Gepubliceerd: Zaterdag 1 augustus 2009
De overheid is een campagne begonnen om burgers ict-beveiliging bij te brengen. Maar die overheid geeft zelf niet bepaald het goede voorbeeld? Vijf flaters.
Toon volledig artikel
Hee, leuk die waarschuwings dienst. Even paginas tellen.
windows: 18 lekken 8 virus 4 beveiliging
apple___: 09 lekken 0 virus 3 beveiliging
Unixen_ : 06 lekken 0 virus 3 beveiliging
Unixen = Unix+bsd+linux
Ik heb geen zin om alle items te tellen. De exerpts zijn niet steeds even lang. Gemiddelt 35 per pagina.
De beveiligings lekken zitten bij unixen vaak in externe software. Verder is dat ook een verzamelbak van andere waarschuwingen zoals over 419, scam, telefoon dialers en misleidende popups in browsers die voor alle systemen gelden.
Maar de trents zijn duidelijk.
Tabellen kunnen niet goed hier.
Als die getallen echt zo laag zijn, schieten ze -- lijkt mij -- nogal tekort. (en nitpick: MacOS X *is* Unix) (also: excerpts, gemiddeld, trends)
Mac OSX is helemaal geen UNIX.
Unix/Posix compliance != UNIX.
OSX is gebaseerd op Next en heeft BSD als basis.
En BSD is Unix-like...
FreeBSD is a free Unix-like operating system descended from AT&T UNIX via the Berkeley Software Distribution (BSD) branch through the 386BSD and 4.4BSD operating systems.
Unix Like is geen Unix.
Linux (welke gebaseerd is op Mimix) en Mimix weer gebaseerd op Unix is ook geen Unix.
Het is leuk als je anderen terecht wijst, maar doe het dan goed.
1. Het is Minix van Prof. Andrwew Tanenbaum (http://www.cs.vu.nl/~ast/). Lees hier even over het ontstaan en doel ervan.
2. Nee Linux is niet gebaseerd op Minix, dat is een hardnekkig misverstand dat vooral door de idioot van de Alexis de Tocqueville foundation Ken Brown is verwoord.
Linus Torvalds heeft Minix gebruikt als "scaffolding" voor het schrijven van de kernel (linux), maar er zit geen Minix code in Linux.
Voor een client heeft het weinig zin, maar OSX Server is wel degelijk een gecertificeerde UNIX. Niet dat dat in de praktijk heel veel uitmaakt.
Ik vermeld het aantal pagina's. Dus even vermenigvuldigen met 35 voor een benadering. dus:
Aantal vermelde windows lekken ca. 630.
Aantal vermelde unix/bsd/linux lekken ca. 210.
Dat laatste getal door drie delen voor een grove schatting geeft 70.
Het echte aantal lekken kom je nooit te weten omdat unix, appel en windows closed source zijn en dingen kunnen fixen die niet openbaar gemaakt zijn.
En als je dan bij Linux gaat kijken... bij: waarschuwingsdienst.nl
1. kom je alleen maar window$ instucties tegen... (iets met 'help' / 'info' of 'help' / 'update...' ?)
en
2. lees ik: Up-to-date houden van Linux Datum: 01 juni 2004
WOW das pas up to date houden, hahaha sukkels dus.
Is dat zo ?
Het (automatisch) updaten is helemaal niet zo heilig hoor. Vaak kan je dingen breken, soms zie je dat een oudere versie een bepaalde 'vulnerability' niet heeft.
Vooral updaten moet je met beleid doen.
Verder is een datum laten staan die >5jaar oud is gewoon een slecht signaal. Beter dat dagelijks (automatisch) aan te laten passen.
de overheid heeft geen schijn van kans omdat ze zichzelf tot op het hoogste nivo bevolkt met ICT's die niets van veiligheid begrijpen, alleen het voldoen aan normen en standaarden, die op zichzelf zo lek als een mandje zijn. We moeten leren te leven met veiligheids lekken (ook bij de overheid) En als we dat niet willen. Dan blijft er maar één optie met consequenties over, in ieder geval zal de meerderheid van de lezers van dit artikel werkloos worden omdat hun certificaten-diploma's volkomen waardeloos zijn. lastig hé
Hallo ik ben nog niet eens punt 1 voorbij en dat klopt al voor geen hol. En had wel wat beter verwacht van Brenno eigenlijks :)
PHPinfo op je website is idd niet zo slim. Maar Centos is niet oud omdat Centos 5 al uit is. Wij hebben ook nog 50 servers met Redhat 4 draaien, en nee dat is niet onveilig. Er zit namelijk nog support (o.a security updates) op tot 2012 oid.
Het zelfde als met PHP omdat er PHP 5.1.6 op actief is betekend het ook niet het onveilig is. Redhat/Centos backporten alle security fixes van upstream versie's terug naar 5.1.6. iig bij Redhat/Centos kan je nooit blind op de versie's afgaan want dat kan je alleen maar zien met de verschillende rpm build versie's.
Beweer ik ook niet. Ik stel zelfs vast - in tegenstelling tot veel andere media eerder deze week - dat er *wel* security-updates. Alleen als je verkondigt altijd de laatste software moet installeren moet je op de site waar je dat verkondigt wel uitdragen. Het onnodige risico begint bij PHP dat geen doel schijnt te dienen.
Daar heb je wel een punt hoor, maar ik denk niet dat het advies "altijd de laatste software installeren" is gericht aan mensen die weten dat ze met phpinfo de webserversoftware en php-versie kunnen bekijken. Opzich heb je natuurlijk gelijk, maar of dit nou zou kwalijk/verwijtbaar is...
Relativerend: Het advies an sich is door de bank genomen natuurlijk wel goed.
Oke maar die site is gericht voor consumenten en ik denk dat je de vraag te letterlijk stelt. Op de server is niet alles was nieuwer is beter. Ik zou zelf nog geen php 5.3.0 willen aanbieden is wel het allernieuwst, maar zegt nog niets over of het veiliger is.
Voor dit doel was ik gewoon statisch gegaan. Alles meer is overkill. CSS kan genoeg om de site te laten draaien.
Ja maar dat ben jij :) Die tiep-miep die de site moet onderhouden die moet toch iets van een cms-je hebben oid. dus dat er serverside scripting wordt gebruikt is dan mogelijk logisch. Ze zullen er vast wel een reden voor hebben :)
met typo haal je overigens weer een nieuw probleem binnen. Samen met Joomla en Drupal behoort typo tot de top 10 pakketten met de meeste gaten en problemen het vorig jaar.
Daar zou ik dus nog even over nadenken.
Bron: http://www-935.ibm.com/services/us/iss/xforce/trendreports/xforce-2008-annual-report.pdf pagina 30.
He SED, kijk eens aan.
De tabel waarna je refereert (Table 3: Vendors with the Most Vulnerability Disclosures); raad eens wie numero uno staat?
Microsoft staat no.1 (met 3.16%) van hoogste percentage vulnerability disclosures.
ps. jij hebt toch een LinkSys router? Er zit een gapend gat daar in.
als je met 90% van de markt 3,16% van de gaten hebt doe je het nog niet zo gek..( stuk beter dan een zekere leverancier met ca 10% marktaandeel die ruim 3% van de gaten heeft in ieder geval;)
kijk eens naar OSX server en huiver.. slechts een paar installaties wereldwijd en het overgrote deel van de gaten.. knap werk Apple ;)
ps, heb je de nieuwe firmware 3.01 van je iPhone al geplaatst.. je weet wel die uitgebracht is voor dat niet bestaande gapende gat ..is maar 300MB groot ;)
Wat de linksys betreft, bedankt daar zal ik me eens in verdiepen. Is Linux based trouwens dus dan is dat gat wat belangrijker dan je zo zou denken. Misschien toch maar snel Open wrt installeren daar.
Toch wel grappig dan dat ik sinds 2003 al tientallen (als het er niet meer dan 100 zijn) websites in TYPO3 heb opgeleverd waarvan er nog niet eentje ooit gehackt is, en dat zijn niet alleen sites van de kruidenier op de hoek. TYPO3 publiceert security-lekken namelijk wel, maar pas nadat die gefixt zijn. Plus: het overgrote deel van de security-issues in TYPO3 zit in 3rd party extensies. Die dingen moet je voor installatie zelf auditen want het TYPO3 security team heeft dat niet bij alle bijna 4000 gedaan. In dit rapport ben je in het nadeel wanneer je open en eerlijk communiceert over je fouten.
Hoewel een pagina heel statisch kan overkomen, kunnen er toch redenen zijn om php te gebruiken. Stel dat je in de header een stukje php-code wilt stoppen dat info logt over referers en ip-adressen bijvoorbeeld. Voorts kan er een CMS achter zitten waarbij de content wordt opgeslagen in een database. Dan heb je bijvoorbeeld php nodig om deze content uit de database te lezen.
"1. De campagnewebsite is zelf onveilig" -
Kan webwereld niet eerst beter zijn eigen site bij sleutelen want ook hier klopt lang niet alles.
Al die reclame/advertenties zijn ook een vorm van onveiligheid, de consument wordt misleid en weet op den duur niet meer wat betrouwbaar is of niet.
"2. Beveiligingsgaten bij de overheid" -
Gebruik dan geen Windows want daar dringen juist de wormen door. Waarom promoot ww dan Windows zoveel en negatief over veiligere systemen als Linux en OSX?
"3. Domme adviezen aan de burger" -
Lucky guesses is geen kraken, maar puur goed geluk.
Is webwereld dan zelf veiliger? ik lees hier ook zat domme adviezen of incorrecte informatie.
"4. Hypocriete roep om gegevensbescherming"
Is dat hier anders? immers staan de account gegevens gewoon in een verbinding met een server.
"5. De overheid neemt cybercrime niet echt serieus"
Amerika neemt het wel serieus? kom op kijk naar die miljoenen boetes voor een paar illegale nummers die men jaren terug ooit hadden gedownload. Dat is niet serieus maar schijnheilig.
Ik denk dat webwereld de overheid onderschat. Het is geen MKB bedrijfje wat even zomaar alles kan aanpassen. Dit is zo complex je met miljoenen al dan niet miljarden gegevens hebt te maken plus daarbij allerlei juridische regels aanhangen.
Mijn inziens heeft webwereld helemaal geen recht van spreken hier.
Zelf worden hier de meest domme dingen verkondigt en bekritiseerd.
Kom eens met echt ICT nieuws
Webwereld is niet de overheid die de burger predikt. Iedereen heeft recht van spreken jij en ik dus ook.
Ad 1. Is niet het onderwerp of Webwereld advertenties heeft. Maar wij voeren niet een burgercampagne;
Ad 2. Ik ben Mac/Linux-user. Dus snap je punt niet. Ik probeer eerlijk naar iedereen te zijn en iedereen gelijk te benaderen. Ben dus contra Windows en niet Pro. Ben niet pro Linux en niet contra;
Ad 3. Vertel welke adviezen wij geven. Of liever concreter ik;
Ad 4. Webwereld verplicht je niet informatie te geven daar kun je voor kiezen. De overheid eist informatie op. Daar is niets vrijwilligs aan. Wat ze er mee doen is meestal door wetten beschermd.
Ad. 5. De muziekindustrie in civiele zaken heeft niets met beveiliging van de overheid te maken. Ze nemen het wel serieus. Helaas mis ik dit jaar Defcon/Blackhat, maar alle jaren heb ik gezien dat dit zo is. Als je Rechters, Officieren van Justitie, Politie/FBI/NCIS/DoD en andere diensten spreekt dan hoor je echt veel van de dingen die ze doen. Er zijn specialisten op veel niveaus met daadwerkelijke kennis (niet alleen opsporing, maar ook bij veel het OM en vakrechters). Gaat het niet mis? Tuurlijk. Maar bij ons staat het allemaal in de kinderschoenen, Govcert moet onderbemand proberen bij te blijven. Dat kan veel, heel veel beter.
Ik ga geen flamewar aan, maar ik heb de zaken echt wel goed uitgezocht voor ik ze opschreef.
Ik denk niet dat jij de inzage hebt van het hele ICT gebeuren bij de overheid.
Dit is veel te complex om zo even te kunnen beoordelen.
Overigens had je het over cybercrime. (denk aan de boetes, denk aan de hacker die 70 jaar opgelegd kan krijgen - uit Engeland).
Nee ik zou er niet aan moeten denken dat we die kant op gaan.
Nee dat heb ik niet inderdaad. Maar natuurlijk ga ik niet roepen over andere beveiligingsincidenten die waarschijnlijk angstvallig geheim worden gehouden. Dat de overheid niet alle informatie deelt rond hun ICT merk ik bijna dagelijks. Ik heb dit jaar al een bezwaar of 30 gewonnen wegens "kennelijk gegrond" van info die men probeerde achter te houden. Andere zullen ongetwijfeld procedures worden. Ik ben me daar zeer bewust van.
Ik vind het nogal ondoorgronde uitspraken. En natuurlijk gaat de overheid niet alles prijs geven van hun infrastructuur. Dat zou toch oliedom zijn?
Om zulke uitspraken te doen vind ik dat je eerst er gewerkt moet hebben voordat je een oordeel kunt over hebben. Het is daar juridisch gezien een veel complexer verhaal dan bij MKB bedrijven.
En het is zo gigantisch groot hier en daar wel eens een gaatje kan vallen. Maar dat kan je ze zeker niet kwalijk nemen. Ze hebben meer te doen dan alleen ICT beheren daar.
Ze werken er in een continuïteit dus downtime is daar ook niet te tolereren.
Daarbij vind ik alsnog de beveiliging hoort bij de makers van het OS thuis hun verkopen de boel met dat het veilig is maar is het tot de dag van vandaag nog steeds niet.
Ik vind het nogal ondoorgronde uitspraken
Ze worden netjes met bronvermelding aangelevert, en het staat een ieder vrij om het tegendeel te bewijzen. Dat gebeurt hier regelmatig. Voorheen bijvoorbeeld wanneer het ging over MSIE en Mozilla Firefox. Echter het weerwoord van jou is niet concreet. Je levert geen enkel argument waarom ICT _wel_ goed gaat bij de overheid. In plaats van inhoudelijk te reageren om het tegendeel te bewijzen ga je ad hominem en kom je met een aantal vergelijkingen.
Allereerst is het de vraag of degene met wie jij wenst te vergelijken (aangenomen dat je argumenten allemaal gegrond zijn) tot gevolg heeft of de geschetste kritiek op de Nederlandse overheid ongeldig is. Ik zie niet in waarom dat zo zou zijn. Omdat anderen fouten maken betekent dat nog niet dat jij dat zelf ook mag doen, of dat jouw fouten daarom minder ernstig zijn.
Zoals eerder opgemerkt haalde je in punt 5 civiel en strafrecht door elkaar, en het schenden van auteursrecht middels een MP3 heeft geen direct verband met ICT beveiliging der Nederlandse Staat.
De zaak McKinnon is nog lopende, en gaat over delicten die in VK en VS hebben plaatsgevonden in het jaar 2001/2002. Alle voorbeelden in dit artikel gaan over NL en zijn recent dwz van pakweg het afgelopen jaar.
Je probeert ook een Nederlandse onderneming (Webwereld danwel IDG) te vergelijken met de Nederlandse Staat. Een dergelijke vergelijking loopt volledig mank. Het beveiligingsbeleid bij de overheid heeft betrekking op alle Nederlandse inwoners (en ver daar buiten). Het beveiligingsbeleid van een onderneming welke opereert in Nederland moet zich houden aan de Nederlandse wet, en is verder vrij. Niemand verplicht een Nederlander om gebruik te maken van Webwereld; terwijl een burgerschap rechten en plichten biedt waar men moeilijk aan onderuit kan komen. Ik vind het relatief minder belangrijk dat een kwaadwillende mijn sessie eenvoudig kan hijacken (MITM) op Webwereld dan dat zoiets kan gebeuren met mijn DigID. Of mijn bank transacties. Gelukkig lopen die laatste 2 over SSL.
Dan beweer je dat Webwereld desinformatie verspreid. De informatie die je leest op Webwereld komt van diverse partijen. Van 1) redactieleden of gast schrijvers 2) reclame e.d. 3) leden. Indien je 'incorrecte' informatie tegen komt is er altijd een manier om dat te laten blijken. Afhankelijk van het belang van de vermeende fout kan dat via e-mail of het reactieforum.
Al met al klinkt jouw post wat mij betreft meer als een defamation post dan iets met enige vorm van inhoud. Als het je om de inhoud ging kwam je immers met tegenargumenten waaruit zou blijken dat de overheid wel een goed ICT beleid volgt.
Als aanvulling op het artikel zou ik graag Mifare/RFID willen noemen. Aangezien dit systeem gebruikt wordt bij overheidsgebouwen is het in direct belang van de Nederlandse Staat en de staatsveiligheid. Ik betreur het dat de AIVD dit probleem niet eerder heeft onderzocht. Idem ditto wat betreft stemcomputers; hoewel men daar uiteindelijk wel mee bezig is geweest. M.i. zou de overheid ook een stokje moeten steken tegen de OV chipkaart, waarbij een organisatie als AIVD een pro-actieve rol kan spelen. Maar ik denk dat het weer zelfreflectie achteraf gaat worden. Tja, dan kan een systeem wel 'ns onnodig duur danwel onveilig blijken. We zullen zien of er ambtenaren op HAR2009 komen, misschien kunnen we aldaar nog iets van elkaar leren om de maatschappij ook op dit vlak uiteindelijk te verbeteren.
1 Webwereld zal vast niet 100% in orde zijn, maar we zijn geen overheid die beveiligingsadviezen geeft.
En ik snap even niet hoe reclames (afgezien van gaten in Flash, op de pc van de lezer/bezoeker) zorgen voor onbetrouwbaarheid, je bedoelt voorliegen? Redactie en commercie zijn bij Webwereld strikt gescheiden, hoor.
2 We promoten echt Windows niet, net zomin als OS X of Linux (of BSD, of, of). Svp goed de site lezen/bijhouden.
3 Zie antwoord 1 hierboven.
4 Zie antwoord 1, nogmaals.
5 Met cybercrime bedoelen we hier 'echte' misdaad door professionals (professionele organisaties), en niet per sé misdaad zoals (digitale) schending van auteursrechtelijk beschermd materiaal (zoals muziek en films), de al dan niet scheefgetrokken/achterhaalde wetgeving daarover en de geldboetes die in rechtszaken worden opgelegd.
Ja, daar heb je een punt. De overheid is zeker zeer complex. Alleen wil ik weer tegenspreken dat dat de overheid dan vrijwaart. Ook omdat de overheid mede zo groot is doordat er veel experts in dienst zijn, juist om alles te toetsen en correct te krijgen&houden.
Recht van spreken heeft iedereen in dit land. De overheid, burgers, Webwereld, lezers, enzovoorts. Daarbij moeten we allen elkaar scherp proberen te houden. Dus wijzen op fouten is een goede zaak. Door de overheid, burgers, Webwereld, lezers, enz. Vandaar ook de reactiemogelijkheden onder elk artikel.
:)
En we komen (werkweek)dagelijks met (echt) ict-nieuws, en in het weekend met nieuwsgerelateerde en -relativerende (overzichts)artikelen als De Vijf.
:)
Indrukwekkend, die "normen" en "waarden" van onze onvolprezen en vooral onfeilbare overheden en regering ! Vooral op het gebied van ICT... (God beware ons tegen overheden die zich met alle geweld hiermee bezig schijnen te moeten houden).
Yeah, right - nu heb ik, helaas, toch gelijk gekregen toen ik alweer een hele tijd geleden schreef dat:
De "normen" van deze regering/overheid vooral bestaan uit corruptie en zelfzucht.
Daar kan ik nu met een gerust hart extreme hypocrisie aan toevoegen. Wat een ongelooflijke giga-blunder: zeggen dat anderen zich goed moeten beveiligen - terwijl men zelf zich hier totaal niet aan houdt... LOL !!
De (enige) "waarde" van de regering/overheid is nog steeds hetzelfde: namelijk helemaal geen ! Het enige wat voor de (vooral de zeer ver omhooggevallen) leden van deze instituten betreft, voor hen heeft slechts zo veel mogelijk ("doorgesluisd" belasting-) geld (op hun eigen persoonlijke bankrekening) waarde.
Het lijkt er echt op dat de regering in zeker zin de volgende stelling hiermee bewijst:
"Steel niet, want de regering tolereert geen enkele concurentie !"...
Wat een bananen-republiek toestanden zijn dit - al is het helaas wel zo dat wij , de burgers in Nederland, allemaal vies de banaan zijn...
Op zich is het helemaal niet slecht om een breed publiek attent te maken op hun omgang met het internet, privé-gegevens vrijgeven, etc. etc. Ik kan zelfs wel enige sympathie opbrengen voor het initiatief.
Zoals uit dit artikel echter blijkt, wordt dit project kennelijk gerund door volkomen incapabele figuren. Er is een bedrijf ingehuurd dat op nogal merkwaardige (en weinig professionele) wijze de website heeft opgezet. Kennelijk is bij de overheidsdiensten niemand in staat om dit technisch fatsoenlijk te kunnen beoordelen.
De kern van het probleem ligt denk ik dieper dan uit dit artikel af te leiden valt. Het werkelijke probleem zit 'm er denk ik in dat de IT-wereld inmiddels beheersd wordt door marketing-gastjes, managers en andersoortige overhead-vormende figuren die niet direct veel technische kennis in huis hebben. Op hun niveau worden akkoorden gesloten, afspraken gemaakt en contracten getekend. Acceptatie van het product gebeurt door dezelfde club. Maar zonder voldoende technische kennis, kunnen ze alleen maar bekijken of het product uiterlijk voldoet aan de verwachting. En als dat zo is, dan is het klaar. Als dan later een monteur even onder de motorkap kijkt, schrikt deze zich wezenloos wat-ie daar aantreft, maar het kwaad is dan al geschied.
Dat zo'n keuze onnodig tot problemen kan leiden, blijkt bijvoorbeeld door het slecht functionerende contrast en de grootte van lettertypes. Waar dit prima in een CSS-stylesheet geregeld kan worden, dat tenslotte voor dit soort zaken bedoeld is, gebeurt de selectie nu in de programmacode. Dat er voor het wisselen van resolutie ongebruikte Javascript-code in de webpagina staat en het later toch maar anders wordt opgelost, bedekken we gemakshalve met de mantel der liefde.
Voor het interactief aanpassen van stijlattributen kun je niet om het gebruik van 'programmacode' heen. De site doet dat heel netjes: met javascript voor degenen die js aan hebben staan, en via een bezoekje aan de server voor js-lozen.
Ik krijg de indruk dat dit onderwerp geen gesneden koek is voor de schrijver. Dat komt vooral door de zinsnede het wisselen van resolutie. "Resolutie" betekent in webontwerpcontext het formaat van het beeldscherm, uitgedrukt in pixels (bijvoorbeeld 1024 x 768). Dat is echt niet met een scrippie aan te passen. Bedoeld wordt waarschijnlijk gewoon de lettergrootte, maar het ontgaat mij waarom dat woord dan niet gebruikt wordt.
Wat wel correct is, is dat die contrastknoppen geheel overbodig zijn.
Om te kunnen reageren, dient u ingelogd te zijn.
2 jaar geleden: 13 februari 2010
3 jaar geleden: 13 februari 2009
4 jaar geleden: 13 februari 2008
5 jaar geleden: 13 februari 2007
14 jaar geleden: 13 februari 1998
IDG Nederland is uitgever van: AppFish
, CIO, Computer!Totaal, Computerworld, ITworld, Jobworld, MacWorld, RAW fotomagazine, TechFish, Tips & Trucs, Webwereld en Zoom.nlMeer informatie: IDG Nederland, IDG.com, Privacy-statement, Cookie-statement Hosting by Terremark.
