"Microsoft verdient respect voor aanpak beveiligingslekken"
Als het gaat om het oplossen van beveiligingsproblemen krijgt Microsoft vaak van alles en iedereen de volle laag. Nu heeft men in het verleden wel eens wat steken laten vallen, maar recentelijk gaat het stukken beter, en daar hoort de softwaregigant respect voor te krijgen, aldus beveiligingsexpert Andrew Storm.
Hoewel Storm zich meestal in het kamp van de "Microsoft bashers" bevindt, is hij nu een andere mening toegedaan. Hij is erg onder de indruk hoe Microsoft recente problemen, zoals het .ani lek, naar buiten communiceert. Op dit moment wordt de softwaregigant weer geplaagd door een kwetsbaarheid, dit keer in de Windows DNS Server service.
Storm ziet graag dat Microsoft sneller patcht, en dat er in de eerste plaats helemaal geen lekken zijn. Toch worden Windows beheerders beter geïnformeerd dan voorheen, en communicatie is een goed iets. "Ik heb liever geen buggy code, maar ik ben blij met de moeite die men neemt en communicatie".
respect af te dwingen. Maar vergelijk de schaal niet met de
buitenwereld, want dan is respect nog ver te zoeken.
Gelukkig heeft men daar ook leren leren van fouten en zal
het er waarschijnlijk niet snel slechter op worden.
naar Vista... in theorie prachtig, met UAC, protected
processes and mandatory integrity. Praktijk? Nee, UAC is
geen security feature (Mark Russinovich), bugs in UAC
implementatie zijn design features (wederom Mark
Russinovich) en mandatory integrity is ook niet ontworpen
als security boundary.
Buggy code, prima. Dat kan iedereen overkomen. Maar je zou
van een firma met zo'n groot marktaandeel en zo veel geld
meer verantwoordelijkheid verwachten.
bevat in welke vorm dan ook...
Het is en blijft code die gebouwd is door mensen. en mensen
maken nu eenmaal fouten. of vergeten iets...
ik vindt het heel menselijk. Alleen zou je van zo'n groot
bedrijf als microsoft verwachten dat zij de code door en
door testen / laten testen om zo het grootste gedeelte van
alle lekken af te vangen.
Maar goed... de mensen die zich bezig houden met het
opzoeken van dit soort fouten in de software zitten ook niet
stil....
ze het aanzienlijk beter met het aanpakken van lekken dan
een paar jaar geleden. De berichtgeving is meestal wel
afdoende, zijn de patches meestal goed van kwaliteit en de
snelheid van uitbrengen, ach, niet elk lek levert een grote
dreiging op dus is de urgentie ook niet altijd even hoog. MS
heeft inmiddels ook bewezen dat ze snel kunnen reageren.
Aan de andere kant verbaas ik me eigenlijk bijna elke keer
weer over het feit dat een lek bestaat. Zelfs in nieuwe
producten zitten gewoonweg stomme fouten. Er zijn met het
securityprogramma dat iedereen bij ms gevolgd heeft vast
goede dingen gestart, maar de vraag is of de kennis niet is
weggezakt.
ik ken werkelijk geen één software pakket die geen lekken
bevat in welke vorm dan ook...
Natuurlijk. De vraag is dan ook hoe veel lekken voorkómen
hadden kunnen worden, en hoe groot de impact van die lekken
is. Het integreren van een browser in het OS vind ik
persoonlijk een grote beveiligingsblunder. Het gebruik van
DLLs voor zowel applicaties als OS is ook vaak een oorzaak
van problemen.
Deze problemen zijn niet zo zeer programmeerfoutjes als
zaken waar de dames en heren van Microsoft betere
beslissingen hadden moeten nemen.
ik ken werkelijk geen één software pakket die geen lekken
bevat in welke vorm dan ook...
De verhouding is alleen een beetje 'zoek' ;)
besturingselementen? Nou, simpel: Internet Explorer. En de
gebruiker het maar vreemd vinden dat jan-en-alleman zo kan
binnenkomen...
allemaal wel mee.
Ach, zolang ze niet de Oracle instelling qua beveiliging
hebben, valt het
allemaal wel mee.
onder vuur dan welk ander systeem. Ofdat microsoft echt
respect verdient, vind ik niet doordat bepaalde security
oplossing gewoon dom weg te stom voor woorde zijn !
he. want jaren terug .als iets bekend werd gemaakt door een
hacker/onderzoeker .die weer eens een Gat/Lek had gevonden
in Windows .en dat bij MS bekend maakte .en werd daar ook
nog eens voor gestraft .en vervolgens gingen meer van dat
soort mensen er misbruik van maken .en dan vind ik dat MS
zijn respect maar weer eens moet gaan Terug verdienen . maar
dat zal nog wel lang gaan duren eer dat veel mensen MS weer
gaan respecteren zoals van ouds:
een product een succes is, niet de fabrikant zelf.
Microsoft houdt zich bezig met een commercieel beleid, met een
amerikaanse instelling, dit betekent dat er uit een product zoveel mogelijk
winst moet worden geperst. Maximising Profit. Dus zal MS altijd een
product op de markt brengen wat voor 80-90% functioneert. Toch treft MS
niet alle blaam, omdat ontstane lekken pas ontstaan na het combineren
met andere software (van andere leveranciers). Dit valt niet te voorkomen
in een open software systeem. Wat ik meer kwalijk vind, is het feit dat met
Vista er weinig functionaliteit bijkomt en er duidelijk pittig voor moet worden
betaald. Ik ben er heilig van overtuigd dat als MS Windows voor 50
eurootjes verkoopt er veel minder illegale OS'sen zijn. Linux is op dit
moment stevig aan de weg aan het timmeren maar er ontbreken duidelijk
nog veel essentieële software pakketten, kun je zonder deze pakketten dan
gewoon linux nemen.
programming. De kans dat Microsoft nog respect krijgt is net zo groot als
dat de flitsbrigade van de politie respect krijgt.
zijn.
zitten, dus verwacht niet dat software van vele megabytes of
zelfs gigabytes foutloos zijn. Ook open source software is
niet bugvrij.
Nu doen ze het tegenwoordig (zo op het oog in elk geval)
beter dan voorheen, maar als je bijvoorbeeld ziet dat in Vista
[url=http://www.security.nl/article/15932/1/Adminrechten_Vista_afhankelijk_van_bestandsnaam.html]
de bestandsnaam bepaalt of adminrechten vereist zijn[/url]
dan weet je ook meteen dat er nog héél veel te doen is. Dit
is "beveiliging" van hetzelfde bedenkelijke niveau als
bepaalde bestandsextenties ontoegankelijk maken in Outlook:
Quick and dirty. In plaats van een situatie te creëren
waarin ongewenst gedrag wordt gedetecteerd en gestopt kiest
men ervoor om (in geval van Outlook) bepaalde
bestandsextenties ontoegankelijk te maken om mogelijk
ongewenst gedrag moeilijk/onmogelijk te maken.
Kortom, in mijn optiek gaat het inderdaad iets beter. Maar
dat komt, denk ik, eerder doordat ze het in het verleden zo
slecht deden.
begin bezig waren zoals ze nu bezig waren dan had niemand er iets over
te zeggen. De security wordt al beter (minder slecht) dan vroeger, maar dat
is niet iets om respect voor te hebben.
Maarre toch ff voor de duidelijkheid. Ga zo door m$ en wie weet ooit heel
misschien krijgen jullie het respect wat jullie denken te verdienen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
