DIG Digital Corner
Alles wat je altijd al over computers, hardware, software, internet en elektronische gadgets had willen weten, maar niet op Tweakers.net durft te vragen.
Als het nodig is kunnen we wel een "officieel advies" uitbrengenquote:Op maandag 27 januari 2020 19:56 schreef Lucky_Strike het volgende:
[..]
Redenen voor in dit geval, lang verhaal enzo. Ik zat al op een opmerking van jullie te wachten, lol.
Ben het er ook niet mee eens
Ik ga er vanuit dat je dat al lang hebt aangepast
Uiteraard heb ik het wachtwoord direct aangepast.
Het is zeker een ernstige kwetsbaarheid, en het liefst wil je natuurlijk zo snel mogelijk een patch die het probleem oplost. Het probleem is dat ook die patches goed getest moeten worden zodat niet opeens alle apparaten offline gaan. Daarom hebben ze denk ik voor de huidige aanpak gekozen waarbij ze eerst een workaround adviseerden en later een patch beschikbaar maakten.quote:Op maandag 27 januari 2020 20:07 schreef Opa.Bakkebaard het volgende:
Dat verhaal laatst met Citrix. Ik begreep dat het in December al was ontdekt en er pas een week geleden er echt wat aan gedaan is. Als leek vind ik dat eigenlijk best traag en ietwat laks als je als dergelijk bedrijf toch vaak de toegangsdeur bent naar en van internet.
Wat denken jullie daarvan?
Het lijkt alsof er super veel tijd tussen ontdekken en patchen zat, maar in werkelijkheid was het redelijk snel. Het zal je verbazen hoe vaak je voor sommige software meer dan 3 maanden moet wachten op een patch, als die uberhaupt al komt.
Neemt niet weg natuurlijk dat je het liefst helemaal geen kwetsbaarheden wil, zeker niet in zulke belangrijke software die speciaal gemaakt is om direct aan het internet te hangen.
We werken er ook al jaren aan om ESET steeds beter out-of-the-box te laten werken waardoor het niet altijd meer nodig is om eigen instellingen te maken. Mocht je het zelf willen uitzoeken kun je het opzoeken op onze help pagina's en de supportdesk staat 6 dagen per week voor je klaar.quote:
Leuk dat jullie meewerken aan deze Q en A op FOK!
Ik werk zelf al jaren met ESET maar ik vind het steeds ingewikkelder worden om te snappen welke instelling leidt tot welke actie. Zijn jullie ervan bewust dat ook 'niet whizzkids' jullie programma's willen gebruiken?
Als ik kijk naar het verschil (en omvang) van jullie programma's voor de PC en mobiel kan ik mij niet aan de indruk onttrekken dat dit geen gelijkwaardige beveiliging biedt. Is dit juist?
Hoe zit het met de veiligheid van smart-tv's?
Is een bedraad netwerk veiliger dan WIFI?
Hoe zit het met de veiligheid van smart-tv's?
Is een bedraad netwerk veiliger dan WIFI?
Ja daar zal vast veel meer bij komen kijken dan ik me kan voorstellen. Toch... Een megagroot bedrijf waar juist hun belangrijkste product als een huis overeind zou moeten blijven. Als dat niet lukt was wellicht het adviseren om de boel tijdelijk uit te zetten toch beter geweest. Better safe than sorry. Wellicht dat er nu bedrijven zijn met ransomware die zoals je hierboven al aangaf wacht op het juiste moment. Maargoed daar kunnen jullie niets aan doen natuurlijk.quote:Op maandag 27 januari 2020 20:11 schreef Donny_ESET het volgende:
[..]
Het is zeker een ernstige kwetsbaarheid, en het liefst wil je natuurlijk zo snel mogelijk een patch die het probleem oplost. Het probleem is dat ook die patches goed getest moeten worden zodat niet opeens alle apparaten offline gaan. Daarom hebben ze denk ik voor de huidige aanpak gekozen waarbij ze eerst een workaround adviseerden en later een patch beschikbaar maakten.
Het lijkt alsof er super veel tijd tussen ontdekken en patchen zat, maar in werkelijkheid was het redelijk snel. Het zal je verbazen hoe vaak je voor sommige software meer dan 3 maanden moet wachten op een patch, als die uberhaupt al komt.
Neemt niet weg natuurlijk dat je het liefst helemaal geen kwetsbaarheden wil, zeker niet in zulke belangrijke software die speciaal gemaakt is om direct aan het internet te hangen.
Nogmaals bedankt voor je uitgebreide antwoorden.
Ik heb nooit zin om alle apps te updaten, op mijn Android foon. Werkt het weer net anders, of de nieuwe versie is buggy. 
Toch alle apps maar updaten, Just to be sure?
Leuk topic
Toch alle apps maar updaten, Just to be sure?
Leuk topic
How do we turn this world-class fuck-up into a world-class learning experience?
Daten ze bij jou niet automatisch up?quote:
Ik heb nooit zin om alle apps te updaten, op mijn Android foon. Werkt het weer net anders, of de nieuwe versie is buggy.
Toch alle apps maar updaten, Just to be sure?
Leuk topic
Gerieflijke groeten, ChevyCaprice
Moderator DIG
Russell-supporter (LET'S GO GEORGE!) F1 Watcher
🇺🇦 Fight Fight Fight! 🇺🇦
Moderator DIG
Russell-supporter (LET'S GO GEORGE!) F1 Watcher
🇺🇦 Fight Fight Fight! 🇺🇦
Uit security oogpunt: ja.quote:
Ik heb nooit zin om alle apps te updaten, op mijn Android foon. Werkt het weer net anders, of de nieuwe versie is buggy.
Toch alle apps maar updaten, Just to be sure?
Leuk topic
Maar waarschijnlijk kom je er ook mee weg om gewoon netjes systeemupdates te installeren en alleen belangrijke apps zoals die van banken up to date te houden.
De mogelijkheden die een programma op een telefoon en op een PC krijgt zijn ook niet gelijk. Op een smartphone zijn apps veel meer gebonden aan hun sandbox waardoor je niet zo gemakkelijk andere processen kan scannen. Dit is ook de reden waarom er geen anti-malware product bestaat op Apple telefoons.quote:
Als ik kijk naar het verschil (en omvang) van jullie programma's voor de PC en mobiel kan ik mij niet aan de indruk onttrekken dat dit geen gelijkwaardige beveiliging biedt. Is dit juist?
Hoe zit het met de veiligheid van smart-tv's?
Is een bedraad netwerk veiliger dan WIFI?
De veiligheid van smart-tv's is verder te vergelijken met telefoons, met het verschil dat je ze niet naar talloze andere (publieke) netwerken mee neemt.
Bedraad is inderdaad een stukje moeilijker af te luisteren dan WiFi. Kijk maar eens naar een tutorial van een Pineapple (https://scotthelme.co.uk/wifi-pineapple-mark-v-introduction-setup).
Kan je uitzettenquote:
[..]
Daten ze bij jou niet automatisch up?
Ik heb toch ESET; mij overkomt niets
How do we turn this world-class fuck-up into a world-class learning experience?
Hoe staat het tegenwoordig eigenlijk met de security van Android, nog steeds veel slechter dan Apple?
How do we turn this world-class fuck-up into a world-class learning experience?
Het is voor ons weer tijd om ook lekker naar huis te gaan. Bedankt voor de interessante vragen iedereen!
Mocht je vanavond nog een ge-wel-DIG idee hebben en nét te laat zijn, dan zullen we vragen van vanavond in de loop van de week nog beantwoorden.
Binnenkort gaan we nog de prijs uitdelen voor leukste vraag!
Mocht je vanavond nog een ge-wel-DIG idee hebben en nét te laat zijn, dan zullen we vragen van vanavond in de loop van de week nog beantwoorden.
Binnenkort gaan we nog de prijs uitdelen voor leukste vraag!
Bedanktquote:
[..]
De mogelijkheden die een programma op een telefoon en op een PC krijgt zijn ook niet gelijk. Op een smartphone zijn apps veel meer gebonden aan hun sandbox waardoor je niet zo gemakkelijk andere processen kan scannen. Dit is ook de reden waarom er geen anti-malware product bestaat op Apple telefoons.
De veiligheid van smart-tv's is verder te vergelijken met telefoons, met het verschil dat je ze niet naar talloze andere (publieke) netwerken mee neemt.
Bedraad is inderdaad een stukje moeilijker af te luisteren dan WiFi. Kijk maar eens naar een tutorial van een Pineapple (https://scotthelme.co.uk/wifi-pineapple-mark-v-introduction-setup).
Top, bedankt voor het antwoorden.quote:
Het is voor ons weer tijd om ook lekker naar huis te gaan. Bedankt voor de interessante vragen iedereen!
Mocht je vanavond nog een ge-wel-DIG idee hebben en nét te laat zijn, dan zullen we vragen van vanavond in de loop van de week nog beantwoorden.
Binnenkort gaan we nog de prijs uitdelen voor leukste vraag!
I think that it’s extraordinarily important that we in computer science keep fun in computing
For all who deny the struggle, the triumphant overcome
Met zwijgen kruist men de duivel
For all who deny the struggle, the triumphant overcome
Met zwijgen kruist men de duivel
Naar huis?quote:
Het is voor ons weer tijd om ook lekker naar huis te gaan. ...
Ligt bij jullie toko de Citrix er ook nog steeds uit ofzo?
Gekheid; bedankt voor jullie bijdragen
How do we turn this world-class fuck-up into a world-class learning experience?
Top, bedankt en fijne avond!quote:
Het is voor ons weer tijd om ook lekker naar huis te gaan. Bedankt voor de interessante vragen iedereen!
Mocht je vanavond nog een ge-wel-DIG idee hebben en nét te laat zijn, dan zullen we vragen van vanavond in de loop van de week nog beantwoorden.
Binnenkort gaan we nog de prijs uitdelen voor leukste vraag!
Spoilers!
Zeer veel dank namens DIG en FOK!quote:
Het is voor ons weer tijd om ook lekker naar huis te gaan. Bedankt voor de interessante vragen iedereen!
Mocht je vanavond nog een ge-wel-DIG idee hebben en nét te laat zijn, dan zullen we vragen van vanavond in de loop van de week nog beantwoorden.
Binnenkort gaan we nog de prijs uitdelen voor leukste vraag!
Gerieflijke groeten, ChevyCaprice
Moderator DIG
Russell-supporter (LET'S GO GEORGE!) F1 Watcher
🇺🇦 Fight Fight Fight! 🇺🇦
Moderator DIG
Russell-supporter (LET'S GO GEORGE!) F1 Watcher
🇺🇦 Fight Fight Fight! 🇺🇦
Mooi te laat!
Mochten jullie dit nog willen beantwoorden, alvast bedankt.
.
Zijn jullie ook opzoek naar de gaten in software om binnen te komen (en dit dan te beveiligen)? Of gebruik je metasploit en wat niet om alleen te testen en daarna te beveiligen? (Dus gebruik maken van de reeds bekende gaten en dit testen)
Probleem wat ik veelal zie is hoe bedrijven omgaan met software, en hoeveel en makkelijk gaten gevonden kunnen worden. Een simpele id veranderen in een url wat een factuur pdf genereert en je hebt een lek. Invalide certificaten, of foutmelding pagina met een stacktrace (inclusief versienummers van software). En dus zodoende makkelijk is om binnen te komen. Komt ook vooral dat er vrijwel geen “straffen” zijn hiervoor... wat vinden jullie hiervan? Wat moet de overheid doen en wat zou gepaste straffen zijn? AVG is er, maar ik zie bar weinig veranderingen...
Nu jullie veel technische kennis hebben en zo, wat vinden jullie van de huidige privacy regels in het algemeen, wat men nu allemaal doet online (zowat alles delen), en waar wij naartoe gaan met facial recognition (geforceerd privacy inleveren, zie Londen sinds enkele dagen).
Hoeveel kost het om een poging op mijn server te doen? En hoelang duurt een testje?
Voor degene die geïnteresseerd zijn om te beginnen, OWASP is een prima start om te testen op websites (https://owasp.org/www-project-top-ten/).
Mochten jullie dit nog willen beantwoorden, alvast bedankt.
.
Zijn jullie ook opzoek naar de gaten in software om binnen te komen (en dit dan te beveiligen)? Of gebruik je metasploit en wat niet om alleen te testen en daarna te beveiligen? (Dus gebruik maken van de reeds bekende gaten en dit testen)
Probleem wat ik veelal zie is hoe bedrijven omgaan met software, en hoeveel en makkelijk gaten gevonden kunnen worden. Een simpele id veranderen in een url wat een factuur pdf genereert en je hebt een lek. Invalide certificaten, of foutmelding pagina met een stacktrace (inclusief versienummers van software). En dus zodoende makkelijk is om binnen te komen. Komt ook vooral dat er vrijwel geen “straffen” zijn hiervoor... wat vinden jullie hiervan? Wat moet de overheid doen en wat zou gepaste straffen zijn? AVG is er, maar ik zie bar weinig veranderingen...
Nu jullie veel technische kennis hebben en zo, wat vinden jullie van de huidige privacy regels in het algemeen, wat men nu allemaal doet online (zowat alles delen), en waar wij naartoe gaan met facial recognition (geforceerd privacy inleveren, zie Londen sinds enkele dagen).
Hoeveel kost het om een poging op mijn server te doen? En hoelang duurt een testje?
Klopt, want het is mogelijk te detecteren welk toets ingedrukt is door het geluid.quote:
[..]
Als aanvulling op @:Robin_ESET: Ja, al heb ik mijn zakelijke laptop expres zonder camera gekocht. Persoonlijk denk ik alleen dat de microfoon (die je niet zomaar af kan plakken) gevaarlijker is.
Voor degene die geïnteresseerd zijn om te beginnen, OWASP is een prima start om te testen op websites (https://owasp.org/www-project-top-ten/).
Hoi, ik ben zelf werkzaam als devops engineer, en daarmee is security voor mij natuurlijk ook een belangrijk onderdeel. Nu mijn vraag, deze is redelijk actueel gezien het Citrix probleem. Zou dit soort software niet structureel anders moeten werken? Ik heb hier zelf wel een idee over, mijn idee is als volgt:
Stel je hebt een VPN (server) tool, laten we zeggen Citrix, naast deze tool zou een andere lichte service draaien, het enige wat deze doet is continue een endpoint checken of de huidige versie nog secure is, kortom het endpoint hoeft alleen een true/false terug te geven. Op het moment dat er een false terugkomt zet deze tool direct de Citrix server stop en verstuurt een alert. Op deze manier draai je de logica dus om en voorkom je een hoop ellende door te laat patchen.Feitelijk dus een soort van circuit breaker pattern.
Stel je hebt een VPN (server) tool, laten we zeggen Citrix, naast deze tool zou een andere lichte service draaien, het enige wat deze doet is continue een endpoint checken of de huidige versie nog secure is, kortom het endpoint hoeft alleen een true/false terug te geven. Op het moment dat er een false terugkomt zet deze tool direct de Citrix server stop en verstuurt een alert. Op deze manier draai je de logica dus om en voorkom je een hoop ellende door te laat patchen.Feitelijk dus een soort van circuit breaker pattern.
🕰️₿🕰️₿🕰️₿🕰️₿🕰️₿🕰️ TikTok next Block
Lachwekkend antwoord en een security expert onwaardig,er heeft weken tussen de vulnerability gezeten en de oplossingen, zeker voor dit type exploits.quote:
[..]
Het is zeker een ernstige kwetsbaarheid, en het liefst wil je natuurlijk zo snel mogelijk een patch die het probleem oplost. Het probleem is dat ook die patches goed getest moeten worden zodat niet opeens alle apparaten offline gaan. Daarom hebben ze denk ik voor de huidige aanpak gekozen waarbij ze eerst een workaround adviseerden en later een patch beschikbaar maakten.
Het lijkt alsof er super veel tijd tussen ontdekken en patchen zat, maar in werkelijkheid was het redelijk snel. Het zal je verbazen hoe vaak je voor sommige software meer dan 3 maanden moet wachten op een patch, als die uberhaupt al komt.
Neemt niet weg natuurlijk dat je het liefst helemaal geen kwetsbaarheden wil, zeker niet in zulke belangrijke software die speciaal gemaakt is om direct aan het internet te hangen.
🕰️₿🕰️₿🕰️₿🕰️₿🕰️₿🕰️ TikTok next Block
bedrijven zijn zo lek als een maandjequote:Op maandag 27 januari 2020 19:20 schreef Opa.Bakkebaard het volgende:
Ik las zojuist dit:
https://www.security.nl/p(...)ktop+Gateways+online
Dit terwijl er een patch beschikbaar is. Security blijft nog steeds een ondergeschoven kindje bij veel bedrijven. Doen jullie ook wat aan de bewustwording van risico's bij jullie klanten?
Hoe denken jullie over vinny’s unattended visie op software en de wereld?
Hoeveel echte hackers zijn er in NL itt die scriptkiddos?
Is het waar dat hackers een speciale handshake hebben waardoor ze elkaar herkennen?
Hoeveel echte hackers zijn er in NL itt die scriptkiddos?
Is het waar dat hackers een speciale handshake hebben waardoor ze elkaar herkennen?
Android heeft een andere filosofie dan Apple wat betreft het platform. Dat biedt voordelen in de vorm van een meer open systeem maar helaas ook nadelen zoals security. Apps in Android hebben meer interactie mogelijkheden met zowel het OS als andere apps. Een voorbeeld hiervan is dat je je Android telefoon als hardware token voor 2fa kan gebruiken. Een minder leuk voorbeeld is dat Android ook ransomware kent, helaas ook door apps die in de store accepted worden.quote:
Hoe staat het tegenwoordig eigenlijk met de security van Android, nog steeds veel slechter dan Apple?
Gelukkig zijn er ruim 80 anti-malware apps beschikbaar om ook je Android telefoon goed te beschermen: https://www.av-comparatives.org/tests/android-test-2019-250-apps/
Tijdens opdrachten zoeken we altijd de makkelijkste wegen naar binnen. Als je door gebruik van Metasploit en andere tools al op 3-4 verschillende manieren binnen komt is het belangrijkste voor de klant om dat op te lossen. Daar zal hij namelijk het meeste risico mee lopen. Mochten we bijvoorbeeld zelfgemaakte software tegen komen is dat altijd een van de eerste dingen waar we ook naar kijken. Ik heb een flink aantal in-house webportalen met een SQL injection lek of gewoon te open permissies kunnen gebruiken om uiteindelijk domain admin te worden.quote:Op maandag 27 januari 2020 22:14 schreef Qunix het volgende:
Mooi te laat!
Mochten jullie dit nog willen beantwoorden, alvast bedankt.
.
Zijn jullie ook opzoek naar de gaten in software om binnen te komen (en dit dan te beveiligen)? Of gebruik je metasploit en wat niet om alleen te testen en daarna te beveiligen? (Dus gebruik maken van de reeds bekende gaten en dit testen)
Probleem wat ik veelal zie is hoe bedrijven omgaan met software, en hoeveel en makkelijk gaten gevonden kunnen worden. Een simpele id veranderen in een url wat een factuur pdf genereert en je hebt een lek. Invalide certificaten, of foutmelding pagina met een stacktrace (inclusief versienummers van software). En dus zodoende makkelijk is om binnen te komen. Komt ook vooral dat er vrijwel geen “straffen” zijn hiervoor... wat vinden jullie hiervan? Wat moet de overheid doen en wat zou gepaste straffen zijn? AVG is er, maar ik zie bar weinig veranderingen...
Nu jullie veel technische kennis hebben en zo, wat vinden jullie van de huidige privacy regels in het algemeen, wat men nu allemaal doet online (zowat alles delen), en waar wij naartoe gaan met facial recognition (geforceerd privacy inleveren, zie Londen sinds enkele dagen).
Hoeveel kost het om een poging op mijn server te doen? En hoelang duurt een testje?
[..]
Klopt, want het is mogelijk te detecteren welk toets ingedrukt is door het geluid.
Voor degene die geïnteresseerd zijn om te beginnen, OWASP is een prima start om te testen op websites (https://owasp.org/www-project-top-ten/).
Wetgeving op dit gebied is een zeer lange discussie en geen makkelijk onderwerp. Als je naar de auto industrie kijkt zijn er gestandaardiseerde testen die een auto moet doorlopen om te worden goedgekeurd. Willen we dat in software verplichten? Maar wat nou als je auto alleen op het circuit rijdt (interne software), moet dan dezelfde test worden doorlopen?
De kosten van een test zijn afhankelijk van een aantal zaken. Hoe groot is de scope en hoe diep wil je gaan met de test. Je kan natuurlijk altijd een vulnerability scanner zoals Nessus of openVAS naar je eigen server laten kijken. Dat biedt vaak al heel veel inzicht.
Virussen en spam zijn een ongewild bijproduct van het computertijdperk. Het kost systeemresources, datasnelheid en geeft een hoop ergernis. Wat er nu gebeurt is het blokkeren en verwijderen van kwaadwillende data. Nu zijn sommige virusblokkers gratis te downloaden. Mijn operating systeem is ook gratis te downloaden (linux) Waarom zou ik dan de moeite nemen om een duur product aan te schaffen? Dit doe ik namelijk met mijn huidige operating systeem ook niet.
Mag ik je vandaag weer eens irriteren?
|
|
