image

Microsoft verzwijgt lekken:"We doen het voor de klanten"

donderdag 20 april 2006, 15:39 door Redactie, 20 reacties

Microsoft heeft toegegeven dat het informatie over security lekken verzwijgt voor haar klanten. De softwaregigant doet dit om haar gebruikers te beschermen, maar critici noemen het misleiding en zijn bang dat deze manier van handelen er uiteindelijk voor zorgt dat iedereen risico loopt.

Mike Reavey, operations manager van het Microsoft Security Response Center, heeft in een interview bekend dat er geen details van intern ontdekte lekken onthuld worden. Dit moet voorkomen dat aanvallers van deze kennis misbruik kunnen maken. "Er is een balans tussen het geven van informatie om het risico in te schatten en het geven van informatie die aanvallers helpt" aldus Reavey.

Als de softwaregigant een lek krijgt doorgespeeld van externe onderzoekers, dan wordt er een uitgebreid onderzoek uitgevoerd naar mogelijk andere code die kwetsbaar is. Als een soortgelijke bug door Microsoft medewerkers wordt gevonden, dan zal het uiteindelijk ook gepatcht worden, maar blijven de details geheim.

Volgens eEye Digital Security komt het regelmatig voor dat Microsoft in alle stilte lekken patcht: "Het is het skelet in Microsoft's kast. We vinden ze regelmatig".

Het antwoord van Microsoft dat het informatie achterhoudt om gebruikers te helpen kan niet op de sympathie van veel systeembeheerders rekenen. Systeembeheerders kunnen de patches niet reverse-engineeren, de "slechterikken" doen dit wel. Beheerders die moeten bepalen hoe ernstig een lek is zijn dan ook de enige die op deze manier getroffen worden.

Reacties (20)
20-04-2006, 16:16 door Anoniem
Terechtn dat Microsoft het NIET vermeld. Het is hun goed recht op het op
die manier te mogen doen. Immers je hebt accoord gegeven voor de EULA.
20-04-2006, 17:08 door SirDice
Ik vind het onterecht... Ze scheppen hiermee een vals gevoel
van veiligheid.. Gebruikers hebben het recht om te weten dat
er problemen zijn. Dan kun je er wellicht met work-arounds
aan de gang om de risico's te verminderen.. En niet te
vergeten: Een gewaarschuwd mens telt voor twee!
20-04-2006, 17:12 door Anoniem
@SirDice

Een hacker/cracker/scriptkiddie dus ook?
20-04-2006, 17:26 door bustersnyvel
Alsof het de gebruikers iets zegt. Ondanks alle virussen,
wormen, spyware en andere troep gebruikt het grootste deel
van de internet-bankierende Windows-gebruikers nog altijd
Internet Explorer om z'n bankzaken te doen. Ik denk niet dat
het melden van een paar extra vulnerabilities daar ook maar
iets aan verandert.
20-04-2006, 17:35 door awesselius
"people willing to trade their obscurity for temporary
security deserve neither and will lose both"

Zou naar mijn mening een goede verbastering zijn op de allom
bekende quote.....

http://www.claimyourrights.eu/
http://www.thinkfree.ca/

- Unomi -
20-04-2006, 21:22 door Anoniem
Een autofabrikant die een (veiligheids)mankement aan één van
zijn modellen ontdekt, roept, tegenwoordig, zonder gène
duizenden auto's terug om de fout te kunnen herstellen.
Een gloeilampenfabrikant heeft, ik meen in de jaren 70 van
de vorige eeuw, eens netsnoeren van een home-computer weer
ingenomen vanwege een mogelijk defect.
Voedingsmiddelenfabrikanten trekken voedingsmiddelen uit de
schappen omdat er wellicht een verontreining in één van de
verpakkingen is aangetroffen. En ga zo maar door.

Ik vraag me wel eens af hoeveel software(pakketten) er
'ingenomen' zou(den) worden als de ontwikkelaars voor HUN
product ook dergelijke criteria zouden laten gelden.
21-04-2006, 07:53 door Anoniem
Laten we dit vooropstellen: Een security patch moet altijd geinstalleerd
worden. Het interesseert mij dus niet of er meer gefixed wordt met een
patch dan Microsoft officieel aan ons meld. Het gaat mij erom dat de patch
geinstalleerd word. Uiteraard kan je gaan testen of zo'n patch wellicht
problemen oplevert, maar het installeren ervan blijft altijd het hoogste doel.
Ontstaan er problemen qua compatibiliteit dan los je dat op door die
problemen aan te pakken, en niet de patch achterwege te laten. Er zijn nog
steeds mensen/bedrijven die zeggen dat ze SP2 voor XP niet installeren
omdat het hun applicaties breekt. Als die mensen/bedrijven nog steeds
niet hun applicaties op orde hebben gemaakt/geupgrade, dan vraag je
gewoon om problemen.
21-04-2006, 08:34 door jeed
In het geval van Microsoft moet ik ze groot gelijk geven. Er
is ongetwijfeld een duidelijk trend zichtbaar als je alle
lekken publiceert. Een beetje hacker kan zo makkelijker
vinden waar het volgende lek zou kunnen zitten. Zolang
Microsoft gatenkazen blijft leveren zullen ze wel "obscurity
for temporary security" moeten gebruiken.
21-04-2006, 08:55 door Anoniem
Prima dat ze de details niet publiceren, maar laten ze dan
in elk geval een wel hun gebruikerspopulatie waarschuwen dat
er meerdere kritieke patches zijn geslipstreamd. Dan kunnen
wij de doorlooptijd van de patchimplementaties hier op
aanpassen.
21-04-2006, 09:54 door SirDice
Door Anoniem
@SirDice
Een hacker/cracker/scriptkiddie dus ook?
De echte cracker/hackers zijn toch al op de hoogte.. Alleen
wij, als gebruiker, niet..
21-04-2006, 11:17 door Anoniem
Door Anoniem
Laten we dit vooropstellen: Een security patch moet altijd geinstalleerd
worden. Het interesseert mij dus niet of er meer gefixed wordt met een
patch dan Microsoft officieel aan ons meld. Het gaat mij erom dat de patch
geinstalleerd word. Uiteraard kan je gaan testen of zo'n patch wellicht
problemen oplevert, maar het installeren ervan blijft altijd het hoogste doel.

wat een wijsheid......NOT

Het hoogste doel is installeren ?? Het hoogste doel is je systemen UP
and RUNNING te houden zodat er geen klanten weglopen en gebruikers
tevreden zijn. $$$$$ telt in de zakelijke wereld.
Da`s een groot verschil met je / een pc-tje thuis waarmee je eindeloos kunt
prutsen en anders formatteren.

groet
21-04-2006, 11:24 door Anoniem
Door Unomi
"people willing to trade their obscurity for temporary
security deserve neither and will lose both"

Zou naar mijn mening een goede verbastering zijn op de allom
bekende quote.....

- Unomi -

naar mijn mening heb je hem dan wel verkeerdom.
21-04-2006, 12:06 door pipo
Door Anoniem
....Laten we dit vooropstellen: Een security patch moet
altijd geinstalleerd
worden....

....Uiteraard kan je gaan testen of zo'n patch wellicht
problemen oplevert, maar het installeren ervan blijft altijd
het hoogste doel....

Werkelijk complete onzin wat je hier beweerd. Een patch
installeer je na een risico analyse. Gebaseerd op de
uitkomst van deze analyse besluit je of het noodzakelijk is
om de patch wel of niet te installeren.
21-04-2006, 16:23 door pipo
21-04-2006, 18:52 door Bitwiper
Of dit goed is of slecht is voor klanten valt te betwisten.

Feit is wel dat, als je de exacte aantallen niet bekend
maakt, alle vergelijkingen van aantallen (kritische)
security bugs met andere operating systems nergens op slaan.
De vraag is hoe groot de verschillende ijsbergen onder hun
topjes zijn...
21-04-2006, 20:17 door Anoniem
Door pipo
Door Anoniem
....Laten we dit vooropstellen: Een security patch moet
altijd geinstalleerd
worden....

....Uiteraard kan je gaan testen of zo'n patch wellicht
problemen oplevert, maar het installeren ervan blijft altijd
het hoogste doel....

Werkelijk complete onzin wat je hier beweerd. Een patch
installeer je na een risico analyse. Gebaseerd op de
uitkomst van deze analyse besluit je of het noodzakelijk is
om de patch wel of niet te installeren.


Alsof het zo vaak fout gaat met patches....risicoanalyse is onzin. Gewoon
altijd uptodate blijven. Ook met Nvidia drivers en HP software. Als ze dat
gewoon hadden gedaan dan had deze patch geen probleem opgelevert.
Gewoon installeren dus.
22-04-2006, 12:49 door Anoniem
en je moet er van uit gaan dat kwade partijen die er baat
bij hebben deze fouten ook al lang gevonden hebben.
23-04-2006, 15:17 door Anoniem
Het is gewoon een symptoon van het feit dat Microsoft
Security als een Public-Relations probleem ziet en niet een
technisch probleem.
24-04-2006, 09:33 door pipo
Door Anoniem


Alsof het zo vaak fout gaat met patches....risicoanalyse is
onzin. Gewoon
altijd uptodate blijven. Ook met Nvidia drivers en HP
software. Als ze dat
gewoon hadden gedaan dan had deze patch geen probleem
opgelevert.
Gewoon installeren dus.

Ik zie wel dat jij het nieuws op de voet volgt, zeker m.b.t.
tot de recente problematiek rondom MS patches die
commerciele sites wist plat te leggen.

Gewoon patchen dus ..... Tijd voor omscholing wellicht ?
25-04-2006, 13:30 door Bram van den Hazelkamp
Ik kan me best voorstellen dat in bedrijfskritische systemen
beheerders goed het effect willen weten van een patch
alvorens ze hem installeren. Ook als het een security patch
is, zeker gezien het brede begrip dat security op dit moment
is. Voor bedrijven is het soms namelijk belangrijker dat de
core business door kan gaan dan dat er een security
vulnerability met een kleine kans bestaat.

Het stilletjes patchen van dit soort bugs is dus (zeker voor
bedrijven) onwenselijk en ik denk zelfs dat je als bedrijf
wel zou mogen verwachten dat het ook niet gedaan wordt.

Wat ik me wel kan voorstellen is dat je voorafgaand aan de
patch de fout niet publiek wil melden, zodat je eerst de
oplossing bied en bij de oplossing ook het probleem vermeld.
Dit is echter ook wel meteen gevaarlijk aangezien je
bedrijven wel druk wil geven om dit soort dingen op te lossen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.