Gepubliceerd: Maandag 18 januari 2010
Het IE-gat waardoor Chinese aanvallers zijn binnengedrongen bij Google en 33 andere bedrijven is niet alleen geopenbaard, maar ook opgenomen in de gebruiksvriendelijke hacktool Metasploit.
Toon volledig artikel
Vraag me toch echt af of MS zelf bewust achterdeurtjes inbouwd om bij de concurrentie binnen te komen ...
Vraag me toch echt af of MS zelf bewust achterdeurtjes inbouwd
Nee hoor. Jammer, was het maar zo.
Het is voor mij volslagen onduidelijk wat je met een browser op een server moet doen, maar goed.
Dat gat zit in versies 6, 7 en 8 op Windows 2000, XP, Server 2003, Vista, Server 2008, 7 en Server 2008 R2 (Release 2).
Dit gedoe bewijst weer een keer dat de code base onder Microsoft voor alle producten op hoofdlijnen identiek is.
Je kunt hier een uitgebreid onderbouwend verhaal vinden over deze praktijken. Het zijn veel verhalen en ze zijn goed geschreven, maar je bent er wel even mee bezig.
Het Duitse Federaal Bureau voor Veiligheid in de Informatietechnologie (BSI) heeft al geadviseerd om over te stappen op een andere browser. In ieder geval tot Microsoft dit lek heeft gedicht.
Het enig denkbare en juiste antwoord. Breidt het maar gelijk uit tot alle Microsoft producten. Microsoft is maar op een punt consistent: Slechte programmatuur op basis van een slechte ondoordachte architectuur.
Het is geen kwestie van een foutje hier en een patchje daar, het is een structureel probleem met garantie op herhalende fouten in de toekomst.
Vorig jaar heeft zelfs Microsoft bedrijven al opgeroepen om van IE6 over te stappen naar een modernere versie. Maar voor veel bedrijven is het moeilijk om IE6 los te laten, omdat te veel bedrijfssoftware afhankelijk is van de Microsoft-eigen standaarden in die oudere webbrowser.
Waren het maar standaarden, het zijn leveranciereigen bestandsformaten. Microsoft past de volgende truc nu al vijftien jaar ongestraft toe:
Verwerf marktaandeel en zorg voor update dwang door geheime gesloten bestandsformaten zodanig te wijzigen dat bedrijven om compatibel te blijven met andere marktpartijen gedwongen zijn om over te stappen.
Deze open source-tool is bedoeld om security-experts te helpen hun systemen te beschermen tegen aanvallen.
Lijkt mij een zaakje van slecht huiswerk te huize Redmond.
Tijd voor een andere browser. Laten ze dat nou ook nog adviseren. Soms begint de maandagochtend goed.
Dus jij vindt het goed dat miljoenen mensen weer meer vatbaar zijn voor hackers?
Vergeet niet dat vele mensen nog steeds verplicht zijn IE6 te gebruiken voor bedrijfstoepassingen.
Rare vorm van leedvermaak heb jij...
Volgens mij zou Doubleday het een goede maandag vinden als een andere browser wordt geadviseerd. Jouw invalshoek had ik er niet uitgehaald.
De Duitse regering heeft in ieder geval al het goede voorbeeld gegeven door mensen aan te raden geen Internet Explorer meer te gebruiken.
Maar de "tijd voor een andere browser" was naar mijn mening al vele jaren geleden aangebroken.
Die kwetsbaarheid is er al bijna 10 jaar, hij is alleen onlangs pas aan het licht gekomen. Wanneer bedrijven zich afhankelijk maken van specifieke clienttechnologie van bijna 10 jaar oud, zit er iets niet goed bij die bedrijven. Al sinds mensenheugenis worden clients met een interval zo'n jaartje of 3 tot 5 vervangen. Dat cyclische heb ik in de jaren '80 met DOS-machines zien beginnen, en is eigenlijk nooit veranderd behalve de extreem lange adem die XP had vanwege het Vista-fiasco. Als je bedrijfstoepassing twee of zelfs drie van dit iteraties ongewijzigd overleeft, mag je van heel veel geluk spreken.
Wie bij de inzet van een product niet nadenkt over een exitstrategie, moet uiteindelijk op de blaren zitten. Er komt hoe dan ook een moment dat Microsoft zelf definitief de stekker uit IE6 trekt. Wat doe je dan?
Ik vind het erg vervelend voor de medewerker die verplicht wordt, maar met de "verplichter" in deze context zou ik zeker eens een goed gesprek hebben als ik zo'n bedrijf moest runnen.
Maar de praktijk is kennelijk zo.
Het in het artikel gelinkte marktaandeel van IE6 is 21 % Maar aangezien daar ook de vele particulie gebruikers tussen zitten die over het algemeen WEL de modernere browsers geinstalleerd hebben kan je er vanuit gaan dat het marktaandeel onder niet particulieren (dus de grote bedrijven en overheidsinstellingen) nog angstaanjagend hoog is. Misschien werkt bijna een derde van de overheidsinstellingen en bedrijven nog wel online met IE6!
Deze 'gratis' browser heeft door alle problemen en lock-in een enorme Total Cost of Ownership.
Maar idd, je mag toch hopen dat men bij een nieuwe aanbesteding zorgt dat men niet weer gelockt word in een browser/OS waarvan de broncode en veiligheidsaspecten niet inzichtelijk/controleerbaar zijn.
Het is te hopen dat we over een jaar of tien meewarig hoofdschuddend terug kijken op deze krankzinnige tijd van ouderwetse onveilige lock-in software.
En ondertussen maar hopen dat dan niet alle privacygevoelige info van overheden, burgers en bedrijven al gejat is via onveilige Browsers/OS-en.
Vendor lock-ins bestaan al veel langer dan alleen in de ICT. Ik heb dan ook nul medelijden met bedrijven die vanuit volstrekte incompetentie toch voor zo'n constructie hebben gekozen. Management strijkt doorgaans genoeg op om enig gezond verstand voor de zaak te mogen veronderstellen. Zelf ga ik ook nog wel eens ergens over, en lock-ins komen er bij mij simpelweg niet in. Nooit niet, en dat geeft inderdaad wel eens leuke gesprekken met sales-stropdassen..
Ik heb dan ook nul medelijden met bedrijven die vanuit volstrekte incompetentie toch voor zo'n constructie hebben gekozen.
Daarentegen heb ik wel behoorlijk medelijden met de werknemers en klanten van deze bedrijven die dankzij de volstrekte incompetentie van deze bedrijven verplicht zijn zich aan een derde bedrijf (voornamelijk Microsoft) vast te ketenen.
En laat ik daar ook de burgers aan toevoegen die dankzij de incompetentie van hun overheden tot hetzelfde gedwongen zijn.
Dat gaat, behalve in het geval van overheid, precies zo op: je gaat je als klant toch niet vastketenen aan een leverancier? Als die instort wegens domme softwarekeuze, dan ga je naar een ander. Beetje jammer dat emigreren of gewelddadige staatsgreep de enige opties zijn als je de overheid kwijt wilt..
En toen ging een lampje branden en dacht ik hier aan.
http://www.microsoft.com/belux/nl/windows/internet-explorer/get-the-facts/browser-comparison.aspx
Een closedsource programma die gewoon zulke gaten heeft schandalig, dat bewijst maar weer dat je voor een groot gedeelte eens kan zijn dat opensource goed werkt. Als je dit leest en je bent niet eens met mij haal me maar om laag met die cijfers maar dit zijn pas keiharde feiten.
Zo zijn aanvallers van Chinese bodem
Het valt me altijd op dat mensen zo zeker ervan zijn dat het aanvallers van Chinese bodem zijn.
Mijn ervaring is dat je niet weet wie de aanvallers zijn tenzij je live getraceerd hebt via wie er allemaal gehopt is. Het kunnen dus net zo goed vs'ers zijn die pc's in china hebben gehacked om het een beetje te verbergen.
China zal uiteraard zelf te trots zijn om toe te geven dat ze gehacked zijn...
Nou volges mij is Google op de server geweest, dus ze zullen wel het een en ander te weten gekomen zijn. Ook zijn er niet bevestigde geruchten dat er werknemers/infiltranten bij Google China zelf betrokken zijn geweest (zodat men wist op wie men de aanval moest richten).
bron: telegraaf
{excuses: dit is een reactie op ardje}
Om te kunnen reageren, dient u ingelogd te zijn.
2 jaar geleden: 13 februari 2010
3 jaar geleden: 13 februari 2009
4 jaar geleden: 13 februari 2008
5 jaar geleden: 13 februari 2007
14 jaar geleden: 13 februari 1998
IDG Nederland is uitgever van: AppFish
, CIO, Computer!Totaal, Computerworld, ITworld, Jobworld, MacWorld, RAW fotomagazine, TechFish, Tips & Trucs, Webwereld en Zoom.nlMeer informatie: IDG Nederland, IDG.com, Privacy-statement, Cookie-statement Hosting by Terremark.
