Microsoft blaast hoog van de toren over openbaring beveiligingsproblemen
In een artikel op Microsoft.com uit Scott Culp zijn ongenoegen over de gewoonte
van de internet-beveiligingsvwereld om beveiligingsproblemen in alle openheid en volledigheid te bespreken. Deze gewoonte, die lang voordat er een hond bij Microsoft ook maar een vinger naar het Internet had uitgestoken is begonnen op de Bugtraq mailinglist, is volgens Microsoft gevaarlijk en onverantwoordelijk.
Volgens Microsoft is de beveiligingsgemeenschap door deze openheid medeverantwoordelijk aan de verspreiding van wormen als Code Red, Nimda, Sadmind, Ramen en Lion. Microsoft wijst ook naar gaten in Solaris en Linux. Uiteraard zijn deze besturingssystemen niet van fouten gevrijwaard, maar voor zover bekend bij de redactie is er in een open-source webserver Apache (die overigens ook onder Microsoft Windows draait) maar 1 dodelijk gat in de standaardinstallatie voorgekomen. Deze zogenaamde fout in het phf script werd enige jaren geleden en direct opgelost. En in Microsoft's IIS webserver? Als we 50 vingers hadden konden we de fouten waarschijnlijk nog niet daarop tellen. Het is ronduit schofferend hoe het Redmondse bedrijf de beveiligingsgemeenschap verantwoordelijk stelt voor haar eigen prutswerk.
Er bestaan uitstekende protocollen over de wijze waarop beveiligingsproblemen gemeld dienen te worden, en deze worden over het algemeen ook nageleefd.
In een waarschuwing voor een beveiligingsprobleem in 1 van haar produkten wordt de auteur van deze policy zelfs uitgebreid door Microsoft bedankt: "Microsoft acknowledges (...) .Rain.Forest.Puppy for identifying the involvement of Sample Pages for RDS."
Microsoft zegt samen te gaan werken met anderen in de software industrie om de volgens haar bestaande problemen in deze op te lossen. Wij vragen ons af of het deze nieuwkomer
in de beveiligingswereld zal lukken om de gevestigde orde naar haar pijpen te laten dansen.
De reus uit Redmond heeft recentelijk een nieuw beveiligingsinitiatief in het leven geroepen onder de naam STPP. Ook zal voortaan bij waarschuwingen voor beveiligingsfouten een score die de ernst van de fout aangeeft worden geplaatst.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Security Specialist Malware
NCSC
Zit cybersecurity diep in je DNA? Heb jij het in je om op het moment dat het er echt toe doet samen met je collega’s tot de juiste (technische) oplossing te komen? Als security specialist malware bij het Nationaal Cyber Security Centrum (NCSC) doe jij er alles aan om de impact van digitale dreigingen te verminderen en incidenten tegen te gaan.
Information Security Officer
Grijp deze unieke kans voor carrière-ontwikkeling in informatiebeveiliging! Bij Esri bouw je vertrouwensrelaties op en help je zowel ons als onze klanten veiligere technologie te gebruiken. Ben jij de ervaren Security Officer die energie krijgt van werken in 'twee werelden'? Solliciteer dan nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
No more ransomware!
De nieuwe Ransomware Awareness Experience training biedt een realistische maar vooral leuke introductie in de wereld van ransomware. De deelnemers ervaren hoe eenvoudig een organisatie het slachtoffer kan worden van ransomware en leren meteen hoe een besmetting kan worden voorkomen!