Vraag & Antwoord

Trashcan

[nov 2004] Opinie: Straffe maatregelen

Anoniem
Peter Vooges
13 antwoorden
  • De afgelopen weken staan in het teken van een van de meest opmerkelijke acties die computergebruikers hebben doorstaan. Microsoft, het bedrijf achter Windows, het de facto standaard besturingssysteem voor thuisgebruikers, brengt Service Pack 2 uit voor Windows XP. Een onmisbaar pakket van vele tientallen MB’s dat van uw Windows besturingssysteem een veilig besturingssysteem moet maken. Moeten we daaruit afleiden dat Windows voorheen niet veilig was? Goed, er wordt een aantal gapende gaten gedicht, maar dat is niet de essentie, volgens Microsoft: Windows had al alle mogelijkheden in zich om veilig te zijn. Mensen gebruikten ze alleen niet. Mensen wisten niet dat die mogelijkheden bestonden, wisten ze niet te vinden, of begrepen niet hoe ze gebruikt moesten worden, denken wij. Onder druk van de aanhoudende klachten over veiligheid, heeft Microsoft nu besloten alle veiligheidsopties in Windows standaard aan te zetten. Dan weten we tenminste zeker dat mensen ze gebruiken, zegt Microsoft. Een simpele oplossing voor een simpele opvatting van het probleem, denken wij. In feite is het uw eigen schuld, lijkt MS hiermee te zeggen: als u niet kunt omgaan met de vrijheid die u hebt, dan nemen we die vrijheid gewoon af tot u laat zien dat u weet wat u doet. Maar zo werkt het natuurlijk niet. Inmiddels is ook bekend wat er gebeurt als u SP2 installeert: tal van toepassingen werken plots niet meer, omdat Windows allerlei poorten sluit die van oudsher altijd open hebben gestaan. Natuurlijk kunt u die poorten handmatig weer openen – maar als u al niet wist dat die poorten bestonden, waar u ze moest vinden of hoe u ze moest gebruiken, hoe moet het dan nu lukken ze weer open te zetten? Microsoft doet zijn uiterste best de toegang tot uw pc zo goed mogelijk dicht te timmeren. Dat is heel nobel, maar als een voetbalcoach wil voorkomen dat de tegenpartij scoort, zet hij ook niet al zijn zinnen op de keeper. Als de veldspelers niet meewerken, is geen keeper namelijk goed genoeg. De idee dat Microsoft in zijn eentje alle pc’s ter wereld kan beveiligen is een illusie. U als gebruiker werkt met die pc’s. Vrijwel iedere pc is anders; vrijwel elk gebruik is anders. Om uw pc afdoende te beschermen, is het daarom belangrijk dat de beveiliging van uw pc niet alleen goed, maar vooral ook begrijpelijk en toegankelijk is. Dat dat wel mogelijk is, ziet u aan verschillende beveiligingssuites die hier in dit nummer worden besproken. U krijgt heldere overzichten, wordt gewaarschuwd als een programma iets doet dat uw veiligheid in gevaar zou kunnen brengen, en kunt te allen tijde een keurig overzicht opvragen van de beveiligingsstatus van uw systeem. Wat Microsoft nu doet wekt de suggestie dat ze denken dat de gebruiker te dom is om het geweldige systeem dat er ligt goed te gebruiken. Dat getuigt niet alleen van minachting van de gebruiker, maar ook van gebrek aan zelfreflectie en inlevingsvermogen. Vooral dat laatste is opmerkelijk, omdat juist Windows wordt gepresenteerd als het besturingssysteem dat geschikt moet zijn voor iedereen. Het is onder andere zo populair omdat ook iedere computerleek het op zijn systeem heeft staan. Die gebruikers zijn niet geholpen als de deur dicht wordt gegooid, en al helemaal niet als vervolgens grote verwarring ontstaat over hoe alles nu weer aan de praat is te krijgen. Als Microsoft veiligheid werkelijk serieus neemt, zal het de beveiliging toegankelijk en begrijpelijk moeten maken. Zolang mensen een complete studie moeten volgen om de veiligheid van hun systeem serieus ter hand te nemen, is een update als SP2 een straf, en geen oplossing.

    Volkert Deen
    Eindredactie Computer!Totaal
  • Tijdens het lezen kwamen mijn standpunten ook naar voren. De conclusie die we kunnen trekken uit de vele problemen die na het installeren van SP2 kunnen ontstaan lijkt me vrij duidelijk. SP2 is niet genoeg getest, of er is in ieder geval niet genoeg / verkeerd over nagedacht bij Microsoft. Zoveel mensen die niet die extra kennis van Windows hebben downoaden en installeren heel netjes de update omdat deze 'Windows veiliger maakt'. Dat mag dan wel waar zijn, het mag gewoon niet zo zijn dat er daarnaast verrassend veel problemen kunnen ontstaan.

    Ik spreek overigens niet uit eigen ervaring, want laat zelf de update nog even in de wachtrij staan. Maar alleen al op dit forum zoveel negatieve reacties, dan is er toch wat mis. Daarnaast zijn enkele veranderingen wel ongedaan te maken (instellingen aanpassen), maar zoals ik al zei is dit voor de minder ervaren gebruiker niet logisch.

    Microsoft gaat wel de goede kant uit qua beveiliging, maar had het toch iets anders aan moeten pakken.
  • [quote:59bf2c1895]
    … Dat getuigt niet alleen van minachting van de gebruiker, maar ook van gebrek aan zelfreflectie en inlevingsvermogen. Vooral dat laatste is opmerkelijk …[/quote:59bf2c1895]
    Laat ik het daar nu niet mee eens zijn.
    Het hele Windows heeft IMHO nooit iets anders dan minachting voor de gebruiker gehad.
    Er heeft altijd een "Bill weet het beter"-luchtje gezeten aan ieder nieuw feature.

    Van het feit dat 'gewone' gebruikers niks aan pre-emptive multi-tasking zouden hebben, via Windows dat wel even beslist welke applicaties je na een installatie van het OS nodig hebt, via de lokatie van je data & plaatjes in 'Mijn Documenten' (waar je in het begin alleen met registry-truuks iets aan kon veranderen) tot en met een startmenu dat 'ongebruikte' shortcuts voor je verstopt.

    En telkens weer zijn aanpassingen van dit soort onderdelen alleen aan de 'geeks' voorbehouden, want een 'normale' gebruiker wordt er door Windows nooit op gewezen.

    De 'firewall' die standaard aan staat en alleen voor de 'gevorderde' gebruiker enigszins manieren te leren is wat mij betreft het zoveelste punt in dat lijstje van irritaties.
    Het zou me niks verbazen dat we pas bij XP 2 een 'betere' / vriendelijkere oplossing voor die standaard firewall zien.

    Het wordt deze keer nog eens erger gemaakt doordat MS bij het servicepack al bij het begin doodleuk verklaard dat 'sommige' applicaties wel eens niet naar behoren zouden kunnen werken ('grappig' is dat in de lijkst die MS zelf opgeeft heel veel pakketten van MS zelf staan … ).
    Zoiets doe je toch een gebruiker niet aan ?

    De enigen die 'blij' zijn met deze features zijn de dure helpdesks van de pc-fabrikanten/winkels die voor veel geld de klachten mogen verhelpen.

    Als je je auto voor de grote beurt/apk-keuring naar de garage brengt dan zegt de monteur toch ook niet dat je straks (als de reparatie/controle gedaan is) wellicht niet overal even makkelijk zult kunnen rijden en dat je in zo'n geval maar even de wegbeheerder of ANWB moet bellen ?

    't is toch van de gekke dat we van pc's nog steeds zulke onzin accepteren ?
  • [quote:cdbdd478b7="JaFO"]De 'firewall' die standaard aan staat en alleen voor de 'gevorderde' gebruiker enigszins manieren te leren is wat mij betreft het zoveelste punt in dat lijstje van irritaties.
    Het zou me niks verbazen dat we pas bij XP 2 een 'betere' / vriendelijkere oplossing voor die standaard firewall zien.
    [/quote:cdbdd478b7]Tja, ik vind dit wel wat overtrokken. De firewall instellingen zijn vrij makkelijk terug te vinden op het Configuratiescherm. Het algemene probleem dat ik zie bij het gebruik van een firewall is gewoon de simpele keuze wanneer iets wel of niet moet worden toegestaan. Daar kan Microsoft niet echt wat aan doen. Overigens heb ik nog geen goed beeld van de SP2-firewall omdat mijn huidige firewall kritischer lijkt te zijn en dus wat meer en/of wat eerder waarschuwingen geeft.
  • Straffe maatregelen. Dit is wel wat te ver gezocht. Dat er mensen waren, die niet goed wisten om de beveiliging te gebruiken in Windows, is niet niemand kwalijk te nemen. Door de aanhoudende klachten heeft toen Microsoft besloten om de veiligheidsopties in Windows standaard aan te zetten. Prima toch! Dat is door Microsoft niet neerzien op de gebruikers, dat is service. En dan de kreet in het artikel: inmiddels is ook bekend wat er gebeurt als men SP2 installeert, tal van toepassingen werken plots niet meer. Niets is minder waar. Zelf heb ik nergens geen last. Als draait prima. Zo maak ik gretig gebruik van het beveiligings centrum. De Firewall van Norton heb ik uitgeschakeld. En maakt gebruik van SP2 Firewall. De firewall van Norton zat toch altijd in de weg, bij het opnieuw opstarten. En dat mensen een studie moeten maken voor veiligheid van het systeem een straf is onzin. Men moet er zelf ook wat voor hebben. Tot slot. Heel de toon in dit artikel staat mij niet aan. Het is weer schoppen tegen Microsoft. Als de redactie meent Microsoft naar beneden te halen, waarom dan dat artikel in Computertotaal november over Windows XP Service Pack 2. Het is zo hyprociet als het kan. A. Scheele
  • Het probleem dat ik heb met houding van Microsoft is dat het bijna per
    definitie de gebruiker beschuldigd van problemen met het OS.

    Ik neem een ambivalente houding aan ten aanzien van Windows. Aan de positieve kant maak ik MS een compliment dat ze een OS geschreven hebben dat op en met heel veel hardware uit de voeten kan. Koop een zootje hardware, knoop het in elkaar en installeer W2K of zo. Goede kans dat het gewoon loopt.

    Aan de negatieve kant staat dat Windows vreselijk in elkaar zit. En dan zijn we bij het veiligheidsaspect beland.

    Tegen gebruikers die (met Administrator rechten) maar allerlei programma's binnenhalen en draaien kun je een OS nooit beveiligen, maar je zou er toch op z'n minst voor kunnen zorgen dat het het gebouw structureel goed in elkaar steekt. Hierdoor wordt het voor 'malware' een stuk moeilijker om structurele schade toe te brengen.

    Windows is nooit gebouwd met veiligheid in het achterhoofd. Enkele belangrijke zaken hierin zijn:

    1) Een veilig OS kent een duidelijke lagenstuctuur waarbij bepaalde handelingen die het systeem kunnen schaden alleen maar in 'kernel' mode kunnen worden uitgevoerd. Daaromheen ligt dan een interface laag van API's waarin de aanroepen naar die kernel routines worden gecontroleerd en gevalideerd. De tweede laag omvat de routines die bijvoorbeeld de input en output uitvoeren. Ook deze is van de buitenste laag (of nog liever lagen) afgeschermd door een interface laag (of lagen) van controlerende API's. De buitenste laag is de laag waarin de gebruikersprogramma's draaien. Bijvoorbeeld een tekstverwerker of een browser.
    Als dat gebruikersprogramma iets van het systeem wil dan vraagt ie dat
    netjes (via een interface API) aan de binnengelegen laag die daarvoor
    verantwoordelijk is.
    In dat interfaceprogramma (de API routine) kun je dan allerlei controles uitvoeren, bijvoorbeeld op buffer overrun's, maar ook op rechten. Elke API routine is er voor verantwoordelijk dat de gegevens waar hij mee wordt geactiveerd goed en bruikbaar zijn.
    In deze context is uit den boze dat een GUI diep in de kernel of IO-laag ingrijpt ("in he OS is geintegreerd'). De GUI zal op het OS moeten draaien, wellicht in een tussenlaag tussen de IO routines en de gebruikersprogramma's.

    2) Door een dergelijke lagenstructuur ook voort te zetten in de directory-structuur en daarop de rechten goed te regelen kun je veel problemen voorkomen.

    3) Windows is ontstaan als Personal Computer OS. Met als gevolg dat de gebruiker nooit is duidelijk gemaakt dat hij gewoon niet als Administrator moet werken. Als een gebruiker met minder rechten z'n werk kan doen zou een groot deel van de bedreigingen domweg niet kunnen werken omdat het 'normale' gebruikers gewoon niet het recht hebben om OS-compromitterende handelingen uit te voeren.
    Ook hier wreekt zich het gemis aan een gestructureerde gelaagde opbouw waardoor een gebruiker voor het minste geringste alweer Administrator rechten nodig heeft en ze derhalve nooit uitschakelt.

    4) Scheiding van data en programmatuur.
    Doordat in de huidige programmatuur (ook op LINUX en vele andere U*Xen) data en programmatuur door elkaar worden geplaatst kunnen buffer overruns leiden tot het uitvoeren van code die over de buffergrootte is heengeschreven.
    Als data en programmatuur in gescheiden gebieden wordt geplaatst kun je meteen een protection mask op het programmatuurgebied zetten zodat daar niet geschreven mag worden. En kun je een beveiliging opzetten waarmee gegevens uit datagebieden nooit uitgevoerd kunnen worden. Nog beter wordt het als die geheugengebieden ook nog worden onderscheiden voor de verschillende operatie lagen. Dus apart beveilgde gebieden voor Kernel programma's en data, IO programma's en data (buffers) en gebruikersprogramma's en data.
    Natuurlijk vereist dit meer dan alleen OS aanpassingen. Ook compilers moeten met dit soort zaken uit de voeten kunnen.

    5) Het zal duidelijk zijn dat de bovengenoemde zaken ook pas zin hebben als de programatuur voorziet in controles hierop. Dat wil zeggen dat het niet alleen zodanig geprogrammeerd moet zijn maar ook dat bepaalde geheugengebieden alleen maar benaderd moeten kunnen worden wanneer het programma in de juiste mode draait. Elke andere toegang moet dus ook geblokkerd kunnen worden. Op die manier loopt een programma fout als hij vanuit een gebuikersprogramma direct op schijf probeert te schrijven.
    Let wel: het programma kan dan crashen, het OS niet.


    Uit bovenstaande zal duidelijk zijn: Windows (maar grotendeels ook de UNIXEN) is nog ver van een veilig OS. En gezien het feit dat Microsoft liever gebruikers de zwarte piet toeschuift dan zelf een structureel herontwerp te gaan maken zal het nog wel even duren ook.

    Trek uit bovenstaande echter niet de conclusie dat zo'n OS niet bestaat.
    In bedrijfskritische omgevingen (voor fabrieksbesturing, bij banken, in ziekenhuizen etc.) kom je nog wel eens een systeem tegen dat al deze zaken wel in zich heeft. Het heet OpenVMS, bestaat al meer dan 25 jaar en draait inmiddels op een drietal hardware platformen. Een voorsprong die voorlopig dus alleen nog maar groter wordt.

    Groet,
    Martin Hoogenboom
  • Ik denk dat een strop die MS constant om de nek heeft de uitwisselbaarheid met vorige OS'en is.
    Niemand zit te wachten op een OS dat gelijk eist dat alle andere programma's ook nieuw worden aangeschaft. Dat wordt nooit verkocht., ook al is dat vele malen beter/veiliger.
  • [quote:96dd4a6b2c="Peter Vooges"]Ik denk dat een strop die MS constant om de nek heeft de uitwisselbaarheid met vorige OS'en is.[/quote:96dd4a6b2c]
    Ik denk dat je daar een punt hebt. Wat ik met mijn vorige bericht echter heb willen aangeven is dat MS in de basis een aantal fouten heeft gemaakt. En dat gaat dus al terug tot de pre-DOS-tijd. En dat je dan de 'last' van backwards compatibility meesleept is evident. Ik denk overigens dat een deel van de door mij aangegeven punten best geimplementeerd (hadden) kunnen worden zonder de backwards compatibility aan te tasten.

    [quote:96dd4a6b2c="Peter Vooges"]Niemand zit te wachten op een OS dat gelijk eist dat alle andere programma's ook nieuw worden aangeschaft. Dat wordt nooit verkocht., ook al is dat vele malen beter/veiliger.[/quote:96dd4a6b2c]
    Er zijn in de geschiedenis van de MS OSsen ook momenten geweest waarop 'iedereen' nieuwe software heeft moeten kopen.

    Overigens zou ik ook niemand aanraden OpenVMS te gaan gebruiken. Het is duur, je hebt er relatief dure hardware voor nodig, er bestaan niet zo veel programma's voor, je hebt behoorlijk wat specialistische kennis nodig om er maar iets mee te kunnen, het ziet er naar uit dat HP het OS vwb winst nog uitmelkt maar verder laat afsterven en zo kan ik nog wel een paar argumenten noemen.
    Hoewel de installed base de laatste jaren hard achteruit loopt wordt OpenVMS al meer dan 25 jaar verkocht en verbeterd. En ik ken fabrieken waar de door VMS systemen geboden services dit millenium nog niet(!) onderbroken(!) zijn geweest. Systeem uptimes van jaren met een average load van 60% CPU zijn heel normaal.

    Belangrijkste punt in mijn verhaal is dat het bouwen van een degelijk en robuust OS kennelijk nooit de primaire doelstelling is geweest van MS. Ook de huidige OSsen van MS staan nog bol van de Q&D oplossingen, met allerlei kwetsbaarheden tot gevolg.
    Wat ik MS verwijt is dat ze de gebruiker er de schuld van geven dat ze de weg naar die kwetsbaarheden open laten staan.
    [i:96dd4a6b2c]Vergelijk het met een uiterst comfortabele en luxe woning met zwakke sloten op de deuren, ramen zonder afsluitmogelijkheden, scharnieren aan de buitenkant zonder dievenklauwen, niet afsluitbare dakramen, van buitenaf bereikbare kruipruimten, ventilatiegaten zonder roosters etc. En dan het verwijt van de aannemer dat de koper geen slotgracht en 15 mtr hoge omheining om het landgoed heeft gemaakt.[/i:96dd4a6b2c]
  • Je vergeet dat je bij Windows tegenwoordig door de meest wereldvreemde programma's gevraagd wordt om :
    = anti-virus- & firewalls tijdens installatie uit te schakelen

    = het programma in kwestie alleen als Admin kunt installeren of (nog erger) alleen als admin mag draaien (en dan heb ik het over ordinaire spelletjes …), vanwege de kopieer-'beveiliging' (The Sims 2), …

    Op die manier krijg je de gebruikers nooit goede manieren aangeleerd.
  • Microsoft maakt het met bepaalde dingen wel lastig om veilig te werken. Ik heb van mezelf het idee dat ik heel aardig met een computer overweg kan ( ben geen hardcore IT er of zoiets, meer een ervaren gebruiker) , maar ik kan als administrator geen gebruiker aanmaken anders dan ofwel een andere Administrator, of een gewone gebruiker ( met een vaste set beperkte rechten). Ik weet niet of dit überhaupt mogelijk is, maar zo is het wel lastig om een gebruiker die ook maar 1 recht meer nodig heeft dan de standaard gebruiker, veilig te laten werken.

    Hetzelfde geld voor de Firewall. ik heb pogingen gedaan om hem in te stellen, maar hij staat nu fijn uit en ik heb ZoneAlarm geinstalleerd. Dat is helder. Langzaamaan krijg ik wel eens het idee dat de programmeurs/ontwerpers van Microsoft nooit software van andere fabrikanten gebruiken. Dan zouden ze heel snel doorhebben dan bepaalde dingen veel makkelijker / intuitiever kunnen dan Microsoft ze maakt.

    Nog een puntje. "Met SP2 wordt uw computer veilig!!!"
    Oh ja joh. Ik dacht dat een van de meest basale beveiligingen, sinds windows 3.1 / MSdos kan ik het me herinneren, toch op zijn minst één of andere virusscanner is. toch jammer…

    Aan de andere kant, als iedereen een auto had van Merk X en Type Y, dan was die auto ook nooit goed geweest. voor de een is hij te groot, voor een ander te klein, een ander kan niet goed de stoel instellen, en iedere dief weet inmiddels wel hoe het slot open moet. Dat Merk X dan vervolgens een mooie (DHZ) kit aanbied om de roestplekken te verwijderen, veranderd daar niet veel aan.
  • Ik heb het gevoel dat de "extra 's" die microsoft inbouwd in wezen uitgeklede commerciële producten zijn. Dat was al zo bij versie 3.11 en verder.
    Het zit er allemaal wel bij, maar het is het nèt niet.
  • Wat ik overigens ook een schandalig punt vind van Microsoft ( niet zozeer windows) is dat je met een andere browser dan Internet Explorer ( of varianten daarvan zoals www.avantbrowser.com) geen updates van hun site kunt downloaden. Ik gebruik Firefox. Ik ben overigens begonnen met firefox omdat er een of ander ding in mijn IE zit dat de homepage kaapt, en ook bepaalde adressen niet wil bezoeken ( waaronder www.microsoft.com ). hoe moet je je windows veiliger maken als je door een ingebouwde onveiligheid niet meer op microsoft's homepage kunt komen…. juist. via een andere computer downloaden. heeeeel handig.

    Ik wil hier maar mee zeggen dat microsoft het zichzelf een stuk makkelijker kan maken als ze andere kandidaten niet zonder pardon buitensluiten ( leuk idee: zullen we ergens een topic openen over het " geniale " word-formaat *.doc je kunt opensource gebruikers niet beter pesten dan *.doc bestanden te gebruiken)
  • Moet iedereen door MS aan het handje worden genomen en braaf alles voorgezegd krijgen? Het lijkt er op dat aan aantal mensen gewoon veel te veel zitten te klooien in het OS, inplaats van gewoon bezig te zijn met hun applicaties.
    Het is weer precies hetzelfde verhaal als toen Win98 werd geïntroduceerd. Na een paar maanden hoorde je niemand meer en had iedereen het gewoon draaien.
    Mijn ervaring is, dat de meeste problemen ontstaan bij twee groepen gebruikers: mensen zonder enige ervaring en mensen die vinden dat ze alles weten en naar hartelust de diepte van het OS in duiken en daar gaan rondklooien.
    Veel gehoord: De PC wordt steeds gebruiksvriendelijker, je hoeft niet meer alles te doorgronden om ermee te kunnen werken. En vervolgens willen we dat toch doen en huilen krokodillentranen als het fout gaat. Wisten we er soms toch iets te weinig van?
    Dan gaan we lekker zeuren over het "grote boze MS". Stappen we echt over op een ander OS? Nee natuurlijk niet. Over een maandje draaien we gewoon onze applicaties en zijn we opgehouden met zeuren
    Dan kijken we vol spanning uit naar XP2…… 8)

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.