Wat een onzin. Als na 3 weken een patch niet is ingezet ondanks alle
berichtgeving en waarschuwingen door MS dan is het de verantwoordelijke
beheersorganisatie die iets uit te leggen heeft. Of, als de organisatie in
kwestie "veiligheid" niet op de agenda heeft staan dan heeft dit bedrijf een
structureel probleem (zeker in de toekomst)
Dat heeft m.i. geen bal met open/closed source te maken. Het is
mensenwerk.
Voordat ik een hele gemeente over mij heen krijg, ik ben een OpenBSD
gebruiker.

Wat een grote onzin. Dit heeft helemaal niets met Open of Closed Source te
maken. Het gaat erom dat er wormen komen voor het meest gebruikte OS.
Mocht dat in de toekomst Linux worden, dan zullen daarvoor ook de nodige
virussen en wormen uitkomen. Zorg er als organisatie voor dat je een goede
beveiligingsstrategie hebt. Als je een goede Firewall hebt en daarbij een goed
patchmanagement dan voorkom je meer dan 90% van alle problemen met
wormen. Zelf hebben wij dit jaar al duizenden virusmails binnengekregen, maar
geen één is tot op heden tot de gebruikers doorgedrongen. Zo moeilijk hoeft het
dus niet te zijn.

Wederom iemand die in fabeltjes gelooft. Problem Exist Between Keyboard
And Chair (PEBKAC).

Het is niet het OS, de computer of de aanvullende software die het veiliger
kan maken. Alsof een tube verf, een pallet en een linnen doek standaard een
Rembrandt vormen......

Goed beheer van systemen en netwerken is een kunst, onafhankelijk van OS,
computer of aanvullende software.

Ok, vingerverf en vetkrijt hebben een ander resultaat dan aquarel of olieverf. Ik
kies ook voor open source omdat ik daar beter mee overweg kan en meer
achter de filosofie sta. Maar dat maakt mijn systeem niet automatisch veilig.

Mensen roepen maar wat graag dingen waarmee ze de aandacht kunnen
trekken. Dat zijn meestal mensen die er minder verstand van hebben, want
anders zouden ze niet zo hard roepen. Wetende dat het inderdaad
mensenwerk is en niets perfect is.

- Unomi -

Eens, maar is toch lastiger dan lijkt. Stel dat je een paar honderd servers
hebt staan. Die patch moet je eerst testen of 3rd party software er niet van
over z'n nek gaat. Na een uitgebreide test ga je de patch pas inzetten. Voor
die patch is een reboot noodzakelijk. Sommige systemen zijn bijna niet te
rebooten omdat ze continue in gebruik zijn. Dit vergt veel planning. M.a.w. 3
weken is dan simpelweg te kort.

Hoe denken jullie dan om te gaan met zero-day zaken in de toekomst ? Dan
moet je wel snel handelen en zijn 3 weken, ehm, nogal lang. Zeg maar.
Ik zou dit onderwerp dan ook maar snel aankaarten bij de mensen in pak-en-
stropdas.

JAJA tis de gebruiker!! DIe patch maakt veel systemen
onstabiel. Kwil jou dat eens zien deployen in netwerk met
enkele duizende PC's

Nee, het heeft inderdaad niets te maken met open of closed-source,
maar wat die politicus aangeeft snijdt wel degelijk hout : indien Linux als
besturingssysteem wordt gebruikt, dan had een massale besmetting
met Sasser voorkomen kunnen worden. Sasser werkt alleen met
bepaalde Windows besturingsystemen.

Waar ik me wel zorgen over maak is het gemak waarmee men een
loopje denkt te nemen met de meest elementaire
veiligheidsmaatregelen voor Windows. Misschien een internet-rijbewijs
instellen?

Iedereen is hier trendy om te zeggen dat het niets te maken
heeft met security features in het OS. Dat is zeker wel het
geval!. Feit is:

- WIndows machines hebben altijd een hele rits RPC poorten
open staan
- Er zijn erg veel buffer overflows in deze services gevonden
- Deze buffer overflows leiden altijd tot volledige
systeemrechten

Linux:

- Bij een webserver staat poort 80 open. een mailserver
heeft poort 25 open staan. Dat is alles. Hooguit nog openssh
als je geen verstand van iptables hebt.
- De code staat onder "public scrutiny" wat toch wel
betekent dat de gapende bugs eruit gehaald zijn. Bij closed
source producten moet je hopen dat de QA van de verkoper
werkt (hetgeen meestal niet het geval is).
- Er wordt steeds meer ge-chroot en ge-privsept hetgeen
betekent dat een remotely exploitable bug in ieder geval
geen root rechten geeft.

Feit is ook dat er geen enkel systeem zo makkelijk te hacken is als een Linux-
bak.

Wat is punt ? Dan is de verantwoordelijke beheerder toch niet capabel ? Een
MS doos is veilig te maken. Mischien kost het wat meer moeite en tijd, maar
het kan _wel_
I.m.h.o. zeg je dus eigelijk dat MS beheerders over het algemeen slecht zijn
geinformeerd of te weinig "aware"
Goed punt over RPC en het feit dat veel services onder system draaien. Daar
zal zeker goed naar gekeken moeten worden.

:) Hoe denk je dat voor elkaar te gaan krijgen? Praktisch
elke *nix machine is individueel uniek van smaak en
samenstelling. Gaat 'n eenzaam wormpje worden dan op die ene
machine van het beestje z'n creator.

Rebooten noodzakelijk? En DAT is de kracht van de..... ahum..... verkeerd.....
Nee, *NIX hoef je niet te rebooten. Daemons herstarten na de patch is alles.
De meeste daemons, kunnen dit "graceful" dat wil zeggen...... het laat eerst
de processen doen wat het moet doen en start ondertussen een nieuwe
thread op. Zo sterven de ongepatchte processen af en komen de gepatchte
processen weer op bij nieuwe requests.

Daarbij dus wederom het gegeven: *NIX hebben ook exploits, maar dat komt
bijna nooit neer op een worm en is vaker sneller gepatcht dan op Windows.
Ook de dependencies worden vrij snel aangepast. Ja, die moeten ook eerst
getest worden, maar daar is het gelukkig open source voor in veel gevallen.

Zodra een beheerder een nieuwe patch heeft getest en alsnog een bug of
een flaw ontdekt, kan hij meestal zelf de fout oplossen en de source weer
teruggeven aan de ontwikkelaars. Bij Microsoft moet je eerst wachten tot men
zelf de patch heeft getest (zie artikel vorige week) en dat kan dus langer duren
dan gebruikelijk. Als er dan een bug in de patch zit dan moet je wachten tot ze
zelf die patch weer hebben verbeterd.

Ja, dan is een zero-day exploit heel erg vervelend........ Nee, open source is
niet DE oplossing, maar er zit een enorm voordeel aan. Heel veel exploits
worden al gefixed voordat er misbruik van gemaakt kan worden.

- Unomi -

Natuurlijk kan dat, wanneer het huidige MS systeem volledig
wordt vergeten en deze weer van voor af aan opnieuw wordt
herschreven en er aanzienlijk meer prioriteit wordt gegeven
aan kwaliteit dan het huidige "time to market, het hoeft
niet te werken als het er maar leuk uit ziet."

Tot die tijd zul je een blik andere externe middelen open
moeten trekken om MS dozen tegen zichzelf te beschermen.

Wat een *nog grotere* onzin.

Wormen zijn er voor elk operating systeem, dicht of
gesloten, of veel of weinig gebruikt -- het maakt niet uit;
zolang er kreupele software wordt geschreven zijn er wormen.

^^^^ Zie je dat; zolang er CRAPPY software wordt geschreven
-- daar zit 'm het probleem.

Waar grote commerciele bedrijven door marketing-druk de
Time-To-Market zo klein mogelijk willen maken en dus
kreupele, onafgemaakte / ongeteste software verkopen, is een
open-source project niet voor dergelijke verstrengeling vatbaar.

Het hele probleem is gewoon dat alles in Windows aan elkaar
beweven zit en dat je als gebruiker hier heel weinig inzicht
in krijgt.

Onder unix is alles gewoon een op zichzelf staand iets.
Mozilla is gewoon Mozilla en zit niet gekoppeld aan 1000
andere dingen zoals bij Windows.
En dan al die services die van elkaar afhankelijk zijn.
Owja, en als je echt de pinuut bent moet je eens je NTFS
vanaf bootable CD zien te mounten en ff het register vanaf
de commandline aan proberen te passen!!
Bij Linux is dit een piece of cake want ALLES is
toegankelijk vanaf de commandline. De structuur is simpelweg
beter/overzichtelijker, er is veeel meer vrije documentatie
en anders zoek je het ff in de sourcecode op.
En DAAROM is Linux veiliger. IPV dat je eerst 10.000,- moet
gaan leerleggen en zo'n klote agreement moet tekenen om er
achter te komen wat je systeem nou precies doet. Dat is
gewoon domme onzin en simpelweg onwerkbaar.
En dan ben je ook nog eens veel tijd kwijt met al die
licentie onzin ipv dat je gewoon tijd kan besteden aan de
beveiliging.
En dan die API nog die domweg alles als messages post naar
alle applicaties die er dan maar het juiste spul uit moeten
pikken.
En het register is zowieso de meest achterlijke uitvinding
die ze ooit hebben kunnen doen, want het is een grote chaos,
ipv dat ze gewoon ff normaal doen en alles in plain text
bestanden gooien per applicatie.
Owja, daarbij komt nog eens dat als je gewoon de harde
schijf uit een pc haalt en die in een andere zet dat Windows
niet eens meer boot!

En ik moet de eerste fatsoendelijke dieptechnische
argumenten van een Windows gebruiker nog horen, ipv die
halfgare argumenten waar ze de halve tijd mee aankomen
waarom Windows toch goed is.
Het enige acceptable reden die ik tot nu toe nog gehoord heb
is 'Ik ben een leek, het boeit me niet als ik gehackt word.
En ik kan gewoon spelletjes spelen en dat is alles dat ik wil.'

Niet dat ik meteen Windows of hun gebruikers onderuit wil
halen hoor, maar het stoort me gewoon mateloos hoe mensen
het gedrag van Microsoft nog proberen te verdedigen
tegenwoordig en ondertussen mij lastig zitten te vallen of
ik ze kan helpen met hun PC.

Zo, dat moest er ff uit, hehe :P

Ik zou zeggen, komt u binnen....... 62.194.73.75

- Unomi -

Helemaal ongelijk heeft de beste man niet: de belangrijkste
oorzaak van het extreem snel verspreiden van wormen en
virussen is de technologische monocultuur die gecreeerd kon
worden dankzij closed-source. In een sector waarin
bedrijfsgeheimen zo extreem goed bewaard kunnen blijven als
bij software functioneert vrije marktwerking niet.
Natuurlijk wordt zo'n dominant bedrijf lui, en houdt graag
z'n gebruikers dom, waardoor die ook lui worden en hun
systemen niet goed (kunnen) onderhouden.

Het bevorderen van open source, en daarmee de pluriformiteit
van systemen, lost wel degelijk een groot deel van het
huidige extreme probleem op, zelfs al zijn alle open source
alternatieven net zo kwetsbaar als Windows.

Hallo P,
luchtte het op?
Feit is dat veel Windows-gebruikers inderdaad de PC alleen gebruiken voor
briefjes te tikken en spelletjes te spelen. Het neemt echter niet weg dat er
voldoende gebruikers zijn die iets meer kunnen dan de muis optillen als er
wordt geroepen: 'beweeg de muis omhoog'.
Ook een feit is dat virussen, trojans en wormen worden gemaakt om een zo'n
groot mogelijke schade/chaos te realiseren en helaas moeten Microsoft-
gebruikers dit ontgelden.
Dus als we nu met z'n allen Linux gaan gebruiken keert het tij vanzelf.

Die eeuwige zaaddiscussie over Linux vs. Windows. Ik wil nog wel eens zien
hoe Linux zag gaat ontwikkelen wanneer er vanuit gebruikersorganisaties
massaal gevraagd gaat worden om productveranderingen/-verbeteringen/-
uitbreidingen, etc. Kortom, wanneer time-to-market ook ineens een rol gaat
spelen, hetgeen nu nog niet het geval is bij Linux. Kijk, wanneer er serieuze
pegels te verdienen zijn, gaan er andere krachten spelen en die ontstijgen
het idealisme van een ideale wereld.

Hier heb je meteen het punt te pakken waar de meeste closed
source software onveilig is, vanwege de time-2-market.
Functionaliteit wordt belangrijker gezien dan security en
alles moet gedaan worden om de kosten te drukken. Dit heeft
de meeste open source software niet.
Idealisme, e.a. menselijke factoren zullen toch altijd
overheersen. Een discussie op puur feiten is voor de meeste
mensen onmogelijk.

Dat begrijp ik wel, maar open source zal ook te maken gaan krijgen met time
to market wanneer het massaal geaccepteerd wil worden.

Dus voortaan moet je voordat je een computer aansluit op het internet eerst 12
jaar studeren inclusief 3 jaar praktijkervaring bij een volleerde computernerd?

Episode 14

"Yep?" I ask, as the boss rolls into mission control with a perplexed expression
on his face.


"It's my machine," he says, "Got a bit of a problem accessing the I.T.
Management share and I need to pick up this month's budget figures."


"And you're logged into your machine ok?" I sigh, looking vainly around for the
PFY to palm this off to. Worst luck tho', he's doing some urgent installs in some
new racks so I'm lumbered with the responsibility.


"Yes."


"And your network cable is in?" I ask, knowing the boss's habit of kicking
cables out.


"Yes."


"And how do you open your share?"


"With the 'run' option."


"And what do you type?"


"--I-T-S-E-R-V--I-T-M-G-T," he spells, slowly.


"And does nothing?"


"No, it gives an error message."


"OK," I sigh, knowing that this is the quickest way back to peace and quiet. "I'll
come take a look,"


. . 1 minute later, in the Boss' office . .


"You're running Linux!" I gasp.


"Yes."


"Why?"


"Because it's more advanced!"


"In what way?" I ask, prepared to be pleasantly surprised.


"Well, it's developed by thousands of people!"


"So was the Black Death, but that doesn't mean you want to expose yourself to
it!"


"Yes, but it's the latest version!"


"And YOU installed this yourself?"


"Yeah. Well, with a couple of pointers from Ron."


"Ron?"


"Yeah, you know, the electrician guy."


"MAD RON THE SPARKY?!"


"Yes..."


"And you took the opinion of a fat bloke in shorts over that of your desktop
support person?"


"You say desktop support are crap!"


"Of course they're crap, but they're a hell of a lot better than Ron!"


"But he says he runs Linux at home ok!"


"And his home bears a resemblance to our office how?" I ask, sarcastically.


"It's similar. He's got his own LAN!"


"That just proves he's SAD with no mates!"


"Well I think this Linux thing is worth looking into! AND I'm going to save a
bomb in license fees!"


"Not when the company's got a site license you won't!"


"Well, Linux is more secure!"


"You're behind two firewalls protecting you both from the Internet and the rest
of the company, AND you WERE on automatic update for both Apps and
Antivirus definitions. A vanilla Linux install is a potential minefield!"


"Well it's... got a nice look-and-feel!" he says, really grasping at straws now.


"I'll put the swimsuit picture onto your windows background" I say, realising a
pivotal argument when I see one.


"Would you?" he asks, problem solved.


Sigh...


"So... What else did Ron recommend?"


"Well he gave me a couple of sites to download some useful Linux
applications from.." the boss responds, hesitantly.


"Tell me none of them ended in .nl or .fi ?"


"Uh... well... maybe a couple."


"Of course" I sigh, pulling his network cable out of the wall after just realising
that the activity light on his NIC hasn't flickered OFF at all during our
conversation... "And what were these backdoors to bring the company to its
knees - I mean useful applications - going to do?"


"Uhhh… filesharing for music, cheap phone calls on the internet, and speed
up downloads," he suggests.


Sigh.


>thinking<... >thinking<


"Ok, so here's what I think we'll do: We'll get the desktop support team to
recover your machine from a backup, remove your CD drive to reduce the risk
of this happening again, have Ron's legs broken - after making it look like an
accident - and forget this ever happened."


"I don't think that w..." the Boss simpers.


"Or alternatively, I could track the source of the virus which is most likely
running rampant around the company - to your desktop machine - tell the
Head of IT how it occurred, and watch on as you're escorted from the
building... Your call!"


"Ok," the Boss sighs. "But you weren't serious of breaking his legs..."


"Of course not" I respond "That's a hardware job. I'd get someone else to do it!"


"I..."


"Only joking. We're not that brutal. No, I'll just give him a quick talking to about
how we in the IT department are responsible for technical advice and how
he's responsible for changing fluorescent tubes and scrubbing toilets when
the cleaner's sick."


"Changing lights and installing powerpoints," the Boss adds.


"No, like I said that's Mad Ron - A. He's colour blind and B. he's been
electrocuted more times than the Northern Line. We contract out our real
electrical work for Health and Safety reasons."


"No, he installed those powerpoints in the server room two days ago because
you'd said it was a rush job..."


"No, he's not allowed in the computer room after that time he slapped his
current tester across the UPS to determine what it's maximum output would
be. It took 1/2 a day to bring the room back up."


"Oh."


"Oh?"


"Well, he said it was a rush job to put some racks in and so I let him..."


!!!!


Come to think of it, the PFY is taking rather a long time with that install....


. . . ®

Where can I found the other episodes ?