Nieuws

Microsoft over Apache-hack: Iedereen is een doelwit

vrijdag 16 april 2010, 16:41 door Redactie, 15 reacties

De succesvolle aanval op Apache.org bewijst volgens Microsoft topman Jeff Jones dat iedereen een doelwit is. Volgens hem zullen aanvallers vroeger of later gebruikers aanvallen via de software die ze gebruiken. "Anders gezegd, we hebben geen controle over aanvallers, dus het enige dat we kunnen doen is de software zelf veiliger en veerkrachtiger te maken." Jones kijkt naar zaken als het aantal publiek gemelde beveiligingslekken en ontwerpfouten om te bepalen of de software veiliger wordt of niet.

Naast de ontwikkelteams die veiligere producten proberen te ontwikkelen, spelen er ook twee verschillende discussies. De veiligheid van de software en de veiligheid van gebruikers van die software. Daarbij vinden veel experts Windows veiliger dan bijvoorbeeld Mac OS X, maar lopen gebruikers van Windows meer risico omdat aanvallers zich hier meer op richten.

Aanval
"We zeggen het al langer, maar de veiligheid van software is een industrie-probleem." Minder kans op aanvallen staat volgens Jones nog niet gelijk aan nul. "Hoewel sommige aanvallen minder waarschijnlijk op bepaalde platformen zijn, tenzij je niets waardevols hebt, zul je op een dag worden aangevallen." Wie zich met het beveiligen van software bezighoudt, moet hier dan ook rekening mee houden.

Jones krijgt bijval van beveiligingsexpert Marc Maiffret. "Microsoft doet vandaag de dag meer aan het beveiligen van hun software dan wie dan ook. Ze zijn het voorbeeld van hoe het moet. Ze zijn niet perfect, er is ruimte voor verbetering, maar ze doen zeker meer dan andere bedrijven in de industrie." Voor het auditen van code en beveiligen van software heeft Microsoft één van de beste modellen, merkt Maiffret op.

Sneller
Toch heeft de beveiligingsexpert ook kritiek op de softwaregigant als het gaat om het patchen van beveiligingslekken. "We zien keer op keer dat iemand op verantwoorde wijze een lek meldt en Microsoft vele maanden, als het geen jaar is, de tijd neemt om deze dingen op te lossen. Als er een nieuw zero-day lek is, zien we dat ze binnen een paar weken iets klaar hebben staan." Toch doet Microsoft het beter dan andere grote softwarebedrijven. "Als je kijkt naar bedrijven als Adobe, dan zijn zij waar Microsoft tien jaar geleden was."

Oude backdoor bedreigt Mac OS X

Google: Geen misdaadgolf door Street View

Reacties (15)

16-04-2010, 16:48 door SirDice

Alleen jammer dat de fout in de website zat en niet in de Apache software. Ik zie even niet in hoe het 'veiliger' maken van Apache en/of Linux daar iets aan had kunnen veranderen.

Meneer Jones grijpt dit leuk aan om de betere veiligheid te promoten van Windows. Nu heeft'ie daar best wel een punt maar de manier waarop hij dit doet strijkt toch aardig tegen mijn haren in.

16-04-2010, 16:56 door Anoniem

@SirDice, De kwetsbare bugtracker (JIRA) is natuurlijk ook software.

16-04-2010, 17:02 door Anoniem

Door SirDice: Alleen jammer dat de fout in de website zat en niet in de Apache software. Ik zie even niet in hoe het 'veiliger' maken van Apache en/of Linux daar iets aan had kunnen veranderen.

Meneer Jones grijpt dit leuk aan om de betere veiligheid te promoten van Windows. Nu heeft'ie daar best wel een punt maar de manier waarop hij dit doet strijkt toch aardig tegen mijn haren in.

Hij heeft wel degelijk een goed punt. Volgens mij draaide de website niet op Windows of wel?

16-04-2010, 17:37 door Eerde

Ach Jeff Jones, das de clown van het Internet. Hij verzint van alles bij elkaar om zijn $$ van M$ te kunnen blijven innen.

16-04-2010, 17:50 door Anoniem

"Microsoft doet vandaag de dag meer aan het beveiligen van hun software dan wie dan ook."

Zielig hè! Jullie hebben er dan ook zelf de grootste rotzooi van gemaakt!

Teken ik direct bij aan dat jullie als Microsoft niet alleen schuldig zijn maar het 'model' Windows zit ook ongelooflijk knullig in elkaar.

Dat er fouten in software zitten, dat weten we allemaal. Er is ook zeker wel een mate van tolerantie. Maar jullie Windows en heel veel Microsoft software is zo knullig in elkaar gezet dat jullie de ene na de andere pleister nodig hebben.

16-04-2010, 19:11 door [Account Verwijderd]

Door Eerde: Ach Jeff Jones, das de clown van het Internet. Hij verzint van alles bij elkaar om zijn $$ van M$ te kunnen blijven innen.

Hohoho, clowns moeten elkaar wel een beetje respecteren. Verdachtmakingen zijn slechte argumenten.

En onderteken anders voortaan met €€rd€.

16-04-2010, 22:55 door Anoniem

Apache wordt ook het meest onder Linux gebruikt,en minder onder Windows en OSX.
Trouwens de meeste internet servers draaien onder Linux of een Nix achtig systeem,er is zelfs ooit eens aan het licht gekomen dat zelfs de servers van Microsoft onder Linux draaien.
Dit vanwege een betrouwbaardere veiligheid en stabiliteit omdat Linux vaak minder een doelwit is van hackers dan Linux sysstemen.
Misschien daarom dat Microsoft er geen aandacht aan heeft besteed,of zijn promotie anders heeft verkocht wat de veiligheidspraatjes betreft.

17-04-2010, 03:17 door [Account Verwijderd]

[Verwijderd]

17-04-2010, 11:40 door meinonA

Moet Apache nou ook op ieder MS lek gaan reageren???

@rookie: Lighty is lek en slecht. Probeer NGINX eens, dat is de webserver van de toekomst...

17-04-2010, 11:58 door Anoniem

Ze gebruiktten zeker IIS?

17-04-2010, 17:55 door [Account Verwijderd]

[Verwijderd]

17-04-2010, 18:14 door Anoniem

Wij staan 100% achter MS en Jeff Jones. Het viel ons wel op dat MS steeds meer doet aan beveiliging.
Pleisters zullen we altijd nodig hebben en niet alleen voor MS. Dit is een vette FEIT!

Jorrit C en Chung Hui
Setji.ams.osd/CREW

18-04-2010, 12:30 door Anoniem

Microsoft doet vandaag de dag meer aan het beveiligen van hun software dan wie dan ook. Ze zijn het voorbeeld van hoe het moet.

Deze mening van de "beveiligingsexpert" - het ongefundeerd gebruik van deze kwasititel roept onmiddellijk groot wantrouwen bij mij op - gaat voorbij aan een in de informatiebeveiliging veel onderschreven stelling goede beveiliging gebaat is bij openheid, ook van de broncodes. "Security by obscurity" is in het algemeen een inferieure praktijk, heel bijzondere omstandigheden daargelaten. Voor hen die het nog niet begrijpen: MS is weinig open over haar systeemcode en beveiligingspraktijken en is daarmee m.i. zeker niet het voorbeeld van hoe het moet.

19-04-2010, 10:34 door SirDice

De mensen die voorstellen dat men maar even andere webserver software zou moeten gebruiken moeten toch maar eens even nalezen hoe een XSS in elkaar steekt en hoeveel de webserver software zelf daar iets mee doet.

20-04-2010, 19:55 door [Account Verwijderd]

[Verwijderd]

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Pick one:

Advertentie

Specialiseer je in Forensisch ICT

Online informatieavond 19 november

Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:

Bachelor Informatica Forensisch ICT (deeltijd)
Master Digital Forensics (vol- en deeltijd)
Module Mobile Forensics
Module Data Analytics

Interesse? Meld je aan!

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

31 reacties

Lees meer