"Hackers bang voor Microsoft"
Beveiligingsonderzoekers en hackers zwijgen over lekken omdat ze bang zijn voor Microsoft, aldus beveiligingsexpert Robert Graham, die zelf ook door de softwaregigant bedreigd zou zijn. Graham reageert naar aanleiding van het lek in Internet Explorer, waardoor vermoedelijk Chinese hackers bij Google wisten in te breken. De bug noemt hij op zichzelf geen falen van Microsoft. "Microsoft is waarschijnlijk de beste in de industrie als het gaat om het oplossen van dit soort bugs." Toch had de reus uit Redmond een week nodig om het lek te patchen en wist het hier al maanden van. "Dat is een vrij lange tijd voor een zero-day om los te lopen."
Bedreiging
Volgens Graham reageerde Microsoft vroeger sneller op grote beveiligingslekken en wordt het elk jaar erger. "Dat komt doordat ze direct of indirect de helft van de beveiligingsindustrie inhuren en de andere helft beïnvloeden." Als Microsoft een lek negeert en een onderzoeker besluit het probleem bekend te maken, dan zal Microsoft ze binnen de industrie proberen te weren. "Onderzoekers houden hun mond omdat ze bang zijn voor Microsoft", zegt Graham. Zelf zegt hij ook door de Microsoft bedreigd te zijn.
Hij ontdekte een aantal jaren geleden een eenvoudig WiFi-lek in Windows Mobile. Het werd nooit gepatcht, grotendeels omdat de telecomprovider dit weigerde. Aangezien hij het lek pas kon publiceren na de patch, betekende dit dat hij het lek nooit publiceerde. "We kennen veel onderzoekers die lekken in Windows Mobile vinden die voor precies dezelfde reden nooit gepubliceerd worden." In het geval van Graham zou hij daarnaast bezoek van FBI-agenten hebben gehad, die dreigden zijn profiel aan te passen, zodat hij niet meer voor de overheid kon werken. "Dit werd gedaan onder druk van Microsoft."
Graham erkent dat het redelijk van Microsoft is om te verlangen dat onderzoekers wachten met publiceren totdat er een patch is. Microsoft zou echter zijn doorgeslagen, met als gevolg dat ze te lang over het patchen van lekken doen.
Noodpatch
Een ander probleem waar de softwaregigant mee zit zijn de noodpatches. Out-of-band updates kosten zowel voor Microsoft als klanten veel geld. De maandelijkse patchcyclus is dan ook goedkoper en eenvoudiger voor iedereen. Toch komt het voor dat een lek zo ernstig is dat het buiten deze cyclus om gepatcht moet worden. De beveiligingsexpert vroeg Microsoft of het hier een budget voor heeft en tot zijn grote verrassing blijkt dit niet zo te zijn. Out-of-band patches zouden namelijk nooit moeten voorkomen.
"Ik durf er geld op te zetten dat er in de komende maanden een nieuw zero-day lek in Internet Explorer wordt gevonden en Microsoft moet hier rekening mee houden." Microsoft mag dan de beste in het oplossen van bugs en lekken zijn. De reactie op het recente IE-lek noemt Graham een fiasco. "Daarnaast wordt Microsoft steeds slechter in het oplossen van lekken, niet beter."
Volstrekt onbegrijpelijk dat de FBI zich voor het karretje van een bedrijf laat spannen. Welk belang heeft de FBI daar immers bij ?
Volstrekt onbegrijpelijk dat de FBI zich voor het karretje van een bedrijf laat spannen. Welk belang heeft de FBI daar immers bij ?
Eenvoudig - als je onverantwoordelijk omgaat met lekken (disclosure vóór een patch) breng je de staatsveiligheid in gevaar. Irresponsible disclosure.... Hier hoeft dus geen sinistere samenzwering onder te zitten. Dat zou kunnen, hoor.
Volstrekt onbegrijpelijk dat de FBI zich voor het karretje van een bedrijf laat spannen. Welk belang heeft de FBI daar immers bij ?
Nee dat laat de overheid nooit gebeuren. Of toch wel? Kijk om je heen en leer. Olie maatschappijen zijn voor 50% eigenaar van de staat. DWZ Olie maatschappijen hebben een hele dikke vinger in de pap.
Platen bazen bepalen in middels wat we wel en niet mogen zien op het internet dit gaat zo ver dat overheden je van het internet af willen sluiten als je niet luistert.
Ga nog maar ven zo door.
Dus dat de FBI voor de belangen van MS, staat veiligheid, opkomt lijkt mij niet zo vergezocht.
Ik geloof er weinig van dat MS invloed kan hebben op het werk van de FBI..
De FBI heeft geen enkel belang bij het wel of niet publiceren van lekken in Wifi software op Windows Mobile..
Ach, we kopen ook auto's en electronica uit de US en in die industrie wordt ook behoorlijk druk uitgeoefend op de overheid en bestuurders gemanipuleerd. Zo werkt de vrije economie in Amerika.
Het beste is de banden verbreken met de US..
Als je niets te zeggen hebt, reageer dan niet en ga een ander lastigvallen met je bandbreedte vervuiling..
Als je niets te zeggen hebt, reageer dan niet en ga een ander lastigvallen met je bandbreedte vervuiling..
als je te lui bent om een gebruikersnaam aan te maken, blijf dan ook weg achter je computer. ;)
en je hebt gelijk, als iemand niks te zeggen heeft laat hem dan ook niks zeggen :P het feit dat dat bandbreedte kost zouden wij niet merken, het feit dat er een reactie bij staat waar eigenlijk niks in staat vind ik erger
maargoed nu te veel off-topic gespamt. ontopic:
hackers zijn niet bang voor microsoft, maar microsoft is bang voor de hackers die hun lekken niet publiceren en dus "private" blijven, want als er dan toch wat aan het licht komt en breekt te pleuris uit, moet het bedrijf weer nood-patches maken (terwijl het daar geen budget voor heeft) bla bla bla .....
Sommige hackers hebben goede bedoelingen en willen alleen laten zien dat een systeem niet veilig is,en zorgen zo dat er een patch geschreven wordt dit probleem tegen te gaan.
Ze tasten ook het systeem dan verder niet aan,maar vertellen de beheerder dan netjes wat er voor lek in zijn zijn sysyteem zit.
Kwaadwillende hackers heb je ook,helaas maar ja dat zijn ook de echte cybercriminelen.
google -> microsoft programmers found dead
Ook binnen microsoft wordt de roede niet gespaard. Zoek nou niet naar lekken, doe HET NIET.
Sommige hackers hebben goede bedoelingen en willen alleen laten zien dat een systeem niet veilig is,en zorgen zo dat er een patch geschreven wordt dit probleem tegen te gaan.
Ze tasten ook het systeem dan verder niet aan,maar vertellen de beheerder dan netjes wat er voor lek in zijn zijn sysyteem zit.
Kwaadwillende hackers heb je ook,helaas maar ja dat zijn ook de echte cybercriminelen.
Hoe denk je dat die hacker van 'www.overheid.nl' zich voelt??? Die zit nu iedere week met dwanginjecties. Of denk je dat hackers zomaar weg komen? Hoevaak denk je dat de politie een huis binnenvalt? Gisteren nog een post op tweakers.net de politie viel iemands huis binnen zogenaamd op verdenking van kinderporno, intussen alle broncode meegenomen van die jongen.
Dat jij leeft in een wereld waarin Bill Gates lief en vriendelijk is wil niet zeggen dat dit voor iedereen zo geld. Overigens ook berichten die niet op security worden gepost worden in een que gezet, en bepaalde mensen hebben daar zicht op. Trust me, true story, security heeft een namenlijst gekregen, van vermoorde computerprogrammeurs. En ze waren bang voor MS, ze vonden bepaalde dingen en als je die dingen vind dan verandert je leven.
En security? Wie beschermt jonge mensen tegen een groot en machtig bedrijf dat de overheid in haar broekzak heeft, een bedrijf dat mensen inhuurt om bij een linux reseller (hulpverlener bij linux systemen) binnenvalt met knuppels en de inboedel kort en klein slaat. Op de namenlijst staan 39 vermoorde computerprogrammeurs.
Uiteraard zijn ze bang. Heel bang, kijk eerst eens EndGame op youtube.com ga naar 1 uur en 55 minuten kijk dan 10 minuten lang, 30 miljard aan sterilisatie programma's, door onze lieve Bill.
Sommige hackers hebben goede bedoelingen en willen alleen laten zien dat een systeem niet veilig is,en zorgen zo dat er een patch geschreven wordt dit probleem tegen te gaan.
Ze tasten ook het systeem dan verder niet aan,maar vertellen de beheerder dan netjes wat er voor lek in zijn zijn sysyteem zit.
Kwaadwillende hackers heb je ook,helaas maar ja dat zijn ook de echte cybercriminelen.
Jammer dat jij niet snapt dat wij security professionals zijn...
dat klinkt alsof MS gewoon een ordinaire crimineel is die via steekpenningen overheden voor zich wint.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
