Microsoft verzwijgt lekken:"We doen het voor de klanten"
Microsoft heeft toegegeven dat het informatie over security lekken verzwijgt voor haar klanten. De softwaregigant doet dit om haar gebruikers te beschermen, maar critici noemen het misleiding en zijn bang dat deze manier van handelen er uiteindelijk voor zorgt dat iedereen risico loopt.
Mike Reavey, operations manager van het Microsoft Security Response Center, heeft in een interview bekend dat er geen details van intern ontdekte lekken onthuld worden. Dit moet voorkomen dat aanvallers van deze kennis misbruik kunnen maken. "Er is een balans tussen het geven van informatie om het risico in te schatten en het geven van informatie die aanvallers helpt" aldus Reavey.
Als de softwaregigant een lek krijgt doorgespeeld van externe onderzoekers, dan wordt er een uitgebreid onderzoek uitgevoerd naar mogelijk andere code die kwetsbaar is. Als een soortgelijke bug door Microsoft medewerkers wordt gevonden, dan zal het uiteindelijk ook gepatcht worden, maar blijven de details geheim.
Volgens eEye Digital Security komt het regelmatig voor dat Microsoft in alle stilte lekken patcht: "Het is het skelet in Microsoft's kast. We vinden ze regelmatig".
Het antwoord van Microsoft dat het informatie achterhoudt om gebruikers te helpen kan niet op de sympathie van veel systeembeheerders rekenen. Systeembeheerders kunnen de patches niet reverse-engineeren, de "slechterikken" doen dit wel. Beheerders die moeten bepalen hoe ernstig een lek is zijn dan ook de enige die op deze manier getroffen worden.
die manier te mogen doen. Immers je hebt accoord gegeven voor de EULA.
van veiligheid.. Gebruikers hebben het recht om te weten dat
er problemen zijn. Dan kun je er wellicht met work-arounds
aan de gang om de risico's te verminderen.. En niet te
vergeten: Een gewaarschuwd mens telt voor twee!
wormen, spyware en andere troep gebruikt het grootste deel
van de internet-bankierende Windows-gebruikers nog altijd
Internet Explorer om z'n bankzaken te doen. Ik denk niet dat
het melden van een paar extra vulnerabilities daar ook maar
iets aan verandert.
security deserve neither and will lose both"
Zou naar mijn mening een goede verbastering zijn op de allom
bekende quote.....
http://www.claimyourrights.eu/
http://www.thinkfree.ca/
- Unomi -
zijn modellen ontdekt, roept, tegenwoordig, zonder gène
duizenden auto's terug om de fout te kunnen herstellen.
Een gloeilampenfabrikant heeft, ik meen in de jaren 70 van
de vorige eeuw, eens netsnoeren van een home-computer weer
ingenomen vanwege een mogelijk defect.
Voedingsmiddelenfabrikanten trekken voedingsmiddelen uit de
schappen omdat er wellicht een verontreining in één van de
verpakkingen is aangetroffen. En ga zo maar door.
Ik vraag me wel eens af hoeveel software(pakketten) er
'ingenomen' zou(den) worden als de ontwikkelaars voor HUN
product ook dergelijke criteria zouden laten gelden.
worden. Het interesseert mij dus niet of er meer gefixed wordt met een
patch dan Microsoft officieel aan ons meld. Het gaat mij erom dat de patch
geinstalleerd word. Uiteraard kan je gaan testen of zo'n patch wellicht
problemen oplevert, maar het installeren ervan blijft altijd het hoogste doel.
Ontstaan er problemen qua compatibiliteit dan los je dat op door die
problemen aan te pakken, en niet de patch achterwege te laten. Er zijn nog
steeds mensen/bedrijven die zeggen dat ze SP2 voor XP niet installeren
omdat het hun applicaties breekt. Als die mensen/bedrijven nog steeds
niet hun applicaties op orde hebben gemaakt/geupgrade, dan vraag je
gewoon om problemen.
is ongetwijfeld een duidelijk trend zichtbaar als je alle
lekken publiceert. Een beetje hacker kan zo makkelijker
vinden waar het volgende lek zou kunnen zitten. Zolang
Microsoft gatenkazen blijft leveren zullen ze wel "obscurity
for temporary security" moeten gebruiken.
in elk geval een wel hun gebruikerspopulatie waarschuwen dat
er meerdere kritieke patches zijn geslipstreamd. Dan kunnen
wij de doorlooptijd van de patchimplementaties hier op
aanpassen.
@SirDice
Een hacker/cracker/scriptkiddie dus ook?
wij, als gebruiker, niet..
Laten we dit vooropstellen: Een security patch moet altijd geinstalleerd
worden. Het interesseert mij dus niet of er meer gefixed wordt met een
patch dan Microsoft officieel aan ons meld. Het gaat mij erom dat de patch
geinstalleerd word. Uiteraard kan je gaan testen of zo'n patch wellicht
problemen oplevert, maar het installeren ervan blijft altijd het hoogste doel.
wat een wijsheid......NOT
Het hoogste doel is installeren ?? Het hoogste doel is je systemen UP
and RUNNING te houden zodat er geen klanten weglopen en gebruikers
tevreden zijn. $$$$$ telt in de zakelijke wereld.
Da`s een groot verschil met je / een pc-tje thuis waarmee je eindeloos kunt
prutsen en anders formatteren.
groet
"people willing to trade their obscurity for temporary
security deserve neither and will lose both"
Zou naar mijn mening een goede verbastering zijn op de allom
bekende quote.....
- Unomi -
naar mijn mening heb je hem dan wel verkeerdom.
....Laten we dit vooropstellen: Een security patch moet
altijd geinstalleerd
worden....
....Uiteraard kan je gaan testen of zo'n patch wellicht
problemen oplevert, maar het installeren ervan blijft altijd
het hoogste doel....
Werkelijk complete onzin wat je hier beweerd. Een patch
installeer je na een risico analyse. Gebaseerd op de
uitkomst van deze analyse besluit je of het noodzakelijk is
om de patch wel of niet te installeren.
http://www.security.nl/article/13388/1/Ook_Apple_houdt_mond_over_security_lekken.html
Feit is wel dat, als je de exacte aantallen niet bekend
maakt, alle vergelijkingen van aantallen (kritische)
security bugs met andere operating systems nergens op slaan.
De vraag is hoe groot de verschillende ijsbergen onder hun
topjes zijn...
....Laten we dit vooropstellen: Een security patch moet
altijd geinstalleerd
worden....
....Uiteraard kan je gaan testen of zo'n patch wellicht
problemen oplevert, maar het installeren ervan blijft altijd
het hoogste doel....
Werkelijk complete onzin wat je hier beweerd. Een patch
installeer je na een risico analyse. Gebaseerd op de
uitkomst van deze analyse besluit je of het noodzakelijk is
om de patch wel of niet te installeren.
Alsof het zo vaak fout gaat met patches....risicoanalyse is onzin. Gewoon
altijd uptodate blijven. Ook met Nvidia drivers en HP software. Als ze dat
gewoon hadden gedaan dan had deze patch geen probleem opgelevert.
Gewoon installeren dus.
bij hebben deze fouten ook al lang gevonden hebben.
Security als een Public-Relations probleem ziet en niet een
technisch probleem.
Alsof het zo vaak fout gaat met patches....risicoanalyse is
onzin. Gewoon
altijd uptodate blijven. Ook met Nvidia drivers en HP
software. Als ze dat
gewoon hadden gedaan dan had deze patch geen probleem
opgelevert.
Gewoon installeren dus.
Ik zie wel dat jij het nieuws op de voet volgt, zeker m.b.t.
tot de recente problematiek rondom MS patches die
commerciele sites wist plat te leggen.
Gewoon patchen dus ..... Tijd voor omscholing wellicht ?
beheerders goed het effect willen weten van een patch
alvorens ze hem installeren. Ook als het een security patch
is, zeker gezien het brede begrip dat security op dit moment
is. Voor bedrijven is het soms namelijk belangrijker dat de
core business door kan gaan dan dat er een security
vulnerability met een kleine kans bestaat.
Het stilletjes patchen van dit soort bugs is dus (zeker voor
bedrijven) onwenselijk en ik denk zelfs dat je als bedrijf
wel zou mogen verwachten dat het ook niet gedaan wordt.
Wat ik me wel kan voorstellen is dat je voorafgaand aan de
patch de fout niet publiek wil melden, zodat je eerst de
oplossing bied en bij de oplossing ook het probleem vermeld.
Dit is echter ook wel meteen gevaarlijk aangezien je
bedrijven wel druk wil geven om dit soort dingen op te lossen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
