Gepubliceerd: Maandag 7 september 2009
Het afgelopen week ontdekte gat in Microsofts webserver IIS is gevaarlijker geworden. Microsoft waarschuwt voor rondgaande malware.
Toon volledig artikel
Microsoft uit in de security advisory dan ook de klacht dat de ontdekkers onverantwoord bezig zijn
Waarom nu weer?
Je moet de boodschapper niet neerschieten dat is al eeuwen zo!
Waarom nu weer?
Je moet de boodschapper niet neerschieten dat is al eeuwen zo!
Het feit dat de ontdekkers meteen met POC-codes openbaar maken en niet de producent van het stuk software op de hoogte brengen en daardoor de kans geven om het probleem op te lossen word door veel mensen en zeker leveranciers als onverantwoordelijk geaact. Dit omdat nu elke scriptkiddie de exploit kan en zal gaan gebruiken
Dat kunnen die leveranciers wel vinden en het is inderdaad niet erg gentleman-like, feit blijft dat die leveranciers zelf hier een fout gemaakt hebben. Het zou Microsoft dan ook sieren hier gewoon te zwijgen en te zorgen dat het snel wordt opgelost. Precies wat Rob hierboven zegt: de boodschapper moet je niet neerschieten. Dat is altijd een zwaktebod.
te zorgen dat het snel wordt opgelost
Uiteraard moeten ze dat doen en ik verwacht ook dat er snel een oplossing komt. Dat neemt echter niet weg dat met name security bedrijven mijns inziens een verplichting hebben om zorgvuldig met een lek om te gaan. Als MS niets over de handelswijze zou zeggen en die handelswijze de standaard wordt, dan worden we daar met z'n allen minder goed van. De software an sich wordt er namelijk niet veiliger van, want het is een ilussie dat complexe software 100% veilig is. Het enige dat het doet is de leveranciers dwingen sneller te handelen in geval van lekken en dan nog is er een periode waarin de gebruikers van de software meer risico lopen (ja, ook als het lek niet bekend is lopen ze uiteraard risico).
Wat een ondoordacht antwoord (persoonlijke mening). Het zou de ontdekkers juist gesierd hebben om te wachten met het publiceren tot er een patch is.
Het gaat hier om security onderzoekers...niet om hackers! Je stelt nu nodeloos een hoop mensen bloot aan potentieel gevaar. Mijn mening is dat ze hadden moeten wachten of het nu om Microsoft gaat of om andere software die veel gebruikt wordt.
security onderzoekers...niet om hackers
Wat heeft dat nu met mijn vraag te maken!
Denk je werkelijk dat ze de eerste waren, maakt dat eigenlijk enig verschil?
Nogmaals je moet nooit de boodschapper neerschieten!
Het heeft alles met jouw vraag te maken. Security onderzoekers is het tenslotte niet te doen om financieel gewin (met uitzondering van de gratis reclame voor hun bedrijf). Als jij je exploit verkoopt dan weet je dondersgoed dat het niet zal worden gebruikt om inzicht te krijgen in de methode en die te gebruiken voor het goede doel.
Iets ondoordacht vinden is iets anders dan neerschieten. Ik vind het niet slim en goed doordacht om zoiets te publiceren zonder dat er een patch is of goede work around gezien de impact van dit lek.
Security onderzoekers dienen geen Microsoft belang, gelukkig niet. Zij willen problemen zo snel mogelijk bekend maken. Kom maar op boodschappers het is aan het machtige Microsoft om haar problemen lekker snel op te lossen of stap over op iets anders.
Er zijn genoeg http servers die veel veiliger zijn, veel goedkoper zijn en veel sneller gerepareerd worden.
Ik heb meestal een vrij hard standpunt wanneer het aankomt op kwaliteit van software, daar ben ik me wel van bewust. Dat hier in de praktijk vaak wat nuancering bij moet, begrijp ik ook.
..ik blijf het dan ook vreemd vinden dat we dit soort problemen bij software wel normaal vinden, maar bij industriële machines niet.
Ik niet. Er zijn een paar punten die het kunnen verklaren.
Als er iets mis gaat bij industriële machines, dan raken er mensen invalide en/of, in het beste geval, dure machines beschadigd. Aan het testen van die machines wordt daarom meer tijd en/is geld besteed.
Verder zijn de besturingsprogramma's van die machines vaak minder complex dan die van de gemiddelde os'en omdat de programmatuur geen rekening hoeft te houden met een shitload aan verschillende hardware.
Ook in de industriele automatisering gaat het wel eens mis, dus ook daar worden fouten gemaakt. Maar dat zijn dan vaak meer incidentele gevallen omdat je daar geen grote Microsoft monocultuur hebt, waardoor fouten opslag wereldwijde impact hebben.
Tenminste, dat is mijn indruk. Ik ben geen expert in industriële automatisering, dus vergeef me als ik iets over het hoofd zie.
Tenminste, dat is mijn indruk. Ik ben geen expert in industriële automatisering, dus vergeef me als ik iets over het hoofd zie.
Ik een beetje, want heb het gestudeerd tig jaar geleden.
De industriele automatisering is langzamer gegroeid.
IT is snel gegaan: 20 jaar geleden werkte bijna niemand met een computer.
We zijn net uit de wildgroeifase van computers gekomen en standardisatie is langzaam doorgevoerd.
Verder is het een groot problem dat managers over het algemeen minder verstand van computers hebben als hun personeel, terwijl ze wel grote beslissingen moeten nemen.
Het personeel wil bepaalde fuctionaliteit die misschien niet haalbaar is.
De effectiviteit van software is bijvoorbeeld moeilijk te meten, net zoals de echte kosten.
Met een machine weet je bijvoorbeeld hoeveel producten hij per uur produceert.
Vroeger moest je bijvoorbeeld als secretaresse een bepaald aantal aanslagen per minuut halen op de typemachine, maar nu?
Een computer is ook een hulpmiddel om je werk mee te doen.
Het installeren van allerlei programmaatjes, spelletjes, screensavertjes, achtergrondjes, etc doet raar aan en komt de stabiliteit niet ten goede.
Als je bijvoorbeeld als werknemer een machine zelf een andere kleur zou geven, dan wordt je meteen ontslagen.
Te lang verhaal om inhoudelijk te reageren maar even dit De industriele automatisering is langzamer gegroeid
Je hebt geen idee van de huidige stand van zaken (byv. toepassing van FPGA's)! En in embedded systemen kom je vaak een hogere programmeer taal en open os tegen.
ik blijf het dan ook vreemd vinden dat we dit soort problemen bij software wel normaal vinden, maar bij industriële machines niet.
Het is op een machine meestal heel makkelijk is om denial of service aanval te doen. Meestal is een flinke metalen staaf wel voldoende.
Een groot verschil tussen de situatie met machines en software is dat er bij machines meestal weinig mensen baat hebben bij het aanvallen van de machine en ook weinig mensen toegang hebben.
Bij software van computers die aan het internet hangen is dat wel anders.
Hoeveel zou een exploit in de markt waard zijn als die niet gepubliceerd was?
Hangt er van af, op welk hackers level dit al bekend is.
De Ellite laag is stealth and zeer bekwaam. Die gasten hou je niet tegen. Niks waard hier.
De middelste laag bestaat uit Admins, die willen nog wel eens exploits doneren (als MS het gat heeft gedicht) naar Lamers (scriptkiddies), die niet eens weten wat de gevolgen van hun acties zijn. Zij downloaden tools van hackers clubs en soms gaan ze de bak in. Aan Admins kan je dus nog wel wat verdienen.
Scriptkiddies zijn scholieren, die hebben geen geld.
Het feit dat microsoft zo laks is en niet meteen actie heeft ondernomen om het eerste lek te dichten, vraagt gewoon om wat nu gebeurd is. microsoft is en blijft veel te traag met patches uit brenegn. als er een lek is, meteen dichten. Of zo snel kogelijk. En niet eens ene keertje een para weken of maanden later.
Nou ik snap er wel iets van. Het is netter dat je de maker van de software eerst op de hoogte stelt (Een beter internet begint bij je zelf...).
MAAR ik vind ook dat bedrijven dit soort meldingen serieus moeten nemen. Ook MS heeft regelmatig patches voor problemen, die meer als een half jaar geleden zijn gemeld, en pas nadat het in de pers komt ze snel met een patch komen. Dus het mes moet aan 2 kanten snijden!
Ik zeg gewoon, geeft software bakkers 2-3 weken de tijd, geen reactie of statement. Dan lekker de details publiceren.
Misschien wel als die boodschapper het nieuws brengt via de stadsomroeper.
Ik kan niet goed beoordelen wat de voorgeschiedenis was van dit incident. Het zou kunnen dat we het hier met mediageile onderzoekers te maken hebben. In dat geval kan je dit niet anders dan veroordelen wat mij betreft.
Maar het zou ook kunnen dat ze het al tijden geleden netjes hadden gemeld en in de wacht gezet zijn. Daarvoor moet de vraag wie eerder was, de exploit of het POC, beantwoord worden. Het zou natuurlijk ook kunnen dat de onderzoekers geruchten hebben vernomen dat de exploit in de maak was en op deze manier druk op de ketel proberen te zetten.
Waarom doen ze bij Microsoft geen onderzoek hoe dit soort lekken constant in code kan verschijnen.
Wat is de oorzaak precies?
Waarom doen ze bij [plaats hier uw software leverancier] geen onderzoek naar hoe dit soort lekken constant in code kan verschijnen?
Zeker in het geval van IIS, dat sinds Windows 2003 (IIS 6) een zeer lage hoeveelheid security issues heeft gehad, is je vraag mijns inziens niet echt gerechtvaardigd. Daarnaast zijn security issues iets waar alle leveranciers mee te kampen hebben. Het is gewoonweg een illusie dat mensen complexe software kunnen ontwikkelen die niet vatbaar is voor beveiligingslekken, ondanks dat mensen als jij met je vraagstelling suggereren dat dit wel kan. Zelfs de meest intensieve security reviews missen wel eens wat en ik kan uit eigen ervaring melden dat de security reviews bij MS uitgebreid zijn. Ik heb een aantal jaar geleden een project gedaan voor MS en de security review was een stuk heftiger dan bij bijvoorbeeld de banken waar ik projecten gedaan heb.
Ik neem aan dat we het over jouw reactie hebben nu. Was het werkelijk een serieuze vraag dan?!? Kom op zeg...
Omdat het mensenwerk is. Mensen zijn feilbaar. Dus onfeilbare software blijft in de meeste gevallen een utopie.
Dat antwoord is volgens mij al heel lang bekend.
Ik las ooit ergens: 8 programeerfouten per 1000 regels code is normaal.
Ja, dat is dan aan de input van de integratietest. Uiteindelijk moet/mag de productieversie van professionele (!) software circa 1 a 2 fouten per 1000 regels code bevatten.
Ik vond op een forum een quote uit het boek "Code Complete" van Steve McConnell:
(a) Industry Average: "about 15 - 50 errors per 1000 lines of delivered code." He further says this is usually representative of code that has some level of structured programming behind it, but probably includes a mix of coding techniques.
(b) Microsoft Applications: "about 10 - 20 defects per 1000 lines of code during in-house testing, and 0.5 defect per KLOC (KLOC IS CALLED AS 1000 lines of code) in released product (Moore 1992)." He attributes this to a combination of code-reading techniques and independent testing (discussed further in another chapter of his book).
(c) "Harlan Mills pioneered 'cleanroom development', a technique that has been able to achieve rates as low as 3 defects per 1000 lines of code during in-house testing and 0.1 defect per 1000 lines of code in released product (Cobb and Mills 1990). A few projects - for example, the space-shuttle software - have achieved a level of 0 defects in 500,000 lines of code using a system of format development methods, peer reviews, and statistical testing."
Dit lek is met name lastig voor hosting partijen die Windows hosting bieden op Windows Server 2003. Het is jammer dat Microsoft die markt niet serieus neemt en gewoon even een maand wacht met een patch.
Een hosting bedrijf met een groot aantal klanten kan er nu eenmaal niet van uitgaan dat al z'n klanten (die dus kunnen inloggen via FTP en dit lek kunnen misbruiken) trusted users zijn. Helaas biedt Microsoft voor deze bedrijven geen werkbare workaround, behalve upgraden naar Windows Server 2008, wat ook niet bepaald een werkbare oplossing is voor veel partijen.
Er wordt nergens gezegd dat het meer dan een maand gaat duren voordat er een patch voor komt. Er wordt alleen gezegd dat het niet meegeleverd wordt met de reguliere patchronde van deze maand - maar het kan ook zijn dat de patch bv een week later, buiten de reguliere patch-ronde wel wordt uitgebracht.
De impact is erg onduidelijk.
IIS webservers worden slechts heel beperkt ingezet voor FTP doeleinden.
Als MS actief controleert hoeveel aanvallen er plaatsvinden dan kunnen ze bepalen of er een tussentijdse patch nodig is.
Omdat het een bug in een veel minder gebruikt onderdeel van IIS betreft en de exploiteerbaarheid in de meeste gevallen (IIS 6) beperkt is tot een denial of service kan een patch wel wachten.
De Wordpress bug die momenteel actief wordt geexploiteerd en ook op deze site wordt vermeld heeft relatief veel grotere impact.
Volgens mij zal een hostingbedrijf weinig te vrezen hebben van z'n klanten. Je moet ook wel erg dom zijn om een bedrijf te hacken welke al jouw gegevens heeft en deze ook kan koppelen aan de hack(poging). Dan kun je denk ik een fikse schade-eis tegemoet zien.
Ik vermoed ook dat de patch niet een maand op zich laat wachten gezien dit bericht. Hier wordt gezegd dat de patch uitgebracht zal worden zodra deze voldoet aan de nodige kwaliteitseisen.
Volgens mij zal een hostingbedrijf weinig te vrezen hebben van z'n klanten. Je moet ook wel erg dom zijn om een bedrijf te hacken welke al jouw gegevens heeft en deze ook kan koppelen aan de hack(poging)
Hosting bedrijven draaien zelden of nooit op IIS 5.0 en dat is de enige versie die je kunt hacken. Op de nieuwere IIS versies kun je alleen een denial of service aanval doen mits je FTP toegang hebt.
Webhosters zullen ook hun FTP toegang laten niet doen via IIS.
Een denial of service attack is trouwens ook niet erg zinvol op je eigen webhoster.
Een hosting bedrijf met een groot aantal klanten gebruikt niet de FTP server van IIS. Deze FTP server is niet te integreren in wat voor control panel dan ook. Beheer van accounts en rechten vind allemaal plaats binnen Windows.
Deze FTP server is niet te integreren in wat voor control panel dan ook. Beheer van accounts en rechten vind allemaal plaats binnen Windows.
Dat is maar hoe je het bekijkt. Windows accounts zijn prima te integreren in een control panel :). Ik zeg niet dat je het moet doen, maar technisch gezien kan het prima.
Om te kunnen reageren, dient u ingelogd te zijn.
2 jaar geleden: 13 februari 2010
3 jaar geleden: 13 februari 2009
4 jaar geleden: 13 februari 2008
5 jaar geleden: 13 februari 2007
14 jaar geleden: 13 februari 1998
IDG Nederland is uitgever van: AppFish
, CIO, Computer!Totaal, Computerworld, ITworld, Jobworld, MacWorld, RAW fotomagazine, TechFish, Tips & Trucs, Webwereld en Zoom.nlMeer informatie: IDG Nederland, IDG.com, Privacy-statement, Cookie-statement Hosting by Terremark.
