slepende discussie die eigenlijk niet eens een discussie meer is, maar een verzameling linkjes en géén antwoord op je eigen kijk op zaken, op een objectieve manier. Het gaat nergens heen, dus.... genoeg geweest!

We zijn klaar. Ik zal je niks meer vragen. Er komt toch niks zinnigs uit. Het is hetzelfde als geld werpen in een lege frisdrankenautomaart.
19-08-2018, 14:19 door [Account Verwijderd] - Bijgewerkt: 19-08-2018, 14:19
Door Tha Cleaner:
Nee. Maar je moet nu een update uitvoeren op je infrastructuur. En dat is een change, welke je dus moet aanvragen, beschrijven, plannen en dan uitvoeren.
Euh... ja, dus? Wat heeft dit met Linux te maken? Daarvoor moet je bij je leidinggevende(n) zijn. En wat heeft dit te maken met thuisconfiguraties? De update wordt aangeboden, je voert de update uit en je bent klaar. Niks moeilijks aan! Daarbij ik het niet kan laten om erbij te vermelden dat de updateroutine onder Linux een stuk gebruikersvriendelijker is geregeld dan onder Windows. Onder Windows is dat altijd al een drama geweest. Tot aan het huidige Win10 aan toe. Maar dat even terzijde.

Door Tha Cleaner:
De meeste issues komen door configuratie fouten, of slecht beheer. De meeste grote uitbraken kwamen omdat updates niet geïnstalleerd waren. Ongeacht het OS.....
Dat roep ik constant, maar Karma4 blijft maar raaskallen over "Linux OS nerds" (de uitdrukking druipt van de minachting) en smijten met nietszeggende linkjes. Jij zegt hier tenminste nog iets zinnigs.

Door Tha Cleaner:
Hier sla je de spijker op zijn kop... Beheer.... Daar valt en staat alles mee. Wel een een klein verschil of je de focus op server of eind gebruikers legt. Gebruikers zijn een stuk lastiger dan servers.
Hier kunnen we elkaar in vinden. Alleen onze "security-goeroe" (kuch!) Karma4 heeft daar weer zijn eigen theorieën over. Theorieën die ik niet snap en ook niet volg. Wat mag van mij hoor, maar eens worden zal een unicum zijn/worden.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.