Gepubliceerd: Zaterdag 29 maart 2008
Linux is het enige besturingssysteem gebleken dat als onverslagen winnaar voor de dag kwam tijdens de hackwedstrijd van de CanSecWest conferentie.
Toon volledig artikel
En niet van Linux, en ook niet van OS X. Maar kennelijk is Java op Vista gevaarlijker dan op de andere 2 OSen.
Ik mag dan geen Mac hebben, maar ik was in de overtuiging dat bij OSX weldegelijk standaard een JVM wordt geleverd:
http://java.sun.com/features/2002/03/mac.osx.html
Mac OS X is the only high-volume desktop operating system to ship with Java 2 in the box. "Every single copy of Mac OS X ships with Java on it," said Goldstein.
Ik neem aan dat dat nog steeds zo is aangezien er toch wel redelijk wat ophef was over het onbreken van een 1.6 JVM bij de laatste release (en er enkele problemen waren met de 1.5 versie)
Ik dacht zelfs dat het Microsoft verboden was om nog een eigen java engine mee te leveren met Windows en ik kan me niet herinneren dat ze met Sun een deal hadden om de Sun jave engien mee te leveren.
Het kan zijn dat ze de Sun Java enige hebben geinstalleerd tijdens de versoepelde regels waarbij er naar websites gesurfed kon worden of waarbij emails geopend konden worden.
Dat de winnaar suggereert dat de gebruikte vunerability ook op andere OS'sen zou kunnen werken suggereerd dat het om een stuk software gaat dat op alledrie de systemen draait zoals bijvoorbeeld die Sun Java engine.
wereldwijd, door alle rechtbanken? verboden, voor eeuwig?
Nou, dan installeer je toch gewoon een andere JVM, kleine moeite toch?
Nee, is het ook niet. WebWereld zet je ook (weer eens) volledig op het verkeerde been. De hack was niet vanuit Java gedaan,maar vanuit Adobe Flash.
The new Adobe Flash 0day vulnerability that Shane exploited has been acquired by the Zero Day Initiative, and has been responsibly disclosed to Adobe who is now working on the issue. Until Adobe releases a patch for this issue, neither we nor the contestants will be giving out any additional information about the vulnerability.
Zo zie je maar dat tegenwoordig de 3rd party rommel meer in trek is om te hacken dan het OS zelf, omdat deze steeds veiliger worden. Adobe Flash, Adobe Reader, Symantec AV, Real Player, Apple Quicktime, Apple Safari, Firefox Extentions en ga zo maar door. Het is ook interessanter, omdat deze vaak niet worden geupdate door de gebruiker zelf (muv pakketten met een autoupdate feature). Voorbeeld: Dell levert nu nog business laptops uit met Adobe Reader 8.0 die niet automatisch begint te updaten. Gok zo maar dat andere fabrikanten nog meer van dat soort dingen hebben...
Ook dat blijft raar want een Vista installatie komt toch ook niet standaard met Adobe Flash al geinstalleerd ?
Assuming the laptops are still standing, we will finally add some popular 3rd party client applications to the scope. That list will be made available at CanSecWest, and will be also posted here on the blog. First to pwn it receives the laptop and a $5,000 cash prize.
Klopt, alleen bevatte de contest ook 3rd party applicaties na de 3e dag, zoals Skype, Adobe Flash en Reader, etc. Vista kon dus niet gehackt worden in zijn standaard configuratie (1e dag) zonder tussenkomst van een gebruiker. Ook niet met de Vendor Supplied applicaties (op de 2e dag) met tussenkomst van een gebruiker die op mailtjes of linkjes klikt. Vista kon wel misbruikt worden met populaire 3rd party applicaties (3e dag), in dit geval dus Flash. Linux en MacOSX zouden hier ook vatbaar voor zijn zeggen ze, maar gezien de regels van ZDI mag dezelfde exploit niet gebruikt worden om een tweede laptop te claimen.
Vergeet daarnaast niet dat deze config geen schonen installatie was, maar eentje die van de Vendor kwam. In dit geval dus Toshiba met OEM installatie.
All machines will be fully patched and in a default configuration. Simply put, if the vendor shipped it on the box and it's enabled, it's in scope.
Een groot aantal deelnemers heeft wel een aantal bugs gevonden binnen Linux, maar niemand wilde het werk verrichten dat ervoor nodig was om de code te ontwikkelen waarmee deze bugs konden worden uitgebuit.
Dus niemand wil linux hacken? Is dat het zelfde als claimen dat linux veilig is?
"Verschillende aanwezigen hebben geprobeerd om Linux te hacken, maar niemand is het gelukt, zelfs niet toen de regels werden versoepeld.
Mmm... Een hacker/cracker heeft geen regels. Daar telt alleen het resultaat.
...wel een aantal bugs gevonden binnen Linux, maar niemand wilde het werk verrichten dat ervoor nodig was om de code te ontwikkelen waarmee deze bugs konden worden uitgebuit".
Dat zou dus betekenen dat hiermee is aangetoond dat Linux moeilijker is te hacken. Of levert het hacken van Vista meer "eer" op en wil men deze moeite niet doen voor Linux?
In ieder geval is naar mijn idee hier nogmaals aangetoond dat het securitymodel van geheimhouding geen voordelen heeft t.o.v. het open source model.
Haha, wat een onzin, te lui om Linux te hacken.. Daarmee kon altijd nog een laptop en $ 5000,-- gewonnen worden en ze waren er toch al... Dat noem ik gewoon grootspraak.
Windows is dus makkelijker te hacken dan Linux... dus kun je beter Linux gebruiken. De hackers gingen weliswaar voor het 'makkelijke succes', maar dat bewijst alleen maar dat Linux dus veiliger in elkaar steekt. Van Linux hebben ze alle broncode, en nog was het moeilijker te hacken dan Windows. Ik denk dat als ze alle broncode van Windows hadden gehad, dat Vista de eerste was geweest die ten onder was gegaan.
Kortom: ondanks het feit dat van de Linux structuur en code alles bekend is, is het stukken moeilijker om het te hacken. Dat noem ik een grote prestatie.
Windows is dus makkelijker te hacken dan Linux... dus kun je beter Linux gebruiken.
Correctie: Windows met populaire 3rd party applicaties is dus makkelijker te hacken dan Linux...dus kun je beter geen populaire (en vaak brakke) 3rd party applicaties gebruiken.
Correctie: Windows met populaire 3rd party applicaties is dus makkelijker te hacken dan Linux...dus kun je beter geen populaire (en vaak brakke) 3rd party applicaties gebruiken.
Je bedoelt: "Windows in het Wild" is makkelijker te hacken dan "Linux in het wild".
Als ik de gebruiker als maat der dingen zie, en niet de maker van de software, dan concludeer ik dat de gebruiker qua veiligheid beter af is met Linux.
Dat maak jij ervan. Ik geef alleen antwoord op de vraag van mijn voorganger en neem geen OS in de mond.
Verder staat erin dat de hacker hulp nodig had voor Vista en dat niemand de moeite wilde nemen om de hack te schrijven voor Linux. Hoe jij dat verdraait naar; DUS is Vista makkelijker te kraken dan Linux is jou zaak.
Misschien was de hacker er wel op uit om op dit podium Vista te kraken omdat dat een nieuw OS is en was Linux daardoor minder intressant was.
Weet ik veel.
Hoe je het ook wilt wenden of keren, hieruit blijkt in ieder geval dat GNU/Linux in essentie veiliger is dan Microsoft Windows en Apple MacOS X.
De "hackers" beschikten niet over de vereiste kennis om het Ubuntu systeem te verzieken of het was ze op zijn minst te omslachtig.
De logische conclusie luidt derhalve: GNU/Linux is op zijn minst veiliger dan Windows en MacOS X.
Ik zie alleen in het artikel staan dat niemand een code wilde schrijven voor de gevonden bugs in Linux. Dat noem ik nou niet echt een serieuze hack-poging. Nergens staat dat de hackers niet de kennis zouden hebben om het Ubuntu systeem te verzieken of omdat het te omslachtig zou zijn. Dus dat Linux veiliger zou zijn, is naar mijn mening niet echt bewezen.
Hoe je het ook wilt wenden of keren, hieruit blijkt in ieder geval dat GNU/Linux in essentie veiliger is dan Microsoft Windows en Apple MacOS X.
Waaruit blijkt dat? Uit het feit dat een machine misbruikt kan worden door 3rd party applicaties die een bufferoverflow veroorzaken? Ik vraag me dan altijd af of dat dan aan de programmeur van het OS of de applicatie ligt...
Denk je nu dat de hack voor OSX binnen 2 minuten was gedaan?
Deze jonge man heeft voor onderzoek gedaan dus de 2 minuten klopt niet.
Aangezien niemand de de bug voor linux aan wilde beginnen zegt het weinig over dat het veiliger is.
Een lek is eenmaal een lek ongeacht welk OS.
Het gaat erom dat ze allemaal gedicht moeten worden.
In dit artikel staat:
liet hij wel weten dat hij een kwetsbaarheid binnen Java gebruikte om de beveiligingsmaatregelen van Microsoft te omzeilen en dat deze kwetsbaarheid ook van invloed zou zijn op OS X en Linux.
Op Security.NL staat:
Via een zero-day beveiligingslek in Adobe Flash wist Shane Macaulay het nieuwste Microsoft besturingssysteem
Wie o wie heeft er gelijk?
Was dát wel een verassing dan? :-)
Maar, we weten toch allemaal onderhand wel dat élk systeem te hacken is, als er genoeg tijd is en de belangen groot genoeg zijn. Vista werd gehackt aan het einde van de tweede dag. Da's dan nog niet zó slecht, of in ieder geval véél beter dan oudere Windowsversies . Twee minuten voor de Mac. dat valt wel erg tegen.
Dat het met Linux binnen de tijd niet gelukt is om het te hacken vind ik een mooie opsteker voor dat OS.
Mooi artikel om naar te verwijzen als er weer eens FUD verkondigd wordt over de kwetsbaarheid door het OSS model. :-)
Van Linux hebben ze alle broncode, en nog was het moeilijker te hacken dan Windows.
Wel opletten, Vista was in de 3e dag gehackt via een 3rd party exploit waarbij gebruikers aktie nodig was (mailtje openen, linkje klikken, etc). Daarnaast duurde het wel even voordat het zover was, want ze waren toch al weer ettelijke uurtjes bezig.
Vista werd gehackt aan het einde van de tweede dag.
Dat was de juiste quote die bij mijn reply hoorde...
Wat is er zo verrassend aan? Dat OSX het snelst gehackt werd, dat het sneller gehackt werd dan Vista of dat het überhaupt gehackt werd?
Wat mij betreft:
Dat OSX het snelst gehackt werd (wel heul erg snel, dus) en dat het sneller gehackt werd dan Vista.
Er staat nergens WAT er nou gehackt is.
Is het ze gelukt
- in het os te komen zonder gebruikersaccount?
- remote toegang te maken met het systeem?
- het systeem te activeren?
- de rechten van een gastgebruiker te verhogen naar root/administrator?
Wat hebben ze nou gehackt?
Nou ja, kijk na die twee minuten was de hoofdprijs al weg, dus viel er nog die 5000.-- + laptop te verdien, ook geen kattepis. Ik kan me dan eerder voorstellen dat het ze het te veel moeite zou kosten omdat 't binnen de gestelde tijd toch niet zou lukken, zoals lennart hierboven ook al aangeeft.
Last van OS-nijd??
Er staat nergens WAT er nou gehackt is.
Het doel van de competitie was om de laptop te kunnen overnemen.
Is het ze gelukt
- in het os te komen zonder gebruikersaccount?
De default instellingen ven de Vendor werden gebruikt. Dus die van Toshiba (Vista), Apple en Sony (Ubuntu).
- remote toegang te maken met het systeem?
Ja, dat is gelukt. De Mac was out-of-the-box te hacken in 2 minuten via Safari. Vista duurde 3 dagen en moesten er diverse 3rd party applicaties worden geinstalleerd. Adobe Flash was in deze de boosdoener. Vista en Ubuntu waren beide niet over te nemen in default configuratie met of zonder user interactie.
- het systeem te activeren?
Ik snap niet precies wat je hier bedoelt...
- de rechten van een gastgebruiker te verhogen naar root/administrator?
Bij de Mac was dit niet nodig. Bij Vista is het nog niet bekend gezien user interactie op de 3e dag wel mocht. Ik ben dus benieuwd naar het Proof of Concept en of deze dus eerst elevation nodig heeft binnen IE7.
Wat hebben ze nou gehackt?
De Vendor laptops.
Is het ze gelukt
- in het os te komen zonder gebruikersaccount?
De default instellingen ven de Vendor werden gebruikt. Dus die van Toshiba (Vista), Apple en Sony (Ubuntu).
Wat zijn dan de default instellingen bij OSX? naar mijn weten moet je dat altijd nog instellen aan het begin bij het installeren van het OS.
Dus het is nog steeds niet duidelijk of het een root gebruiker wel of niet was. Daar geef je namelijk de rechten.
- remote toegang te maken met het systeem?
Ja, dat is gelukt. De Mac was out-of-the-box te hacken in 2 minuten via Safari. Vista duurde 3 dagen en moesten er diverse 3rd party applicaties worden geinstalleerd. Adobe Flash was in deze de boosdoener. Vista en Ubuntu waren beide niet over te nemen in default configuratie met of zonder user interactie.
De Mac was niet in de 2 minuten gehackt , hiervoor moet meer zijn gedaan. Dus al van te voren bedacht.
Uitvoeren van een hack kan je in feite bij elk OS in 2 minuten doen. (als je weet hoe).
Is er ook daad werkelijk misbruik gemaakt d.m.v. zoals: informatie diefstal? OS overname? Manipuleren van bestanden?
Verder zeg ik niet dat de hacks geen gevaar zijn, dat geloof ik gerust en vind daarom ook voor elk OS er wat aan moet doen.
Tevens heeft niemand de moeite genomen om de code voor Linux te schrijven maar er is ook niet beweerd dat het niet te hacken was.
Conclusie ik tot zover kan relativeren is dat zowel Windows, OSX als Linux dergelijke risico's lopen en naar gekeken moet worden en opgelost worden.
Dit soort wedstrijden bewijzen niet veel. Zowel OSX, alsook Windows, alsook Linux en bijna alle andere OSsen zijn veilig te gebruiken.
Het probleem ligt niet daar, daarom is dit een onzinngie wedstrijd.
Wat je moet testen is
- wordt het veilig gebruikt?
- hoe moeilijk is het om veilig te gebruiken
- worden fixes snel uitgeleverd
- worden fixes vakkundig en snel geïnstalleerd
- is het mogelijk/betaalbaar om deskundig personeel te krijgen
Al deze dingen worden niet getest in een hackwedstrijd, en daarom is zo'n wedstrijd niet zo zinvol.
Maar wel leuk dat Linux er goed uitkomt, fijn om aan mijn klanten te laten lezen, gewoon, voor de leuk.
Het is ook een onzinnige wedstrijd, lijkt me.
Zo als ik het lees zijn het hackers geweest die Linux gebruiken en graag een Apple laptop wilden hebben.
Daarom hebben ze moeite gedaan om de Mac te hacken.
Ze hadden het anders moeten doen: een team van Vista gebruikers, een team van Mac gebruikers en een team van Linux gebruikers die ieder proberen andere OSjes te kraken.
Nu komt het raar over en is het erg suggestief allemaal.
Ik zou niet durven te suggereren dat OS X en Vista SP1 minder veilig zijn dan linux, maar als ik je daar een plezier mee doe wil ik het best wel insinueren, hoor :-)
Dat mag, maar wat ze hier nu eigenlijk hebben aangetoond voor de Vista gebruikers is dat het idd out-of-the-box een veilig OS is en niet te hacken was (zelfs niet met user interactie), maar dat je wel rete goed moet oppassen met 3rd party applicaties. Van dat laatste zie je tegenwoordig steeds meer met kritieke fouten komen, denk aan RealPlayer, Adobe Reader en Flash, Apple Quicktime en Safari, Skype, etc.
Ik vraag me alleen af hoeveel mensen er nou eigenlijk hebben mee gedaan aan deze contest, gezien deze gast vorig jaar de Mac in een paar uurtjes wist te hacken bij dezelfde wedstrijd. Maar net als vorige keer, kon hij het toch niet helemaal alleen: Shane received some assistance from his friends Derek Callaway (also from Security Objectives) and Alexander Sotirov.
een team van Vista gebruikers, een team van Mac gebruikers en een team van Linux gebruikers die ieder proberen andere OSjes te kraken.
Volgens mij kun je eht beste de veiligheid van een systeem laten testen door iemand die er capabel voor is, maakt niet uit welk OS-sen hij thuis op zijn PC's heeft staan.
Maar wel leuk dat Linux er goed uitkomt, fijn om aan mijn klanten te laten lezen, gewoon, voor de leuk.
En wat leest je klant dan, dat er bugs in Ubuntu zitten maar deze hackers gelukkig te lui zijn om een PoC te maken voor een exploit? Dus er zijn bugs die wellicht misbruikt kunnen worden? En jij weet welke bugs dit zijn, zodat ze gedicht zijn en ook in de toekomst niet misbruikt kunnen worden?
Nee, dat zou ik net zo min aan mijn klanten willen laten zien als dat Vista gehackt kan worden via Adobe Flash of dat een Mac Airbook out-of-the-box binnen 2 minuten is te kraken. Ik ben blij dat jij niet bij ons op de Marketing afdeling werkt... :)
dat geloof ik niet, want Mac OSX en Linux zijn net zo ingewikkeld of eenvoudig, afhankelijk van wat je wilt doen.
Het is net als het jatten van een auto.
Een auto is interessant als deze met weinig moeite is te jatten.
Het is maar net hoeveel werk het is om de auto weg te krijgen.
Elke auto kan gestolen worden. Als ze echt willen, krijgen ze hem ook.
En zo werkt dat dus ook met hackers.
Ze zijn allemaal wel te kraken. Maar als het de hoeveelheid energie niet waard is lopen ze vrolijk door naar het volgende OS.
Er moest behoorlijk wat energie gestoken worden in het schrijven van een exploit voor een bug/gat/lek dat relatief weinig mogelijkheden bood.
Dat is precies zoals hackers (en ook auto dieven) te werk gaan.
Als ik het goed begrepen heb, was er voor elk gekraakt OS een laptop te winnen, dus drie stuks. Apple ging binnen twee minuten plat en Windows duurde een dag. Ik neem aan dat de hackers zich de volgende twee dagen dus volledig hebben gericht op het kraken van de Linux laptop, omdat die andere twee al weg waren.
Apple ging binnen twee minuten plat en Windows duurde een dag. Ik neem aan dat de hackers zich de volgende twee dagen dus volledig hebben gericht op het kraken van de Linux laptop, omdat die andere twee al weg waren.
Nee, je hebt het niet (helemaal) goed begrepen. De Mac was in 2 minuten op de 2e dag gehackt. Op de 3e en laatste dag waren de laptops met Vista en Ubuntu nog niet gehackt. Pas na 7 uur zagen wisten ze een exploit te vinden via Adobe Flash. Uiteindelijk had de rest dus nog maar een paar uur extra de tijd voor Ubuntu. Uiteindelijk is dus na 3 dagen Ubuntu als enige overgebleven. Het vreemde is dat men hier wel bugs heeft gevonden, maar het niet wilde uitwerken. Een mogelijke rede (en ja dit is gissen, maar waarschijnlijk niet eens zo ver van de waarheid) dat deze niet werden onderzocht is dat een Bug vinden voor Vista nou eenmaal meer naamsbekendheid op levert. De hacker had dan ook hulp van zijn collega's nodig om een PoC te maken voor Adobe Flash. Niet geheel onbelangrijk is dat de bedrijfsnaam wel een aantal keertje is genoemd. Jezelf in de kijker spelen bij Adobe en Microsoft...dat levert serieus geld op als bedrijf (marketing tool) en staat erg goed op je CV.
Bug vinden voor Vista nou eenmaal meer naamsbekendheid op levert.
Nou, dat weet ik nog niet zo. Ik bedoel, van een Microsoft product kijkt niemand ervan op dat het gehacked wordt. Je bent dan gewoon de zoveelste in de lange lijst. Maar een Linux-doos hacken, dat zou pas een prestatie zijn! En dan zou de stap naar het eerste werkende Linux-virus misschien zelfs in zicht kunnen komen!
Nou, dat weet ik nog niet zo. Ik bedoel, van een Microsoft product kijkt niemand ervan op dat het gehacked wordt.
Ow nee? Gek, ik lees dit bericht anders op elke tech site. Straks komt Adobe met een fix uit en moeten ze weer toegeven dat Flash er voor kan zorgen dat je PC overgenomen kan worden. Uiteraard is dit geen nieuws als je bedenkt dat Flash zowat de belangrijkste en meeste geinstalleerde plugin is voor webbrowsers. Hier zal men echt geen moment aandacht meer aan besteden. Dus geen melding van techsites, waarschuwingsdienst, kranten, etc. Wat denk je nu zelf? Mensen gaan de KB's lezen (iig techmensen) en zien daar de naam van dat bedrijf staan als de vinder...en wat blijkt, ze doen security onderzoeken...nah, en als ik die net nodig heb dan heeft dat vast geen invloed op mijn evoked set in deze.
Een auto is interessant als deze met weinig moeite is te jatten.
Ja, en als het de moeite waard is om te jatten. Een Porsche is natuurlijk een leukere uitdaging dan een 2CV, zowel qua klus als qua buit. Maar zowel OSX, Vista als Linux zijn OS'en met een zekere reputatie. Ik vroeg me af waarom de deelnemers als eerste hun pijlen op OSX richtten.
Ik weet niet wat ze precies hebben gedaan de volgende twee dagen, maar volgens mij hebben ze zich niet echt gericht op het kraken van de Linux laptop. Zie het volgende gedeelte uit het artikel:
Volgens Forslof betekent dit overigens niet dat Linux niet te hacken is: "Een groot aantal deelnemers heeft wel een aantal bugs gevonden binnen Linux, maar niemand wilde het werk verrichten dat ervoor nodig was om de code te ontwikkelen waarmee deze bugs konden worden uitgebuit".
Nee, alleen alleen luiheid om niet gebruik te maken van (o.a. en nog veel meer, zie http://www.ubuntu-nl.org/usn/) de volgende vulnerability's:
[USN-596-1] Ruby vulnerabilities
Ubuntu Security Notice USN-596-1 March 26, 2008
ruby1.8 vulnerabilities
CVE-2007-5162, CVE-2007-5770[USN-595-1] SDL_image vulnerabilities
Ubuntu Security Notice USN-595-1 March 26, 2008
sdl-image1.2 vulnerabilities
CVE-2007-6697, CVE-2008-0544[USN-594-1] libnet-dns-perl vulnerability
Ubuntu Security Notice USN-594-1 March 26, 2008
libnet-dns-perl vulnerability
CVE-2007-6341[USN-593-1] Dovecot vulnerabilities
Ubuntu Security Notice USN-593-1 March 26, 2008
dovecot vulnerabilities
CVE-2008-1199, CVE-2008-1218[USN-592-1] Firefox vulnerabilities
Ubuntu Security Notice USN-592-1 March 26, 2008
firefox vulnerabilities
CVE-2007-4879, CVE-2008-0416, CVE-2008-1195, CVE-2008-1233,
CVE-2008-1234, CVE-2008-1235, CVE-2008-1236, CVE-2008-1237,
CVE-2008-1238, CVE-2008-1240, CVE-2008-1241[USN-590-1] bzip2 vulnerability
Ubuntu Security Notice USN-590-1 March 24, 2008
bzip2 vulnerability
CVE-2008-1372[USN-591-1] libicu vulnerabilities
Ubuntu Security Notice USN-591-1 March 24, 2008
icu vulnerabilities
CVE-2007-4770, CVE-2007-4771[USN-589-1] unzip vulnerability
Ubuntu Security Notice USN-589-1 March 20, 2008
unzip vulnerability
CVE-2008-0888[USN-588-1] MySQL vulnerabilities
Ubuntu Security Notice USN-588-1 March 19, 2008
mysql-dfsg-5.0 vulnerabilities
CVE-2006-7232, CVE-2007-2692, CVE-2007-6303, CVE-2008-0226,
CVE-2008-0227[USN-587-1] Kerberos vulnerabilities
Ubuntu Security Notice USN-587-1 March 19, 2008
krb5 vulnerabilities
CVE-2008-0062, CVE-2008-0063, CVE-2008-0947[USN-586-1] mailman vulnerability
Ubuntu Security Notice USN-586-1 March 15, 2008
mailman vulnerability
CVE-2008-0564[USN-585-1] Python vulnerabilities
Ubuntu Security Notice USN-585-1 March 11, 2008
python2.4/2.5 vulnerabilities
CVE-2007-2052, CVE-2007-4965[USN-582-2] Thunderbird vulnerabilities
Ubuntu Security Notice USN-582-2 March 06, 2008
mozilla-thunderbird
Bug 197504[USN-584-1] OpenLDAP vulnerabilities
Ubuntu Security Notice USN-584-1 March 05, 2008
openldap2.2, openldap2.3 vulnerabilities
CVE-2007-6698, CVE-2008-0658
Ach, daar komen ze weer, de lijstjes. Zie je dat het allemaal gefixte issues betreft? Dus niet zo interessant in deze context. Ik zal mijn verhaaltje nog maar eens afsteken, wat elke maand als er een nieuwe nick verschijnt nog niet bekend blijkt te zijn.
---------------------------------
Weet je dat Microsoft alleen maar issues bekend maakt die sowieso al buiten Microsoft bekend waren, dat is eenvoudig te bewijzen, want op al die patchdag-lijstjes staan alleen issues die buiten Microsoft bekend waren (in de afdeling acknowledgments), zoek dit zelf maar na.
Hier een paar willekeurige voorbeelden
www.microsoft.c...n/ms08-mar.mspx
www.microsoft.c...n/ms08-feb.mspx
Dit kan twee dingen betekenen.
1) In al die producten van Microsoft hebben ze zelf geen security-issues gevonden:
We hopen allemaal dat MS er meer vindt dan de buitenwacht, want dat zou de veiligheid van MS ten goede komen. Naar hun eigen aangeven is dat dus niet zo, en worden binnen MS bijna geen security-issues gevonden. Diegenen die bekend en gefixt waren al buiten MS bekend.
2) Microsoft repareert security-issues zonder deze bekend te maken. Dit is heel aannemelijk, maar dat maakt lijstjes zoals jij die aanvoert waardeloos in vergelijk. Want je vergelijkt een bedrijf dat alle publiceert met een bedrijf dat alles geheimhoudt, behalve als het neit anders kan.
Snap je?
En tenslotte, Ubuntu, lees het lijstje, brengt ook fixes uit van third aprty producten. Je verelijkt een linux-distributie met een OS. je weet eht blijkbaar niet, maar in een gemiddelde Linux-distributie zitten duizend of meer software-pakketten meegeleverd. Veel vand eze producten zie je terug in de lijstjes.
Hoelang zouden de lijstjes worden indien je alle mogelijke third party Windwos software ook meerekent?
Snap je?
Sinds wanneer is Ubuntu ineens geen OS meer. Op de website van Ubuntu zelf staat dat Ubuntu een compleet op Linux gebaseerd besturingssysteem (OS) is.
Maar goed, die hackers, zullen net zoals ik liever windows software aanvallen, want dan weet je ten minste dat je niet zelf het probleem zult moeten oplossen :D
Dus heeft het artikel volgens jou gelijk in de stelling dat de hackers de moeite niet wilde nemen bij Ubuntu, omdat ze anders ook een fix zouden moeten maken? Die insteek had ik nog niet zo bekeken...
Misschien een rare vraag, maar waar reageer jij op? Of doe je een actie-reactie-conversatie met jezelf?
Ubuntu is veel meer dan een OS, er zitten duizenden applicaties bij. Ik weet niet of iets van Linux weet.... Maar dit is bij bijna iedere Linux-distro zo. (behalve die distro's ide bedoeld zijn voor specifieke industriële toepassingen, of embedded toepassingen, zoals router-firmware)
Wat op de voorpagina van de website staat is inderdaad fout. Op eena ndere pagina staat het wel goed:
Nadat het installatieprogramma is afgelopen, is je systeem meteen bruikbaar. Je hebt dan een complete set kantoorprogramma's, internet programma's, grafische programma's, tekenprogramma's, spellen en veel meer. Die ene cd geeft je een hele goede Desktop omgeving "out of the box" met vele applicaties voor kantoor- en thuisgebruik standaard geïnstalleerd.
Mijn punt van het lijstje was om aan te tonen dat Ubuntu, net zoals Windows, vulnerabilities heeft en dus net zo goed gehackt kan worden. Alleen dat is nu niet gebeurd omdat men er geen moeite voor wilde doen.
Natuurlijk, maar dat is en open deur, het ontkent niemand (misschien heb ik een ontkennende reactie gemist, zullen we dan samen even "foei" roepen?)
Tja, ongeveer net zo'n open deur als roepen "maar Israel doet ook dingen fout" tegen iemand die kritiek heeft het terrorisme.
Dit soort open deuren tonen niks aan, proberen alleen de beeldvorming te beïnvloeden.
Ik weet wel dat je er op uit bent, maar ik ga hier geen discussie voeren over Israël of over gelegenheidsargument en in het algemeen of het bijzonder.
Dus ga de discussie voeren waar hij on topic is, en waar ik je ook altijd van repliek heb gediend.
Want dit is uitermate vervelend, niet alleen voor mij, maar ook voor anderen, lijkt mij.
Ik begrijp dat je niks te winnen hebt bij deze discussie. Feit is dat je een bepaald soort redenatie gebruikt wanneer het je uitkomt, en afkeurt als het niet in je straatje past.
Je bent betrapt op een gelegenheidsargument.
het is niet zo belangrijk voor mij, het betekent niet veel voor mij, dus ik wil het best toegeven
goed?
Dat is inderdaad het beste wat je kan doen als je in een gat zit: stop graven.
Prima. Gaat verder en zondigt niet meer.
Ah, je wil nog even natrappen? Dat kan ik ook. Maar neit vandaag. Spijtig dat je deze weg kiest, vooral voor jou. Sukkel
Dat vind ik meer op jezelf slaan, want waar gaat dit nou helemaal over? Nergens toch?
Waarom begin je deze discussie die niet gerelateerd is aan het onderwerp, gewoon omdat je eenw eek gelden niet in staat was om je gelijk te halen in een discussie. Toch blijf ik er bij dat Nederlanders betrokken waren bij misdaden tegen de menselijkheid (bijvoorbeeld slavernij).
En dat ook joden misdaden tegen de menselijkheid hebben begaan, en niet alle joden (ten overvloede), en zelfs niet de meerderheid. (Het gaat bombardementen van burgerdoelen in een land waarmee het niet in oorlog is, een heel volk achter een muur opsluiten, het bouwen van nederzettingen op andermans land, land onteigenen zonder zorgvuldige juridische procedures, de lijst is lang, dit zijn alleen maar voorbeelden. Mensen die dermate onderdrukt worden als de Palestijnen ontwikkelen een voor Israël levensgevaarlijke haat, en met die haat wordt Israël bijna dagelijks geconfronteerd. Heel veel Israëlieten vinden het ook een heilloze weg die hun politieke en religieuze leiders voorstaan.)
Ben je nu tevreden, moeten we die discussie overdoen? Ik heb alvast de aanzet gegeven.
Gaje gang, maak mij maar uit voor racist, want ik heb kritiek op Israël, en op joden. Ook op Nederlanders, Duitsers, christen en moslims. In alle bevolkingsgroepen zijn er mensen te vinden waarop ik kritiek heb, maar daar gaat het jou niet om. Het gaat jou erom dat ik kritiek op joden heb, de rest zal jou worst wezen
De "hack" wedstrijd bewijst alleen dat de "heren" de makkelijkste weg eerst hebben gekozen, deze weten op voorhand al waar ze aan beginnen dus kiezen ze de hun bekendste snelste weg.
Een "wedstrijd" in deze context wordt als het ware met voorbedachte rade aangegaan, hier wil elke deelnemer zo snel mogelijk aan de finish zijn om prijzen te halen, je kunt dan wel opmerken dat Linux(xen) veiliger zijn omdat ze meer tijd en moeite kosten omdat ze deze wat meer als laatste bewaren. Hoeveel moeilijker? Dat weet niemand dat hangt namelijk van veel te veel factoren af.
Er zijn net zoveel mogelijkheden als verschillen, hoeveel tijd en geld wil je gebruiken om in te breken en hoeveel levert dit op? Daar valt en staat bijna elk model mee. Alleen de OSS wereld heeft het voordeel dat er meer ogen meekijken, iets wat door één persoon gemaakt is is makkelijker door meerderen te breken.
Alleen dat is nu niet gebeurd omdat men er geen moeite voor wilde doen.
En daar doe ik dan m'n voordeel mee :-)
En daar doe ik dan m'n voordeel mee :-)
Welk voordeel? Dat onderzoekers geen PoC maken? Wil dat zeggen dat anderen (met goede of kwade intenties) dat ook niet doen? Ga je zelf de bug fixen? Is het een voordeel om een bug is je OS te hebben? Wat bedoel je er nou eigenlijk mee...
Alleen dat is nu niet gebeurd omdat men er geen moeite voor wilde doen.
Juist ja, dat argument hoor ik nu al [b]10 jaar[/b/]:
GNU/Linux is niet interessant voor "hackers" omdat niemand het gebruikt.
En:
Als "Linux" populairder wordt, krijgt het ook last van virussen.
We zijn nu 10 jaar verder, GNU/Linux is wel degelijk klaar voor de desktop, is mateloos populair, maar er zijn nog steeds geen significante virussen voor en het schrijven van een exploit onder GNU/Linux is ook niet iets, dat een script kiddie even op een regenachtige zondagochtend doet.
Onder Windows heb je niet eens de broncode van een programma nodig en hoef je die broncode dus ook niet op zwakheden te onderzoeken. Onder Windows heb je tools als Resource Hacker, programmeer kennis is hier dus niet eens noodzakelijk.
Kortom, het is zeer lachwekkend, hoe de Windroids zich er weer uit proberen te praten en de schuld (zoals gewoonlijk) bij iedereen, behalve Microsoft leggen.
Tot slot was ik behoorlijk geshockeerd over het resultaat van MacOS X, dit had ik zeker niet verwacht. Maar ja, ook MacOS X blijft voornamelijk gesloten software, met alle gevolgen van dien (niet controleerbaar).
Als deze wedstrijd al iets bewijst dan is dat, IMHO, misschien wel dit:
Dat bij closed_source spullen de veiligheid af neemt naarmate het aantal gebruiks ervan groter wordt,
Terwijl bij Open_Source spullen de veiligheid juist toe neemt naarmate het aantal gebruikers ervan groter wordt.
Eenvoudig doordat er daardoor ook steeds meer terzake-kundige mensen die Open_Source-codes gebruiken, onderzoeken en (beta)testen, met als gevolg dat die codes steeds beter (en vooral ook: veiliger) worden (gemaakt).
En dat kan dus helemaal niet bij closed-source-warez, eigenlijk doen firma's zoals ms zichzelf enorm tekort door doelbewust geen gebruik te (willen) maken van de expertise van hun ervaren klanten/gebruikers...
Persoonlijk vind ik deze tegenstellingen tussen closed/Open heel opmerkelijk en zelfs nogal grappig - vooral ook omdat dit FUD zoals: "Als er net zoveel Linux als ms gebruikt zou worden, dan wordt Linux 'vanzelf' net zo onveilig als ms" totaal, maar dan ook echt definitief onderuit haalt... :-)
Dit nog: java en java-script zijn vaak onmisbaar - maar dan wel altijd in een van de rest van het systeem afgezonderde "sandbox", waardoor het (vrijwel) onmogelijk voor die app'jes wordt gemaakt, mijn /home/dir te verzieken - laat staan heel m'n Linux-systeem te kraken/plat te leggen. Dit is althans nog nooit gebeurt en verwachten doe ik het ook niet.
De uitkomst van deze "wedstrijd" had ik eerlijk gezegd wel een beetje verwacht - behalve dan dat Apple zo gemakkelijk te kraken zou zijn... Valt mij wel erg tegen van Apple. Foei, Apple, ga in de hoek staan en je schamen...! ;-)
Dat bij closed_source spullen de veiligheid af neemt naarmate het aantal gebruiks ervan groter wordt
Je bedoelt omdat Adobe Flash door meer users wordt gebruikt dan Vista is Adobe Flash wel te kraken maar Vista niet ?
Het blijkt dat Vista met Flash te kraken is, Vista zonder Flash niet - of in elk geval moeilijker. Het blijft vervelend voor Vista dat een programma te installeren is waardoor je Vista systeem gevoelig(er) wordt voor inbraak. Dat Flash redelijk veel gebruikt wordt maakt het nog wat vervelender.
Adobe werkt aan een fix. Dat is mooi, maar het pakt het fundamentele probleem in Vista niet aan, namelijk dat Vista 3rd-party spul toestaat om de deur open te zetten voor stiekemerds. Mogelijk zijn OS X en linux gevoelig voor een zelfde soort exploit, maar van Vista is het nu bewezen. Daar wordt niemand gelukkig van, behalve de stiekemerds.
namelijk dat Vista 3rd-party spul toestaat om de deur open te zetten voor stiekemerds
Cool, jij hebt de PoC gezien! Hoe werkt ie nou? Welke acties moeten de users uitvoeren? Moet je permissies toekennen via elevation? Werkt hij in IE7 protected mode? Mag ik een linkje, want ik wil dit nu eindelijk wel eens met eigen ogen bekijken...
Heel eerlijk gezegd: nee, ik heb de PoC niet gezien, en ik ben er voetstoots van uit gegaan dat de spelregels van de wedstrijd zo streng waren dat het om een serieus lek moet gaan voordat je in aanmerking komt voor een prijs.
Assumption is the mother of all fuck-ups.
Ik kan dus niet stellen, op grond van de gepresenteerde informatie, dat er een fundamenteel probleem zit in Vista. Als ik beroepsmatig betrokken zou zijn bij beheer van Vista-werkplekken zou de uitslag van de wedstrijd me wel zorgen baren.
Werkt hij in IE7 protected mode?
Het is aannemelijk dat er wordt uitgegaan van een default situatie. Als je de machine vooraf extra onveilig gaat maken, dan is het natuurlijk onzin, en zo achterlijk zijn ze nu ook weer niet.
Het blijkt dus een mooie hack te zijn voor Vista. Echter gaan Linux en MacOSX ook niet vrijuit: Ook Linux en Mac OS X kwetsbaar voor Flash zero-day
Dat bij closed_source spullen de veiligheid af neemt naarmate het aantal gebruiks ervan groter wordt
Ik zie het verband niet, hoezo wordt closed source minder veilig als het vaak wordt gebruikt? Volgens mij neemt de veiligheid toe, omdat de impact van een onveiligheid veel groter is.
Beste toiletpaper , in reactie op uw berichtje van 30-03-2008 12:08
Ik zie het verband niet, hoezo wordt closed source minder veilig als het vaak wordt gebruikt? Volgens mij neemt de veiligheid toe, omdat de impact van een onveiligheid veel groter is.
Uw commentaar lijkt mij ten dele best waar, maar... wat ik bedoelde was eenvoudig dit: dat bij closed-source (of het nu een besturings-systeem of een applicaties betreft) men maar geacht wordt (blindelings ?) van de distributeur aan te nemen, dat het inderdaad echt helemaal veilig is en er dus o.a. geen geniepige achterdeurtjes inzitten... (Vrij vaak blijken die er dus wel degelijk in te zitten... Iemand: wga ?)
Wat men zelf nooit echt 100 % kan controleren precies omdat die source-codes closed zijn. Dat is toch onweerlegbaar een onzekere situatie ten aanzien van de veiligheid, of niet soms ?
En waarom gebruikt men dan Secure-Linux (b.v. bij geheime diensten en het leger, o.a. in de USA) voor zeer veiligheids-gevoelige toepassingen - maar absoluut nooit ms-warez ?? Volgens mij exact om deze door mij aangegeven reden... Omdat voor bepaalde toepassingen veiligheid geen luxueuse "toevoeging" is - maar een absoluut essentiele zaak.
Terwijl bij Open_Source - aangenomen dat men daar de vereisde kennis, tijd, enz. voor bezit - men echt alles zelf kan controleren (dat heb ik dan ook gedaan ! :-) ). Sterker nog: dit wordt door Open_Source Communnity zelfs actief gestimuleerd...
Waarbij men ook nadrukkelijk gevraagd wordt eventuele (security) bugs te publiceren, zodat er (vrijwel altijd binnen een dag ofzo) een fix voor gemaakt kan worden.
En welke firma had enige tijd geleden ook alweer een claim dat zij (zelfs) op de bugs in hun systemen "het auteurs/patent-recht" hadden - en deze dus niet zonder hun toestemming gepubliceerd zouden mogen worden ? Was dat niet ms ?? ;-)
Mijn voorgaande reactie is ook en misschien vooral geschreven om die ongelooflijk irritante FUD-onzin van "Als Linux net zoveel gebruikt zou worden als... dan zou het net zo onveilig worden" voor eens en voor altijd de kop in te drukken, omdat dit gewoon B.S. is !
Open_Source en Linux zijn natuurlijk ook niet volmaakt, dat weten Open_Sourcerors (o.a. ikzelf) als geen ander. Exact daarom wordt er ook voortdurend hard aan gewerkt om het steeds verder te verbeteren. Door circa 1 000 000 programmers/beta-testers/enz. En aan welk ander, eventueel commercieel, systeem wordt er door circa 1 M terzakekundigen gewerkt ? Juist: helemaal geen enkel !
Maar, nogmaals, het belangrijkste argument is en blijft: bij Open_Source (en natuurlijk ook bij Open_Standards) is men niet 100 % afhankelijk van de "buien" van 1 enkele distributeur, maar kan, mag (zie GPL) en heeft men echt de mogelijkheid tot volledige controle over het eigen systeem - wat bij closed-source absoluut nooit het geval is of ooit zal worden...
Vooral op grond daarvan beweer ik keihard dat Open_Source wares intrinsiek altijd veel veiliger zijn dan closed_source spullen.
Waarmee natuurlijk nog lang niet gezegd is, dat er daarom nooit een (on)veiligheids-issue in Open_Source-wares zou kunnen optreden, was het maar zo'n feest... ;-)
Grtz. D.I.
Je gaat uit van een aantal veronderstellingen, en die knoop je aan elkaar en je komt dan tot een conclusie.
Sommige van die veronderstellingen kun je met hetzelfde gemak omdraaien, en dan kom je tot een andere conclusie. Een veel voorkomende valkuil
men maar geacht wordt (blindelings ?) van de distributeur aan te nemen, dat het inderdaad echt helemaal veilig is
Waartoe men wordt geacht is niet interessant, wat men doet is interessanter, Windows wordt heel goed getest op de markt, niet in de laatste plaats door hackers, maar ook door allerlei security bedrijven.
Dit is juist omdat het zoveel wordt gebruikt. Dus heb je in feite mijn stelling onderbouwd: De veiligheid van software (ongeacht closed/open source) neemt toe naarmate het meer wordt gebruikt (in het algemeen, is geen wet van meden en perzen)
Ik mag het toch ten dele met je oneens zijn, dat wat er van closed source onderzocht wordt is het bekende topje van de zichtbare en bekende code. Het Closed gedeelte wat MS aan de hun gelieerde onderzoekers kwijt wil is aan het oppervlakte van het gesloten gedeelte.
Er is maar (ik denk het eigenlijk niet) een select groepje dat álles kan zien of zou kunnen weten.
Wanneer Hackers/scriptkiddys een mix van aanvallen loslaten zal er best wel een gedeelte van het bekende onbekende deel loslaten, het lek is daar, soms niet eens bekend waar en waarom maar het is er en te misbruiken.
Bij CS zijn er veel meer ogen die delen van het geheel, zelfs overlappend kunnen zien en bevatten. Ook hier slipt wel eens wat door, maar de maker en oplosser hoeven hier niet door dezelfde bril te kijken en is de oplossing ook weer door meerderen gecontroleerd voor eer er een uitrol is.
Hoeveel patches van MS deden meer kwaad dan goed, ken je er ook van OSS, ik weet het niet, maar waarschijnlijk summier.
Ook al is het maar een topje van de ijsberg.
De stelling is dat ik zeg dat indien een software-product veel wordt gebruikt, dit in het algemeen leidt tot een veiliger product (ik zei erbij dat dit een trend is, er zijn uitzodneringen)
(veiliger is niet hetzelfde als veilig)
In de huidige discussies is het niet over veiliger worden maar in veiliger dan.
Nu is daar veel over geschreven en daar waag ik mij niet tussen, maar de methodiek tussen OSS en CSS maakt daar wel een verschil, als er grotere OSS groepen aan een project werken geeft ook dit gelijk aan je stelling, dit in tegenstelling tot CSS, de ontwerp groep blijft relatief gelijk tegen een grote groep gebruikers.
Als iemand de beveiliging van een gebouw ontwerpt is deze meestal alleen vanwege de veiligheid, om dezelfde beveiliging ongedaan te maken is vaak een groep of groepen die gezamenlijk meer verstand en kijk-hoeken beheersen, dan komt het kosten baten om de hoek, hoeveel geef je uit om hoeveel te ontvangen en met welk risico.
Door circa 1 000 000 programmers/beta-testers/enz.
Microsoft heeft nog veeeeeel meer beta-testers! hahahaha ;-)
en beta-tester die niet bepaalde procedures volgt, en op gestandaardiseerde wijze rapporteert is niet veel waard, miscshien zelfs schadelijk. Dat zal iedere professionele software ontwikkelaar beamen.
since Safari is just the lamest browser ever
Een van de problemen met linux is dat het zo'n veelkoppig beest is. Moet je Nautalus exploiten, Konqueror, heeft het AppArmor, ASRL, SeLinux, Pax, .. verschilt allemaal zo sterk van elkaar.
Ik weet dat er nog bugs genoeg zullen zijn in dingen zoals Konqueror, mplayer en andere media spelers.. Maar ze succesvol exploiten op bepaalde systemen is door countermeasures zeker een pak lastiger.
Maar goed, die hackers, zullen net zoals ik liever windows software aanvallen, want dan weet je ten minste dat je niet zelf het probleem zult moeten oplossen :D
Ik vind het prachtig om te zien hoe de linux aanhangers zich verkneukelen omdat vista is gehacked en hoe de MS aanhangers zich in alle bochten draaien om vooral de schuld te leggen bij anderen. ik ben gewoon van mening dat het niet uitmaakt waar en bij wie de schuld ligt. Het moet gewoon opgelost worden.
Ik heb dezelfde mening. En ik denk dat het ook wel snel opgelost zal worden.
Bovendien: dit was een hacker wedstrijd. We praten dus over mensen met een bovengemiddelde kennis van computers. De doorsnee eindgebruiker van willekeurig welk OS komt zover niet. Waarmee ik overigens niet wil zeggen dat een gat voor eindgebruikers niet gevaarlijk kan zijn).
De doorsnee eindgebruiker van willekeurig welk OS komt zover niet.
Die vertrouwen dus op de producent dat software veilig is.
Mooie uitslag toch? Dat Windows niet veilig is weet iedereen al jaren lang en de meeste gebruikers zijn zo slim om daar rekening mee te houden. Niets om je voor te schamen. Dat linux veiligste OS is is ook al jaren bekend. Enige die zich misschien eens achter de oren moet krabben zijn die Apple-fanaten die maar blijven claimen dat hun OS zo veilig is, want echt keer op keer blijkt maar weer dat dit niet het geval is.
Dat linux veiligste OS is is ook al jaren bekend
En hoe weet jij dat het de veiligste is?
Volgens mij is er een andere OS wellicht minder bekend maar schijnt veel veiliger te zijn.
Het OS heet namelijk: EROS www.eros-os.org/
Verder is BeOS (unix gebaseerde OS) nooit vergeleken met OSX, Windows, Linux op veiligheid.
Misschien is BeOS wel veel veiliger, dus je weet helemaal niet of Linux het veiligste OS is.
Verder zijn er nog meer OS-en zoals
www.coyotos.org/
Ik beweer geen van drie (OSX, Windows, Linux) het veiligste OS is , ik beweer dat deze ergens in de maak is maar nog geen bekendheid heeft.
Tja, het is maar hoe je het bekijkt...
Linux werkelijke verliezer tijdens hackwedstrijd
Tijdens de recente PWN to OWN wedstrijd wisten hackers zowel een MacBook met OS X als een laptop met Windows Vista te kraken, maar de werkelijke verliezer is Linux. De hack van de MacBook Air via een kwetsbaarheid in Safari leverde mooie headlines op. In het geval van Windows Vista moesten de regels zelfs worden aangepast, en viel Microsoft's nieuwste besturingssysteem door een lek in Adobe.
"Dat zie ik als een morele overwinning voor Microsoft," zegt Larry Dignan. Het was volgens de IT-journalist logisch dat Apple als eerste gehackt zou worden. "Het hacken van een MacBook haalt de pers. Het is sexy, het is de droom van elke blogger. Hoe groter Apple wordt, hoe meer hackers het willen aanvallen. Simpel gezegd is security by obscurity geen optie meer voor Apple."
En dat is meteen ook de reden dat de Ubuntu laptop de werkelijke verliezer is. Ten eerste is het besturingssysteem niet onkwetsbaar, hackers hebben niet eens de moeite genomen om naar te kijken. Ze zagen er geen roem in, laat Dignan weten. "Als de wedstrijd nog een dag was doorgegaan zou ook Ubuntu zijn gehackt. Zodra Ubuntu vaker wordt gehackt weet je dat het Linux OS het gemaakt heeft. Lekken volgen namelijk succes."
Val mij hier niet op aan, ik quote alleen maar. Het hele orginele artikel is hier te vinden. Kennelijk is mijn theorie dus niet helemaal lariekoek, zoals sommigen je hier doen geloven... :)
En dat is meteen ook de reden dat de Ubuntu laptop de werkelijke verliezer is. Ten eerste is het besturingssysteem niet onkwetsbaar, hackers hebben niet eens de moeite genomen om naar te kijken. Ze zagen er geen roem in, laat Dignan weten. "Als de wedstrijd nog een dag was doorgegaan zou ook Ubuntu zijn gehackt. Zodra Ubuntu vaker wordt gehackt weet je dat het Linux OS het gemaakt heeft. Lekken volgen namelijk succes.
De denkfout van de schrijver schuilt er in dat hij de begrippen "succes" en "veiligheid" verwart, en uit die verwarring een conclusie destilleert. hij zit er diep in, in die verwarring, want analyseer die regel die je toont eens.
En dat is meteen ook de reden dat de Ubuntu laptop de werkelijke verliezer is [succes]. Ten eerste is het besturingssysteem niet onkwetsbaar [veiligheid], hackers hebben niet eens de moeite genomen om naar te kijken. Ze zagen er geen roem in,[succes] laat Dignan weten. "Als de wedstrijd nog een dag was doorgegaan zou ook Ubuntu zijn gehackt[veiligheid]. Zodra Ubuntu vaker wordt gehackt weet je dat het Linux OS het gemaakt heeft[succes]. Lekken volgen namelijk succes.[succes]
Tenslotte slaagt hij er niet in deze hypothese te bewijzen, of aantoonbaar te maken. Nee, nee, huiswerk opnieuw maken. Dit is niveau RTL4
Bij jou is alles een denkfout. Iedereen die het niet met jou eens is snapt het niet. Wel eens gedacht dat jij eigenlijk degene bent die misschien het grote plaatje niet helder ziet?
Eerder deze week werd Linux als verliezer van de PWN to OWN hackerwedstrijd uitgeroepen, maar nu heeft ook de organisatie laten weten dat het open source besturingssysteem niet de interesse van aanwezige hackers had. Het was dan ook het gebrek aan interesse en niet de veiligheid van het systeem wat ervoor zorgde dat de Ubuntu laptop als enige overeind bleef. "Er was gewoon geen interesse in Ubuntu," zegt Terri Forslof van 3Com's TippingPoint.
De Flash exploit die de Windows Vista laptop op z'n knieën wist te krijgen was ook in te zetten tegen Linux en Mac OS X. Het levert onderzoekers meer aandacht op als ze Mac OS X of Vista weten te hacken, gaat Forslof verder.
"Linux, het is wat het is. De code is veel transparanter. Beveiligingslekken in Mac en Windows zijn echter degene die de pers halen." De hacker die Vista wist te breken had hier meer tijd voor nodig dan verwacht. Hoewel Macaulay een exploit had voorbereid, had hij die nog niet getest met Service Pack 1. "Microsoft heeft veel zaken in het besturingssysteem verwerkt waardoor het misbruiken van lekken veel lastiger is." De security response manager ziet in de moeilijkheden die de hacker had om het Flash lek te misbruiken het bewijs dat Microsoft het leven voor aanvallers lastiger heeft gemaakt.
Wat betreft het uitblijven van een exploit op de eerste dag zou dit puur een geldkwestie zijn. "We hebben het hier over potentiële wormen," en die zijn niet alleen lastiger te vinden, maar ook veel meer waard dan de 20.000 dollar die TippingPoint wilde betalen.
bla bla bla het zou dus toch meer moeite en tijd hebben gekost om linux te kraken,dan is linux toch veiliger of niet.
Even relativeren mensen:
In de dagelijkse praktijk is het ongetwijfeld heel anders. Dit was een wedstrijd waarbij iets te winnen viel, dus kies je uiteraard voor het makkelijkste doel, want waarom het je zelf moeilijk maken en de prijs mis lopen?
Er wordt ergens gesuggereerd dat dat een Mac een makkelijk doelwit was. Maar vergeet niet dat een wedstrijd altijd inhoud dat men zich op een heel andere manier voorbereid dan gebruikelijk. Net als het verschil tussen naar school gaan en naar het examen. Als de Mac zo'n gemakkelijk doelwit was en Linux "niet te hacken" waarom zijn er dan voor beiden nauwelijks virussen e.d. in omloop waar je echt last van hebt? De stelling dat dit zou komen door het kleine aantal doelen (t.o.v. Windows) gaat dan niet meer op. Beide zijn "zwak" vertegenwoordigt op de markt, maar als één van die twee toch een "makkelijk" doelwit is waarom zijn er dan nauwelijks mensen die virussen voor de Mac schrijven? Zou dat misschien komen omdat die hacker toevallig dat ene zwakke puntje vondt, in een verder zo goed als waterdicht systeem?
Tja het is natuurlijk sensatie en een leuk excuus om te zeggen een Mac niet meer veilig is. Maar mijn dagelijkse ervaring verteld me genoeg met de Mac. Een prima systeem en dat ene gaatje gaat wel gedicht worden. En dan mogen ze van mij weer zo'n hackers dag houden totdat alles geheel gedicht is.
Wat voorbereiding heb je gelijk in want alleen al een analyse duurt langer dan 2 minuten (leuke sensatie titel dus) , geen enkel OS hack je in 2 minuten.
Zou dat misschien komen omdat die hacker toevallig dat ene zwakke puntje vondt, in een verder zo goed als waterdicht systeem?
Ik heb zelf ook een Mac en heb geen virusscanner draaien, omdat het tot op heden iig niet echt noodzakelijk is (tenzij je veel porno kijkt). Maar denken dat OSX een zo goed als waterdicht systeem is...pfew...jij durft! Zo'n uitspraak zou ik over geen enkel OS durven te doen...
Waterdicht is idd geen enkel OS maar je kan het risico wel zoveel mogelijk verkleinen.
Maar vaak is de grootste lek de gebruiker zelf.
De gemiddelde gebruiker weer haast niet eens dat zijn WiFi open en bloot staat of denken een WEP beveiliging voldoende is. Maar dit is niet zozeer de fout van de gebruiker want die weet niet beter het word namelijk hun aangepraat. Ook internet providers leveren hier veel te weinig support voor net als soms ondersteuning voor de Mac. Ze zoeken het maar zelf lekker uit komt het op neer.
Ik zelf weet wel hoe ik het moet aanpakken maar een nieuwkomer is denk ik altijd onveilig bezig met welk OS dan ook.
Ik werk sinds de Apple II+ (1979) met Apple computers, maar pas één jaar met internet. In vergelijking met anderen zou je mij dus wat internet (en de gevaren) betreft een "beginneling" kunnen noemen. Ik durf rustig te zeggen dat ik totaal niet bang ben wat de evt zwakheden van Mac OS-X betreft. Het is misschien niet 100% waterdicht (tenslotte komen er steeds security updates uit), maar in de dagelijkse praktijk (en daar gaat het om) is Mac OS-X "zo goed als waterdicht" want anders ging het Windows achterna met zijn kilometers lange lijst van virussen e.d.
Als ik een hacker was die al 1000 virussen voor Windows had geschreven zou ik het zat worden en de Mac eens proberen. Dus waar blijven die dan?
FF geen tijd voor het gekef hiero; Ubuntu 8.04 bèta lijkt, wellicht mede dankzij Firefox 3, een stuk sneller te draaien, doch sterft van de bugs. Ik heb stabielere bèta's meegemaakt, maar het ziet er over het algemeen genomen bijzonder gunstig uit. Ik stuur braaf bugrapportjes in de hoop wat bij te dragen, leuk!
www.macfreak.nl...p?newsitem=6203
Goed nieuws voor Apple gebruikers, dus zoals sommigen al eerder vermeld niet meteen in paniek raken bij sensatie titels voordat er meer duidelijkheid is i.p.v. klakkeloos alles aannemen en geloven (zoals sinter klaas verhaaltjes).
Helaas zat de fout niet het OS van Apple maar in een 3th party , zelfs hiervoor neemt Apple zijn verantwoordelijkheid (uiteraard netjes).
Het spijt me anti-apple lieden maar zo gaat het eenmaal wie het laatst lacht ....
Om te kunnen reageren, dient u ingelogd te zijn.
Unified communications biedt vele voordelen, maar heeft ook specifieke uitdagingen en niet ieder project levert het verwachte ROI op.
Downloaden
1 jaar geleden: 26 mei 2011
2 jaar geleden: 26 mei 2010
14 jaar geleden: 26 mei 1998
IDG Nederland is uitgever van: AppFish
, CIO, Computer!Totaal, Computerworld, Jobworld, MacWorld, SHUTR fotomagazine, TechFish, Tips & Trucs, Webwereld en Zoom.nlMeer informatie: IDG Nederland, IDG.com, Privacy-statement, Cookie-statement Hosting by Terremark.
