"Wij kunnen geen effectieve afscherming in onze software bouwen."

Wist iedereen die dagelijks met hun software moet werken al jaaaaren, maar ze geven het nu zelf toe, hoe bedekt ook.

Systeembeheerders zijn de laatste 20 jaar vaak de oorzaak van verdere verspreiding van malware. Vooral bij malwarebestrijding moet je nooit met een centraal beheeraccount inloggen. Altijd opnieuw opstarten vanaf een onschrijfbaar medium (USB sticks hebben soms een read only schuifje, ook al is dat niet waterdicht want softwarematig) , en uiteraard zonder netwerkverbinding.

Nooit je beheeraccount misbruiken als gebruikersaccount. De ervaring leert dat systeembeheerders net gebruikers zijn en ook zomaar een bestand kunnen openen.

Een speciale USB stick is de Kanguru FlashTrust die naar zeggen van de leverancier beschermd is tegen firmware manipulatie. Vooral bij doelwitten van doelgerichte aanvallen zou moeten gelden: assume the worst.

Blijkbaar lees je heel wat anders als wat men bedoelt.

Dit is gewoon het Tier model, niet heel veel meer. Vrij standaard in grote omgevingen, wordt alleen niet altijd gebruikt, waardoor de issues ontstaan.

Weet u nog hoe ettelijke jaren geleden in Belgie de service voor het internationale (doorvoer)verkeer werd gehackt? Dezelfde PC die voor systeembeheer werden gebruikt hingen aan het openbare internet en werden ook gebruikt om naar porn te kijken. Zo was het een koud kunstje om het geheel te hacken! Dit ter ondersteuning van wat MS nu ook zegt, alleen jaren later.

Als je het artikel gelezen had, dan zag je dat het gaat om 'best practices', dat is op alle systemen toepasbaar ook jouw geliefde Linxux of Apple of whatever.

Proest dat hebben wij als premier account al jaren. Tjezus. Spuit 11
wordt hier wel een beetje moe van.

Het bovenstaande advies komt niet zo maar van Microsoft. Privileged Accounts is een lastig security onderdeel.
https://csrc.nist.gov/csrc/media/publications/sp/800-53/rev-4/archive/2013-04-30/documents/sp800-53-rev4-ipd.pdf
Het is van oudsher bekend, ooit in de bs7799 nu in iso27-series.
Helaas wordt dat deel door os-nerds gewoonlijk grondig getorpedeerd, dan heb ik het over Unix / Linux omgevingen.

Microsoft lijkt zaken op te pakken waar de OSS Linux gemeenschap gewoon al jaren faalt. Nu niet gaan mopperen dat het aan slecht beheer (websites) dan wel PHP ligt. Het is de veilige basis die ontbreekt waar het begint.

Meeste software heeft geen afscherming.
Alleen Chromium en OpenBSD base tools zijn gemaakt met security in het achterhoofd.

Wij hadden dit al jaren zo geïmplementeerd. Het is de enige goede manier. En sorry dat ik het zeg maar dit komt op mij over op een regelrechte copy actie van onze implementatie. Wij beheren op deze wijze vele klanten.

Je moet dan ook wel alle accounts in de gaten houden met name de accounts van beheerders die wat meer rechten hebben dan gebruikelijk. opdat ze geen kopien maken van hun accounts. Want dat je een paar accounts hebt die alle rechten hebben ontkom je gewoon niet aan echter die gebruik je enkel in noodsituaties of bij de initiele inrichting..

Maar de massa heeft deeltaken.

Het nadeel is echter dat niet elke beheerder alles kan wat die zou kunnen en maakt het werk wel veiliger maar niet interessanter. Je moet echt ook functiescheiding in beheer toepassen. Hierdoor voorkom je ook ongeautoriseerde changes die veelal in het verleden door de beheerders zelf werden veroorzaakt.

Deze opzet kan echter als een struikelpunt zijn voor de carrière van sommige beheerders.

Dit hebben we opgelost met toegang tot een gescheiden studeer omgeving waar ze bepaalde producten kunnen oefenen opdat kennis niet verloren gaat.Die m.b.v. images ook weer snel te herstellen is.En job rotation.

Echter de productie is strak ingericht en alles wordt daar gecontroleerd in de ruimste zin v.h. woord.

Je moet wel. Zeker als er onregelmatigheden optreden wil je alles kunnen controleren en kunnen bewijzen zover dat mogelijk is in een digitale wereld.

TC

Nog steeds een belangrijk manco: privileged identity management voor "de applicaties" en die voor de organisatie.
Met het ontbreken van dat deel is het fundamenteel onveilig. Gaarne een voorbeeld met link van PIM / PAM als je het tegendeel ergens hebt.

Dat ik daar zelf niet opgekomen ben...

Och, het is net als met auto's.
De eerste auto die alle ongelukken voorkomt of ontwijkt, moet nog altijd worden uitgevonden.

En dan lees je verder...

Vraag me af hoe je dat voor elkaar moet krijgen: een computer die up-to-date is, en geen verbinding met het internet kan maken om die updates op te halen.

WSUS?

kuch, 2e netwerkkaart ?,en dat de stekker eruit trekken, tis maar een suggestie.

Welke updates? De hele beslissing jaren terug werd genomen om geen updates meer aan te brengen.
Die zijn nu ook niet meer te verwachten, misschien dat een Keniaanse prins je het support belooft.

Microsoft evangelist karma4 begint wederom uit het niets en geheel off-topic de Linux/OSS gemeenschap de grond in te boren. Wat ongelooflijk zielig.

Nee hoor, wij nemen dat soort zaken hier bloedserieus! Maar wel met een echt besturingssysteem (zoals Linux) als basis. Niet dat consumentenspul.

Spreek voor jezelf.

Ik heb niets met microsoft. Ik heb wel veel last van die Linux evangelisten in professionele Linux omgevingen die niets van informatieveiligheid snappen en iedereen die daar iets van zegt als windows gebruiker wegzet.
Uiteindelijk resultaat: project falen, data lekken.

De praktijk bewijst het tegendeel. Linux evanglisten die nog net van privileged identity management gehoord hebben en vervolgens gaan lopen trollen hoe veilig hun os is. Dat is vrij sneu en beschadigt van alles in vele organisaties.
Het consumentenspul, inderdaat IOT Linux, wat dat betreft heb je gelijk..

@karma4 nee hoor, hier niet. Ik denk dat je het probleem bij jezelf moet zoeken.

Daarom reageer je natuurlijk altijd als door een wesp gestoken zodra iemand ook maar iets over Microsoft durft te zeggen en haal te te pas en te onpas OSS / Linux erbij, vaak geheel off topic.

Uiteindelijk resultaat Microsoft: Om de haverklap organisaties die plat liggen door ransomware, privé gebruikers die in de problemen komen door updates.

Microsoft haat systeem beheerders,
Het liefste zou Microsoft ook zien dat bedrijven het beheer van de gehele IT over zouden laten aan Micorsoft zelf... dmv remote beheer.
Dit is ook de reden waarom Microsoft destijds de actie: "Bring Your Own Device" te introduceren
Wat natuurlijk rampzallige gevolgen heeft als gebruikers hun prive laptops, telefoons vol maleware apps mee naar het werk gaan nemen....
Dit project had maar een doel, de Systeembeerder weg pesten, de de "normale gebruikers" op te zetten tegen de systeeembeheerder....

Nu proberen ze de systeembeheerder weer de les te leren (op te voeden?) triest voor woorden, het verbaasd mij echt als bedrijven nog steeds Microsoft gebruiken....

Hangt van soort bedrijf af (bv. groot/klein,aantal systemen, etc), ook het budget is belangrijk.
Maar grote bedrijven gebruiken meestal SCCM.

Kleine bedrijven kan ik mij voorstellen dat SCCM een te grote investering is, WSUS is ingebouwd in Windows Server.

Toch leuk hoe verkeerd sommige mensen denken over bepaalde ideeën. Prachtig voorbeeld zien we hier weer.

Dat idee kwam niet van microsoft, eerder uit de hoek dat het goedkoper moest. Denk aan de accountancyfirmas met hun adviezen. De andere is de OSS Linux vritualsiatie hoek. Met virtual desktops hoef je als bedrijf geen desktops aan te schaffen. Veel goedkoper en de virtualisatie is gratis open source.

Ik reageer als door een wesp gestoken op Linux evangelisten. Gewoonlijk compleet off-topic enkel beperkt tot bashing.
Oorzaak: Teveel ellende in de pogingen om een verantwoord iets neer te zetten. Complete tegenwerking negeren van richtlijnen en de ellende van datalekken.

Zo'n centrale heheers server introduceert wel een single point of failure vulnerability
Lekker gemakkelijk voor de hackers om zich te richten op juist deze servers, eenmaal binnen neem je gelijk heel het bedrijf over :-)

Neemt Microsoft bij deze "goede raad advies" van deze " beheers servers" ook de responsibility als het mis gaat?
Of krijgen de systeembeheerders dan weer de schuld?

Jammer om te zien dat ook op websites als deze de flamewars weer opduiken zodra het woord Microsoft valt.

En gebruikers als karma4 of Kapitein Haddock maken het er niet beter op in de discussies.
Ik kan beide M/V/L/G/T/B (aanvinken al dan niet van toepassing) aanraden eerst diep adem te halen, en dan te reageren.

Of men het nu wel of niet wilt accepteren, in het 'gewone' berdijfsleven is MS software nu eenmaal het meest gebruikt.
Helaas is security vaak het ondergeschoven kindje, al dan niet door budgetten of beslissingen van hogerhand.
En dan maakt het niet veel uit of je OS A, B of C gebruikt. Lekken zijn lekken...

Ik ben van mening dat de meeste bezoekers hier iets verder gevorderd zijn dan de gebruikelijke Windows+Office gebruiker, en daar hoort imho een discussie bij met wat meer substantie over dit soort onderwerpen.

my € 0,02 voor vandaag

@ anoniem van 13:21

Waar is dat "flamen" van OS voorstanders toch ontstaan?
Code is immers code. Goede code is goede code, slechte zwakke code is slechte zwakke code.
No two ways about it.

Een machine voor bepaalde doeleinden stand-alone en afgekoppeld van het Internet draaien,
is niet alleen in dit geval de aangewezen weg.
Malware onderzoekers doen dit alleen maar op deze wijze,
tenminste als ze de juiste voorschriften kennen en volgen.

Je kunt ook in een zandbak draaien, maar dan ben je afhankelijk van het containment vermogen van je sandbox
en wordt de sandbox software door een slimmerik of door trial & error onderuit gehaald,
ben je alsnog het bokkie. (malzilla wel eens geprobeerd, van bobby off je eigen variant bijeengeknutseld?)

De andere duidelijke overweging hierbij is, dat je met een van Interwebz afgekoppeld device,
niets en niemand anders op het netwerk kan besmetten. Zo simpel ligt het allemaal.
Of je nu best practices toepast op MS propriety software of in een open software linux omgeving,
dat maakt allemaal geen ene mallemoer uit.

Je dient allereerst te begrijpen wat je aan het doen bent, dan kun je pas verder.
Begrijp bijvoorbeeld je JavaScript error notifier en de implicaties van de error notificaties.

Als je bijvoorbeeld bij een de omvang hiervan niet kent,
ben je niet bewust met kennis van zaken bezig,
maar wordt het al snel gissen en gokken en dat kan dan nooit lang goed gaan.

Bij developer toetsen is het immers zo dat als je eenmaal in een endless loop zit,
je je toets wel op je buik kunt schrijven. Het is dus allemaal niet zo moeilijk,
het is alleen maar een kwestie van exact door blijven denken.

Dus anoniem van 13:21 jouw "two cents" hergevalideerd om opgewaardeerd te worden tot 5 cent,

fijn weekend overigens,

luntrus

Ben het met je eens, echter dat kamp dat als door een wesp gestoken reageert als het woord microsoft of windows valt niet.

Microsoft heeft er zelf behoorlijk aan bijgedragen:

• "Linux is a cancer that attaches itself in an intellectual property sense to everything it touches" (uitspraak van Steve Ballmer).
• De "Get the facts"-campagne met een website vol "feiten" over Linux die flagrante onzin waren, zoals de bewering dat je als Linux-gebruiker heel omslachtig zelf broncode moet compileren om een pakket te installeren of een upgrade aan te brengen. De campagne hing aan elkaar van lachwekkende misinformatie die helaas wel als "feiten" werd gepresenteerd.
• De "Halloween documents" is een verzameling uitgelekte vertrouwelijke memoranda waarin Microsoft een strategie om met Linux om te gaan waarin onder andere stond dat de geloofwaardigheid van open source op lange termijn te groot was om FUD-tactieken effectief te laten zijn en dat "embrace, extend, extinguish" een betere manier was om het succes ervan te ondergraven.

Het had een hoog list&bedrog-gehalte.

Niet alleen heeft het gedrag van Microsoft kwaad bloed gezet, het "embrace, extend extinguish"-beleid heeft ervoor gezorgd dat veel mensen Microsoft nog niet beginnen te vertrouwen als ze zich netjes lijken te gedragen en open source lijken te omarmen.

Of ze daar voor de lange termijn gelijk in hebben is de vraag. Microsoft wordt al jaren niet meer geleid door Bill Gates en Steve Ballmer. Het is duidelijk dat ook binnen dat bedrijf een hoop werknemers gecharmeerd zijn van open source en dat die de ruimte krijgen. De oude mentaliteit zal echt niet volledig verdwenen zijn, maar je kan wel verwachten dat die verwatert als een andere mentaliteit de ruimte krijgt binnen de organisatie. Mensen beïnvloeden elkaar nou eenmaal.

Voor mij is het inmiddels meer dan tien jaar geleden dat ik rechtstreeks met Microsoft-medewerkers heb samengewerkt in een project. Toen vond ik dat een onaangename ervaring, ik kreeg het gevoel dat ik met een religieuze sekte te maken had met een forse bekeringswoede. IT buiten hun platform leek niet echt voor ze te bestaan, en iedere medewerker leek naast zijn gewone werk ook actief bezig te zijn om iedereen ervan te overtuigen dat hun platform superieur was. En vergis je niet, het topmanagement van Microsoft sprak werkelijk met termen als "evangelisatie" over het promoten van hun platform.

Afgaande op wat ik tegenwoordig lees is het een commerciëel bedrijf dat net als menig ander commerciëel bedrijf zich altijd zal presenteren alsof ze helemaal met het belang van hun klanten bezig zijn terwijl het in wezen primair om de opbrengst gaat. Dat is op zich altijd een reden om verkooppraatjes niet voor zoete koek te slikken, maar het betekent niet dat ze Linux nog steeds te vuur en te zwaard aan het bestrijden zijn op de manier waarop ze dat tien jaar en langer geleden aan het doen waren. Ze zetten Linux inmiddels ook in om geld te verdienen en dragen er actief aan bij. Mijn houding tegenover Microsoft is daardoor van ooit behoorlijk wantrouwend opgeschoven naar voorzichtig neutraal, vergelijkbaar met hoe ik tegen veel andere bedrijven aankijk.

Naast deze achtergrond is er ook sprake van zowel idealisme als groupie-gedrag. Het idealisme komt erop neer dat kennis, ook als die is vastgelegd in broncode, de mensheid beter dient als die vrij gedeeld kan worden dan wanneer hij opgesloten is bij een of andere partij die het alleen voor zijn eigen belangen inzet en blokkeert dat anderen dat ook kunnen. Dat idealisme deel ik zonder meteen te denken dat het enige is dat mag bestaan of kan werken, de werkelijkheid is geen utopie en voor mij is het voldoende dat het een positieve bijdrage levert zonder meteen alles wat verder bestaat weg te vagen.

Het groupie-gedrag is iets dat je bij elk onderwerp tegen kan komen, van voetbalsupporters die in de extreemste vorm op de vuist gaan met tegenstanders die alleen maar anders zijn in de club die ze aanhangen tot fans van Michael Jackson die weigeren te accepteren dat het denkbaar is dat dezelfde persoon die geweldige muziek heeft gemaakt ook kinderen misbruikt kan hebben. En er zijn mensen die hun behoefte om bij een of ander clubje te horen op een besturingssysteem loslaten. Dat beperkt zich zeker niet tot open source, maar het kan daar door de idealistische component wel versterkt worden.

Er zijn op deze website verschillende mensen die hun enthousiasme voor open source en Linux graag uitdragen, en er zit er een tussen die lijkt te denken dat Windows onmogelijk iets goeds kan bevatten. Dat soort zwart/wit-denken is in mijn ogen niet anders dan een Michael Jackson-fan die niet kan bevatten dat iemand zowel goede als slechte dingen kan doen. En we hebben hier iemand die net zo zwart/wit en net zo religieus vindt dat hij die mentaliteit moet bestrijden, zonder in te zien dat hij hem zelf net zo hard tentoonspreidt en zelf minstens zo absurde argumenten gebruikt als hij denkt te bestrijden.