Archief - De topics van lang geleden

Microsoft geeft virusschrijvers teveel informatie

16-08-2005, 15:01 door Redactie, 17 reacties

Dinsdag 9 augustus kwam Microsoft met een aantal patches voor lekken in haar Windows besturingssysteem. Een van de patches verhielp een kwetsbaarheid in Plug and Play waardoor een aanvaller willekeurige code zou kunnen uitvoeren. Amper een paar dagen na de patches verschenen de eerste exploits voor het lek en zondag 14 augustus was de eerste worm al een feit. Het aantal computers dat door de uitbraak van de Zotob wormen geinfecteerd werd viel mee, maar het laat wel zien dat virusschrijvers steeds sneller van lekken misbruik maken nadat Microsoft deze bekend maakt.

Microsoft geeft in haar Security Advisories meer informatie weg dan sommige andere software aanbieders, die alleen laten weten dat er een patch voor een bepaald produkt is. Nu is het voor systeembeheerders en andere experts fijn om te weten waar het misgaat, de informatie kan ook door kwaadwillenden misbruikt worden, wat nu ook gebeurt. Het is daarom misschien verstandiger voor de softwaregigant om dit soort details later of helemaal niet bekend te maken, en zo het publiek meer tijd te geven om kwetsbare systemen te patchen. Onze stelling luidt derhalve: Microsoft geeft virusschrijvers teveel informatie

Reacties (17)
16-08-2005, 15:07 door Anoniem
Het is daarom misschien verstandiger voor de softwaregigant om dit
soort details later of helemaal niet bekend te maken, en zo het publiek
meer tijd te geven om kwetsbare systemen te patchen


Net zoals Cisco...?
16-08-2005, 15:09 door Anoniem
Ik denk niet dat het zo werkt. Ik denk dat de meeste
virrusschrijvers 'gewoon' de patch reverse engineren.
16-08-2005, 15:15 door Anoniem
Als we MS dan toch beschuldigen:
Ze testen te slecht. Als ze dat beter deden waren er minder
patches.
Minder patches leidt vanzelf tot een afname van het genoemde
probleem.
Maar waarom kunnen ze die gedetailleerde info niet
achterwege laten?
Als het na de patch niet werkt, deinstalleer je de patch
toch weer?
Dan zijn de systeembeheerders toch weer terug bij waar ze waren.
16-08-2005, 15:23 door Anoniem
16-08-2005, 15:24 door Anoniem
Is het nog steeds komkommertijd?

De discussie komt alweer neer op de vraag of full disclosure
een goed idee is of niet.
16-08-2005, 15:29 door Anoniem
Recent een artikel gelezen over het gebruik door security
experts van analyse programma's die de bytecode analyseren
van een stuk gecompileerd programma. Deze programma's
blijken extreem geschikt te zijn om een patch te analyseren
en duidelijk te krijgen wat de patch nu eigenlijk allemaal
repareert. Op basis van die analyse kun je dan vrij
eenvoudig het lek reconstrueren. (Let wel, als je deze
analyse programma's kunt gebruiken ben je het niveau van
script kiddie wel ontstegen). Je hebt dus de informatie van
de fabrikant niet nodig om zelf wel te kunnen zien wat er
mis is.

Mijn standpunt is dan ook: Hoe meer informatie je geeft aan
je klanten, hoe duidelijker het voor die klant is dat deze
de patch moet toepassen of anderszins een maatregel moet
nemen. Ook hier geldt in de ICT wereld werkt security door
obscurity niet. Hulde dus voor de informatie die Microsoft
geeft en een oproep aan hen om het patch proces te
vereenvoudigen en de ruchtbaarheid voor patches te verhogen.
16-08-2005, 16:32 door Anoniem
Een systeem is pas echt veilig als hackers ALLE informatie
hebben die ze willen hebben en ze toch het systeem niet
kunnen binnendringen. Vergeet niet, door al die aanvallen op
Windows wordt het besturings-systeem alleen maar sterker.
Microsoft is een stevige weerstand aan het opbouwen tegen al
die mogelijke indringers.
Natuurlijk is het vervelend dat er af en toe nieuwe zwakke
plekken worden uitgebuit. Maar ook een huisarts kan niet
garanderen dat je geen griep zult krijgen nadat je een
griepprik hebt gehaald.

Wat wel zo is, is dat Windows zelf een behoorlijk veigig
systeem begint te worden. Zo veilig dat hackers steeds vaker
gaan zoeken naar andere zwakheden binnen het systeem. Vooral
producten van zogenaamde third-party bronnen worden steeds
vaker het doelwit.

Daarnaast, door het vrijgeven van deze informatie waarschuwt
MS iedereen om hun systeem zo snel mogelijk te patchen want
er is een mogelijk risico. Denk eens na... Als een boom
omvalt in een bos maar er is niemand die dit kan horen,
maakt die boom dan wel of geen geluid? Zo ook met patches.
Als MS helemaal geen informatie geeft over die patches dan
blijft er nog het risico dat een hacker deze ontdekt en
misbruikt. Erger nog, doordat er totaal geen informatie over
wordt gegeven vinden teveel mensen het te onbelangrijk.
16-08-2005, 17:08 door Anoniem
Hallo zeg. Is dit nu securitu.nl ??????
MS geeft enkel al de informatie door de patch te releasen.
Elke halve programmeur knikkert de 2 dll's (of wat er dan
ook verandert is) door IDA PRO of een soortgelijk proggie,
en ziet wat er gepatched is en waarom.

Beetje zwak artikel redactie.
16-08-2005, 17:22 door Anoniem
Ik vind het goed dat ze genoeg informatie geven. Je moet
immers wel weten waar die patch voor is of dient. Anders is
alles zo lekker geheimzinnig en dat vind ik maar nix.
16-08-2005, 20:54 door Anoniem
Door Anoniem
Is het nog steeds komkommertijd?

De discussie komt alweer neer op de vraag of full disclosure
een goed idee is of niet.

Het al oude korte vs. lange termijn effect. Op korte termijn
is er meer misbruik, op langere termijn dwingt het vendors
beter na te denken over implementaties, zijn gebruikers zich
meer bewust van problemen en kan men leren van fouten van
anderen.

Security.nl kon geen nieuwe stellingen bedenken ;)
17-08-2005, 01:04 door Anoniem
Wat een ongelooflijk risico lopen gebruikers van open
source-programmatuur dan zeg: iedereen kan gewoon de hele
code doorspitten naar kwetsbare plekjes en daar dan in het
geniep een stukje malware voor schrijven ... En dat dan wel
weer aan de 'community' teruggeven natuurlijk!
17-08-2005, 01:34 door Anoniem
hallo?!
17-08-2005, 02:41 door Anoniem
Jullie weten zo te zien allemaal dat het geheim houden geen zin heb, want
een patch is makelijk voor te achterhalen wat het doet.

En wat men al jaren roept...van fouten moet je leren...laten we hopen dat dit
ook gebeurt..ooit...
17-08-2005, 03:49 door raboof
Wat een ongelooflijk risico lopen gebruikers van open
source-programmatuur dan zeg: iedereen kan (...) een stukje
malware schrijven ... En dat dan wel weer aan de 'community'
teruggeven natuurlijk!

Okee, ik bijt wel: het is zo dat iedereen open-source
software naar believen kan aanpassen, en bijvoorbeeld een
versie van openssh kan maken met een achterdeurtje erin.

Het is ook zo dat iedereen kan bijdragen - maar uiteindelijk
bepalen de `maintainers' of een bijdrage wel of niet wordt
opgenomen in de officiele versie. Die zullen een bijdrage
dus eerst controleren op achterdeurtjes en andere fouten.
17-08-2005, 08:26 door Anonl3m
Okee, ik bijt wel: het is zo dat iedereen open-source
software naar believen kan aanpassen, en bijvoorbeeld een
versie van openssh kan maken met een achterdeurtje erin.
Je hapt er naast....
En dat dan wel weer aan de 'community'
teruggeven natuurlijk!
Een mooie 0-day exploit aan de community 'teruggeven' in de
vorm van een virus. Die zal door de maintainers niet worden
beoordeeld. Tenzij je de antivirusleveranciers bedoeld
natuurlijk.
17-08-2005, 11:20 door Anoniem
Door Anoniem
Beetje zwak artikel redactie.
het is geen artikel, het is een stelling, daar kun je het
dus eens of oneens mij zijn.
17-08-2005, 11:53 door Anoniem
Door Anonl3m
Okee, ik bijt wel: het is zo dat iedereen open-source
software naar believen kan aanpassen, en bijvoorbeeld een
versie van openssh kan maken met een achterdeurtje erin.
Je hapt er naast....
En dat dan wel weer aan de 'community'
teruggeven natuurlijk!
Een mooie 0-day exploit aan de community 'teruggeven' in de
vorm van een virus. Die zal door de maintainers niet worden
beoordeeld. Tenzij je de antivirusleveranciers bedoeld
natuurlijk.

Vreemd dat het zo weinig gebeurt als het al zo makkelijk is,
echter is de kans erg klein te noemen.
De nieuwere .nix distro's worden in steeds grotere mate
beschermd tegen dit 'kwaad' doordat alles dubbel gecheckt
word etc.
FC4 is hier een goed voorbeeld van.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.