In een artikel op Microsoft.com uit Scott Culp zijn ongenoegen over de gewoonte
van de internet-beveiligingsvwereld om beveiligingsproblemen in alle openheid en volledigheid te bespreken. Deze gewoonte, die lang voordat er een hond bij Microsoft ook maar een vinger naar het Internet had uitgestoken is begonnen op de Bugtraq mailinglist, is volgens Microsoft gevaarlijk en onverantwoordelijk.
Volgens Microsoft is de beveiligingsgemeenschap door deze openheid medeverantwoordelijk aan de verspreiding van wormen als Code Red, Nimda, Sadmind, Ramen en Lion. Microsoft wijst ook naar gaten in Solaris en Linux. Uiteraard zijn deze besturingssystemen niet van fouten gevrijwaard, maar voor zover bekend bij de redactie is er in een open-source webserver Apache (die overigens ook onder Microsoft Windows draait) maar 1 dodelijk gat in de standaardinstallatie voorgekomen. Deze zogenaamde fout in het phf script werd enige jaren geleden en direct opgelost. En in Microsoft's IIS webserver? Als we 50 vingers hadden konden we de fouten waarschijnlijk nog niet daarop tellen. Het is ronduit schofferend hoe het Redmondse bedrijf de beveiligingsgemeenschap verantwoordelijk stelt voor haar eigen prutswerk.
Er bestaan uitstekende protocollen over de wijze waarop beveiligingsproblemen gemeld dienen te worden, en deze worden over het algemeen ook nageleefd.
In een waarschuwing voor een beveiligingsprobleem in 1 van haar produkten wordt de auteur van deze policy zelfs uitgebreid door Microsoft bedankt: "Microsoft acknowledges (...) .Rain.Forest.Puppy for identifying the involvement of Sample Pages for RDS."
Microsoft zegt samen te gaan werken met anderen in de software industrie om de volgens haar bestaande problemen in deze op te lossen. Wij vragen ons af of het deze nieuwkomer
in de beveiligingswereld zal lukken om de gevestigde orde naar haar pijpen te laten dansen.
De reus uit Redmond heeft recentelijk een nieuw beveiligingsinitiatief in het leven geroepen onder de naam STPP. Ook zal voortaan bij waarschuwingen voor beveiligingsfouten een score die de ernst van de fout aangeeft worden geplaatst.
Deze posting is gelocked. Reageren is niet meer mogelijk.