Waarom kan Microsoft niet alles patchen?
Bijna vier jaar geleden kondigde Bill Gates het "Trustworthy Computing Initiatief" aan. Anderhalf jaar later verscheen Windows 2003 Server met minder lekken en veiligere instellingen. Het jaar daarop bracht Microsoft Service Pack 2 voor Windows XP uit dat veel verbeterde security features introduceerde. Ondanks het initatief wilde Microsoft een in mei bekend gemaakt lek in Windows niet patchen omdat het niet gevaarlijk genoeg was. Nu aanvallers een manier hebben ontdekt om dit oude lek alsnog te misbruiken vraagt George Ou zich af waarom Microsoft niet alles kan patchen.
Kleinere bedrijven met minder personeel dichten meestal binnen afzienbare tijd de lekken in hun produkten. Microsoft presteert het echter om 22% van haar lekken niet te patchen. Hoe kan de softwaregigant dit toestaan?
Volgens Ou moet Microsoft al deze lekken verhelpen en de consument laten weten wat en wanneer ze er iets aan gaan doen. De reus uit Redmond zou alle kwetsbaarheden moeten dichten en een voorbeeld voor andere bedrijven zijn.
Microsoft geen enkele reden om die lekken inderdaad te dichten. Mensen zijn
gewend dat ze met die lekken te maken hebben.
Computing Initiatief niet veiligheid voorop heeft gezet maar
het gevoel van veiligheid. Zolang Microsoft haar klanten kan
voorspiegelen dat een bepaald lek de veiligheid naar hun
gevoel niet genoeg in gevaar brengt steken ze er ook geen
tijd in om er een patch voor te leveren.
wordt de hoeveelheid werk een beetje onderschat .. en WTF is
Sjors Ou ?
"Geen probleem" in de perceptie van veiligheid is niet
hetzelfde als "geen probleem", want het kan ook onwetendheid
betekenen...
En natuurlijk hopen dan een patch niet een ander gat maakt..
Ja, dat is al eens eerder gebeurd, ook bij andere fabrikanten overigens.
waarscheinlijk 50% van de mensen daar ontslagen worden omdat ze
geen lekken meer hebben om te dichten. Waarom zou je dan mensen in
dienst houden die toch niks te doen hebben
ze ergens gevonden hebben, bij andere, bij overgenomen toko's of van
oudere producten (daarom zitten bugs van NT 3.51 nog steeds in W2k3).
Omdat ze producten maken op dezelfde manier als virusschrijvers
wormen, lijken ze zoveel op elkaar en werken ze ook zo goed samen.
moet .. moet .. Microsoft *moet* niks .. en volgens mij
wordt de hoeveelheid werk een beetje onderschat ..
verantwoordelijkheid heeft om verplicht voor goede
veiligheid te zorgen hoop ik niet dat je ontwikkelaar bent.
Verkijken op het hoeveelheid werk? Nee, dat staat in
verhouding met het werk dat je levert. Als je
beveiligingsfouten maakt moet je ook genoeg kennis en
mankracht in dienst hebben om dat te herstellen en
voorkomen. Afdoen met "het valt wel mee, gaat u rustig
slapen" is geen adequaat beveiligingbeleid.
Lol! In dat geval zou ik niet vreemd opkijken als MS straks
met een framework komt gericht op de "virus ontwikkel"
doelgroep.
Even reageren op de eerder vermelde stukje (16:57) hierboven:
Windows 2003 is gebaseerd op de code van NT3.x en verder. Tuurlijk
overerf je dan bugs....................
En nu even terug naar de topic:
Meeste bugs vermeld bij Secunia zijn local en niet remote. En ja als
iemand al toegang heeft tot het systeem..... Dan is alles mogelijk. Zelfs op
andere OS'en. 100% goed maken kost jaren tijd. Windows begint nu pas
die kant op te gaan. Dus de oude stukken source zullen beter worden of er
uit gelaten worden. De nieuwe stukken source moeten ze wel beter
maken. Dan komt het uiteindelijk wel goed op weg.
Nog 10 jaar en niet teveel gadgets in Windows en dan is het stukken beter.
Maar Microsoft kennende............
kunnen genereren vanuit high level stroomschema's. Je maakt
een mooi logies model en de code komt eruit. Het probleem is
dat de generatoren dus niet patchen maar bij een fout een
compleet nieuwe code genereren.
Een patch is vaak dus anders dan de nieuwe code in een exe
van het volgende level.
Dus vaak moet de code generator gepatched worden en daarna
komt de nieuwe .exe off dll wel weer afzakken.
Ik snap niet dat hier dus zo een slecht inzicht is op de
manier waarop tegenwoodig code gemaakt wordt. Geheel object
oriented en generated. Daarom is het moeilijk!
Werkt ook zo in de electronica , alleen wordt daar beter
getest omdat het allemaal goede ingenieurs zijn die in hun
opleiding een totaal andere manier van werken leren en het
wel erg duur wordt om alle moederboards terug te roepen van
serie sus en zo.
Goed dus, want anders bleef er geen brug hangen of auto
rijden...(mooie software dat motormanagement) :)
btw ... die opensource applicaties worden ook gegenereerd.
Zo'n generator maakt een mooie uitdraai.
Na de generator wordt er dan ook nog een code optimizer op
losgelaten.
En dan maar denken dat als je de source kunt lezen dat je
dan weet hoe het werkt.
Echt.....dan ben je ver van de wereld van software development.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
No more ransomware!
De nieuwe Ransomware Awareness Experience training biedt een realistische maar vooral leuke introductie in de wereld van ransomware. De deelnemers ervaren hoe eenvoudig een organisatie het slachtoffer kan worden van ransomware en leren meteen hoe een besmetting kan worden voorkomen!