Schneier: Microsoft aansprakelijk voor buggy software
Bedrijven verliezen de oorlog om hun systemen tegen aanvallen van hackers en andere dreigingen te beschermen, zo waarschuwde Bruce Schneier tijdens de Hack in the Box Security conferentie die op dit moment in Kuala Lumpur plaatsvindt.
Naarmate systemen complexer worden, worden ze minder veilig. Beveiligingstechnologie mag dan verbeterd zijn, de complexiteit van IT systemen is veel sneller gegroeid, ging de security goeroe verder. "Het internet is de meest ingewikkelde machine die ooit gebouwd is. Dat verklaart waarom de beveiliging achteruit gaat."
Om het gevecht te winnen moet de beveiligingsindustrie verder kijken dan alleen technische oplossingen. Er moet ook naar de economie gekeken worden. Als je het economisch interessant maakt zal de technologie werken. Doe je dit niet, dan zal de technologie nooit werken.
Dit kun je ook toepassen op software aanbieders. Microsoft en anderen moeten aansprakelijk gesteld worden voor het verkopen van onveilige software. "Als je buggy software gebruikt en je verliest gegevens, dan is dat jouw verlies, en niet van de software aanbieder, en dat moet veranderen" aldus Schneier. "De organisatie die de mogelijkheid heeft om het risico te mitigeren, is verantwoordelijk voor het risico".
meer dan redelijke veiligheidsgraad, zo uit de doos of ftp-server... zie
http://www.kernel.org
verkeerde adviezen?
Onzin natuurlijk. Je hebt keuze. Als je voor MS kiest, kies
je functionaliteit boven veiligheid. (en dat kan btw. best
een valide argument zijn). MS is niet verantwoordelijk voor
die keuze. En hoe wil je dat met OSS software doen? Als
dadelijk blijkt dat je door een bug alle wachtwoorden uit
een ssh sessie kan vissen, wat dan? Theo de Raadt vervolgen?
Vanwege hun snelle patchen en gebruiksgemak.
Dus misschien moeten deze toch even verantwoordelijk
gehouden worden.
Je kan er best te veel of te weinig aan doen om iets zo
waterdicht mogelijk te maken, maar ik denk dat je nooit iets
100% kan dichten. Dit betekend dus dat je altijd
verantwoordelijk gehouden kan worden voor je software. Wat
het ook is.
(Ik zag net dat hierboven ook een OSS stukje stond. Ik laat mijn stukje hieronder nog wel staan)
BTW, en open source? Wie wordt daar dan verantwoordelijk
voor gehouden? Het opensource comite?
het simpelweg aansprakelijk stellen van de softwaremaker wat
te gemakkelijk. Maar een tussenweg lijkt me wel zinvol,
hoewel het veel zal vergen om dat goed uit te werken.
Maar als een softwaremaker een bepaalde functionaliteit
beloofd en dat door ontwerpfouten (bugs) niet waar maakt,
dan mag de maker best beperkt aansprakelijk gesteld worden
voor geleden schade. Bijvoorbeeld voor de patchkosten en de
downtime. Bij duidelijke nalatigheid (geen patch of
workaround binnen zoveel tijd na het melden van het
probleem, bijvoorbeeld) geldt dan een verhoogde
aansprakelijkheid voor bijvoorbeeld dataverlies of imagoschade.
Ook hackers (crackers voor zeurpieten) zouden aansprakelijk
moeten kunnen worden gesteld voor patchkosten, downtime,
dataverlies en imagoschade.
BTW, en open source? Wie wordt daar dan verantwoordelijk
voor gehouden? Het opensource comite?
Niemand als het gratis is software is, de leverencier als je
ervoor betaald hebt. De vraag of de software open of
gesloten is lijkt me niet relevant.
zijn producten veilig 'genoeg' af te leveren. Wanneer een
stelletje AMATEURS veiligere software kunnen schrijven, dan
MILJARDEN verdienende prutsers, hebben ze van zichzelf
automatisch een schietschijf gemaakt.
Tzou wat zijn als Ford zou zeggen "Tja, dat mensen
verongelukken met onze F150 bestelauto... dat is hun keuze,
hadden ze maar een Nissan XTrail moeten kopen"... Zo werkt
dat dus niet. JIJ maakt een product, dan moet je er ook maar
voor zorg draaien dat het product ZO GOED MOGELIJK is...
Product garantie en kwaliteit. Dat ze het niet doen en
hoeven, zegt eigenlijk al hoe zeer ze de software markt in
hun <raid> geneukt hebben.
De volgende versie van ie zal een stuk beter zijn qua veiligheid, vista zal
een stuk veiliger zijn.
Kijk eens naar iis. Vroeger klaagde men erover dat die zo te hacken was
etc. Sinds de laatste versie hoor je daar niemand meer over.
Zo zal het met de rest ook gaan.
produkt goed en veilig zijn.
Als ik autos fabriceer dan MOET ik zorgen dat mijn produkt
goed en veilig zijn.
Als ik software ontwikkel dan hoef ik niet mijn
verantwoordelijkheid te nemen. Kromme beredenering. Ik vind
dat Microsoft gewoon tot op zekere hoogte aansprakelijk
gestelt moet kunnen worden.
Bij open source zou in principe dezelfde regeling moeten
gelden, als is hier vaak lastig de ontwikkelaar te achterhalen.
ontwikkelaars niet dan kun je mischien maar beter iets van een bedrijf
kopen?
Als je bedrijven wel verantwoordelijk mag houden maar
opensource
ontwikkelaars niet dan kun je mischien maar beter iets van
een bedrijf
kopen?
Goed gezien. Dat bedrijf kan zijn software open of gesloten
leveren. Ik zou als bedrijf kiezen voor een leverancier van
open source software. Dat bedrijf zou ik dan betalen voor de
support, gegarandeerde ontwikkeling en gegarandeerde kwaliteit.
verongelukken met onze F150 bestelauto... dat is hun keuze,
hadden ze maar een Nissan XTrail moeten kopen"
En nu zet eens een 2CV en een Volvo XC90 langs elkaar.
Als je door een andere auto word aangereden is de kans dat
je het overleeft in een XC90 veel groter dan in een 2CV, is
citroen daarvoor verantwoordelijk? Je hebt toch kunnen kiezen?
Daarnaast is verantwoordelijkheid nog iets dat je af kan
wikkelen tussen twee partijen. Als jij software bij
microsoft koopt, kun je proberen te onderhandelen dat ze
verantwoordelijk zijn voor schade voortvloeiend uit de
(on)veiligheid van hun product. Gaat je niet lukken, maar
dan weet je ook meteen waar je aan toe bent. (Overigens zal
je dat bij geen enkel bedrijf lukken).
veilig.
groter, maar dat betekent niet dat een complex systeem per
definitie onveiliger is dan een eenvoudig systeem.
Ontopic: Ik vind dat de aansprakelijkheid m.b.t. beveiliging
zeker bij de makers dient te liggen. Het is hun
verantwoording om een veilig product te leren, net zo goed
als dat een auto ook veilig dient te zijn.
Als ik een contract teken waarin staat dat ik enige schade kan krijgen door
mijn werk, is mijn werkgever minder aansprakelijk. En zo werkt ook bij
software.
worden. Klanten van microsoft zouden het moeten eisen in het
'contract' dat ze met hen afsluiten. Net zoals je bij een
maatwerk project volslagen gestoord bent als je niet de
broncode, methode van compileren, *en* het recht om zelf
wijzigingen uit te (laten) voeren eist, zou je als je geld
neer legt voor een product-van-de-plank best eens wat meer
eisen mogen hebben.
Overigens moeten die 'experts' die microsoft aanraden
vanwege hun snelle patch cyclus misschien es naar de cijfers
kijken ipv naar de persberichten. Een aantal
linux-gebaseerde distributeurs en bijna alle BSD varianten
doen dat een stuk beter. Er zijn wel redenen om voor
microsoft te kiezen in sommige omstandigheden maar dit is er
niet een van.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
