Netkwesties XS4ALL
Menu HomeWebgidsZoekenReageerNieuwsbriefForumColumns


LEZERSKWESTIES

Is Microsoft verantwoordelijk voor computerbeveiliging? Dit heikele discussiepunt blijft de lezers bezighouden. Wederom ontving Netkwesties enkele scherpe kritieken, maar ook prima adviezen.

De meest uitgebreide reactie kwam van Paul Wilders. Hij zet vraagtekens bij drie programma's en diensten die in de vorige Netkwesties werden besproken: Outlook 2002, Grc.com en ZoneAlarm:

  1. In uw nawoord stelt u, dat Microsoft zich alle beveiligingskritieken wel degelijk lijkt aan te trekken. Met betrekking tot Outlook 2002 lijkt dit bewaarheid te worden - zij het zeer ten dele. Op de eerste plaats gebruikt het overgrote deel van de internetters Outlook Express. Deze gebruikersgroep blijft bijzonder kwetsbaar.

    Ten tweede is besmetting door het openen van e-mail-attachments weliswaar een niet te onderschatten risico. Daar staat tegenover dat infectie door het gebruik van geïnfecteerde floppy disks, cd-rom's, het downloaden van geïnfecteerde bestanden/programma's, het ontvangen van op HTML gebaseerde email, zelfs het simpele surfen (Evil trojan horse) een risicofactor is van tenminste dezelfde orde.

    In deze context doet Microsoft bepaald onvoldoende aan beveiliging. De al genoemde functie 'TerminateProcess' blijft als zwaard van Damocles boven onwetende gebruikers hangen. In dit verband citeer ik uit een e-mail van Daniel S. Otis-Vigil, CEO van moosoft.com, auteurs van het wereldwijd meest gebruikte anti-trojan programma The Cleaner, de dato 13 maart 2001, verzonden aan de webmaster van onze security website:

    '..There is no way to do anything after a call to TerminateProcess, so until Microsoft incorporates some sort of authentication, any program will always be able to kill another program with that call.'

    Vul voor 'any program' bijvoorbeeld de al vernoemde Bionet trojan horse in, in de wetenschap, dat Microsoft van deze problematiek reeds lang en breed op de hoogte is.

  2. grc.com van Steve Gibson voorziet in uitstekende informatie, newsgroups, tips en software. De genoemde poortscan-test dient echter in de juiste context te worden geplaatst. Er worden slechts 10 (lagere) poorten gescand. Met de wetenschap, dat er 65.565 poorten zijn, moge het duidelijk zijn dat deze gratis service weliswaar lovenswaardig, maar bijzonder ontoereikend is: 10 poorten na worden alle overige - kwetsbare - poorten niet gescand. Er zijn alternatieven voorhanden, gratis, zoals bij:
    www.sdesign.com/securitytest
    waar 4.000 poorten gratis getest kunnen worden, dan wel een nmap-scan bij:
    www.vulnerabilities.org/nmapemail.html
    waar circa 1.500 poorten gratis gescand kunnen worden;

    Of tegen betaling, waarbij alle poorten worden gescand, hetgeen uiteraard de meeste zekerheid biedt. Dit kan onder meer bij:
    www.hackerwhacker.com

    Conclusie: een gratis poortscan bij Steve Gibson's grc.com is bepaald ontoereikend om zekerheid te verkrijgen inzake kwetsbare poorten van een computer. Slechts een volledige poortscan kan uitkomst bieden.
    Het plaatsen van de grc.com-link kan derhalve leiden tot een ongefundeerd gevoel van veiligheid, als deze na gebruik aan zou geven, dat de computer 'veilig' is.

  3. ZoneAlarm, althans de gratis versie van deze firewall, is weliswaar een aardige oplossing voor de huis-tuin-en-keuken internetter, maar in principe ontoereikend. We hebben hier te maken met een zogenaamde 'application-based' firewall: het programma vraagt toestemming of programma X volledige rechten mag krijgen om het internet 'op te gaan', ongeacht de poorten en verdergaande consequenties. Dit in schril contrast tot bijvoorbeeld de commerciële versie van ZoneLabs: ZoneAlarm Pro. Deze laatste is een zogenaamde 'rule-based' firewall, waarbij inkomend en uitgaand dataverkeer niet alleen per applicatie c.q. programma, maar ook per poort, soort dataverkeer, IP-ranges/nummers etc. kan worden geconfigureerd. Een 'rule-based' firewall biedt - mits goed geconfigureerd - aanzienlijk meer veiligheid.

    Conclusie: indien een internetter - en zeker daar waar het om bedrijfsmatige en/of netwerk internetten gaat, dient in principe een hardwarematige firewall te installeren ter bescherming tegen inkomend dataverkeer, in combinatie met een rule-based softwarematige firewall ten behoeve van het uitgaande dataverkeer. Dat een "prive-internetter zich beperkt tot een - aanzienlijk goedkopere - softwarematige firewall, is te rechtvaardigen; dat dient dan echter wel een rule-based firewall te zijn, en in principe geen application-based firewall, zoals de freeware-versie van ZoneAlarm.

Hij besluit zijn brief met het algemene advies:

Tenslotte dient iedere internetter er zelf voor zorg te dragen, dat zijn computer en de geïnstalleerde software zo veilig mogelijk zijn geconfigureerd en zich houden aan veilige gedragsregels - de basis voor iedere internetter. Gezien de structurele onveiligheid van Windows en de relatieve onwetendheid van de gemiddelde computergebruiker is kennis een noodzaak. Standaard veilig computer-/internetgebruik bestaat helaas al lang niet meer...

Mariëtte Knap (Microsoft SBS Most Valuable Professional, maar werkt niet voor Microsoft) vindt het vanzelfsprekend dat systeembeheerders hun nieuwe systemen eerst moeten configureren:

Ergerlijk vind ik het dat Onno in het stukje over computerbeveiliging schrijft dat de NT/Small Business Server zo lek is als een mandje. Ik kan vanuit mijn studeerkamer niet beoordelen wie die installatie en configuratie heeft gedaan, maar NT/Small Business Server is zeer zeker niet zo lek als een mandje. Het is waar dat de default-installatie Packet Filtering uit heeft staan, dat is op z'n minst vreemd te noemen, maar iedere IT-specialist weet toch dat niets vanzelf gaat en dat je op z'n minst controleert hoe de stand van zaken is voor wat betreft beveiliging.

In twee nieuwsgroepen, te weten microsoft.public.backoffice.smallbiz en microsoft.public.backoffice.smallbiz2000 beantwoord ik honderden vragen over de beveiliging van Small Business Server 4.5 en 2000. Zelfs gecertificeerde IT-consultants zijn niet in staat in te zien dat beveiliging een kwestie is van configureren.

Willem Boogers vond ons nawoord, waarin we een voorzichtige mentaliteitsverandering bij Microsoft bespeurden, nogal misplaatst:

Bovenstaande gaat over extra beveiliging op de applicatielaag. Het hele artikel ging echter over de netwerklaag (en ietsje erboven). Dat wordt door bovenstaande patches niet geadresseerd, dus Sharesniffer e.d. hebben dan nog steeds vrij spel?

Het probleem is veel fundamenteler. In een ideale wereld zou Microsoft m.i. alles opnieuw moeten ontwikkelen, gewoon opwaarts vanaf layer 3, met als belangrijkste ontwerpcriterium: beveiliging. Bovenstaand citaat is echt alleen 'window dressing': we verhelpen wat ze (de slachtoffers c.q. klanten) er direct van merken.

Wat jullie nu schrijven komt op mij over dat ze van een vergiet bepaalde vlakken in de bodem dichtplakken met tape. Het blijft (op andere plekken) lekken.

(27 april 2001)



Headlines

- Kritiek op DDS-mirrors Panoussis

- Aftappen internet pas eind dit jaar effectief

- Binnen zonder kloppen: identiteitsfraude

- Faits Divers

- Forum: Gaat u (meer) versleutelen?

- Kort nieuws

- Lezerskwesties