image

Mac-hacker: Microsoft moet boeten voor Windows-lekken

donderdag 9 september 2010, 11:41 door Redactie, 28 reacties

Om softwareleveranciers veilige producten te laten maken, moeten ze aansprakelijk worden gesteld als er door hun software schade ontstaat, dat zegt Mac-hacker Charlie Miller. "Als er een worm is die een Windows-lek misbruikt waardoor een bedrijf een dag eruit ligt, zou Microsoft aansprakelijk moeten zijn." Als dit het geval zou zijn, zullen leveranciers meer moeite doen om veilige producten te maken, zonder dat er wet- en regelgeving aan te pas komt.

Miller, die in het verleden meerdere keren de Pwn2Own hackerwedstrijd won door Mac OS X te hacken, denkt niet dat overheidsbemoeienis de effectiefste manier is om onveilige software tegen te gaan. "De makkelijkste en effectiefste manier is het aansprakelijk houden van bedrijven voor de problemen die hun lekken veroorzaken."

Windows
Als het plan van Miller ooit werkelijkheid wordt, is het niet alleen oppassen van Microsoft, ook Apple is gewaarschuwd. Er is volgens de Mac-hacker niets "inherent veiliger aan Macs, sterker nog, ze zijn waarschijnlijk iets eenvoudiger te hacken, maar zijn op het moment door hun beperkte marktaandeel beschermd", zo merkt hij op.

Door de juiste training voor programmeurs en via security reviews en audits zou het mogelijk zijn om code te produceren die "zeer veilig is en weinig lekken heeft." Het gaat dan onder andere om software voor de luchtvaart of andere kritieke bedrijfstakken. Softwareleveranciers zouden vanwege de kosten niet dezelfde moeite doen om bugs te verwijderen zoals bedrijven die kritieke software ontwikkelen. "Totdat gebruikers veilige software eisen en bedrijven aansprakelijk houden als computers door deze lekken worden gehackt, zie ik weinig veranderingen plaatsvinden", besluit Miller

Reacties (28)
09-09-2010, 11:57 door SirDice
Als het plan van Miller ooit werkelijkheid wordt, is het niet alleen oppassen van Microsoft, ook Apple is gewaarschuwd.
En en passant wordt de gehele open source gemeenschap ook de nek om gedraait.
09-09-2010, 11:57 door U4iA
Dus dan zou Apple moeten gaan betalen voor de problemen die nu ontstaan met de Backdoor in Quicktime? Zou Adobe moeten gaan betalen voor de problemen met Adobe Reader? Zou iedereen die de beveiligingsfeatures van een OS niet gebruikt bij voorbaat verantwoordelijk moeten zijn? Ik stem voor!
09-09-2010, 12:03 door Anoniem
Maar hoe bewijs je dat de leverancier fout zat. Je kan in heel veel gevallen stellen dat de gebruiker/beheerder zijn zaakjes niet op orde had.

Of gaat Microsoft dan niet wijzen naar software van derden die ook op het gecompromitteerde systeem zijn geïnstalleerd. Soms is het lastig aan te tonen waardoor (of doorwie) de problemen zijn ontstaan


Het idee is goed, maar ik voorzie nog wel wat problemen met de uitvoer.
09-09-2010, 12:08 door SirDice
Door U4iA: Ik stem voor!
Ik niet. Stel ik maak een leuk programma. Goedzak als ik ben open source ik het spul met een leuke BSD licentie. Het programma wordt in korte tijd mateloos populair. Vervolgens blijkt er een bug in te zitten, ik ben tenslotte ook maar een mens. En via die bug worden links en rechts systemen gekraakt. Nu krijg ik ineens voor miljoenen aan schadeclaims voor m'n kiezen. Wat denk je dat je, als onafhankelijke ontwikkelaar, dan gaat doen? Juist, niet alleen stoppen met open source, gewoon helemaal stoppen met het maken van programma's want dergelijke claims kun je gewoon niet opbrengen.

Hoewel het idee best leuk klinkt heeft het flink wat neven effecten en zal het zo'n beetje de gehele software industrie raken. Kleine bedrijven, onafhankelijke ontwikkelaars, etc zullen allemaal stoppen omdat ze het risico van een miljoenen claim niet aan kunnen. Tuurlijk kun je best software maken die "zeer veilig is en weinig lekken heeft" maar "weinig lekken" betekent dat ze er hoe dan ook toch nog in zitten. En je hoeft maar 1 zo'n lek te hebben om kapot geprocedeerd te worden.
09-09-2010, 12:13 door Anoniem
Door SirDice:
Door U4iA: Ik stem voor!
Ik niet. Stel ik maak een leuk programma. Goedzak als ik ben open source ik het spul met een leuke BSD licentie. Het programma wordt in korte tijd mateloos populair. Vervolgens blijkt er een bug in te zitten, ik ben tenslotte ook maar een mens. En via die bug worden links en rechts systemen gekraakt. Nu krijg ik ineens voor miljoenen aan schadeclaims voor m'n kiezen. Wat denk je dat je, als onafhankelijke ontwikkelaar, dan gaat doen? Juist, niet alleen stoppen met open source, gewoon helemaal stoppen met het maken van programma's want dergelijke claims kun je gewoon niet opbrengen.

Het lijkt me sterk dat open source licenties hier niet al een vrijwaring voor bevatten. Voor iets wat je gratis gebruikt zou zo'n regel ook onredelijk zijn. Voor software waar je veel geld voor betaald hebt, vind ik het inderdaad geen gek idee.
09-09-2010, 13:07 door Anoniem
De kosten zijn doorgaans niet eens het grootste probleem; het is dat als een bepaald stuk software niet gisteren af is je te laat bent, omdat gebruikers dan naar de concurrent stappen, en daar heeft vooral QA onder te lijden (en 'dus' ook security).
09-09-2010, 13:10 door Duck-man
Klink leuk maar het gaat niet werken. Stel het komt er. En er is een lek in Safary onder Windows maar niet onder Mac OS. Dit komt door dat er onder Windows anders met bepaalde zaken wordt om gegaan. Wie is dan verantwoordelijk? Apple? of MS. MS niet want Windows is in principe goed maar Apple heeft ook een goed stukje software gemaakt. De oplossing is verder simpel op te lossen door Apple maar doet dit niet want dan beken je indirect schut, en er is niet wat mis met hun software. Ook MS gaat niet dichten want het is iets wat alleen op treed met Apple software. Gevolg geen patch wel een lek veel schade niemand betaald.
En wat met al die mensen die voor hobby wat schrijven en dit online zetten? Is een regeltje "Gebruiken op eigen risico!" voldoende? En tot wanneer geld dit. Geld dit voor alle OSS en niet voor closesource. Met OSS wordt namelijk ook gewoon geld verdient. Mag MS dit gewoon in hun licentie op nemen. Vast niet maar het gebeurt wel. En bij Microsoft geld, we hebben pas ongelijk als ons geld op is en tot die tijd spreken we elkaar bij de rechter.
Een wassen neus.
Volgens mij heb je er meer aan dat als software niet voldoende veilig je over stapt naar een ander software pakket. Je zou dus contracten moeten opstellen dat je per jaar beslist wat je gaat doen. Als je huidige software tegen blijft vallen is het gewoon een kwestie van je contacten met je huidige leverancier op zeggen.
Zolang bedrijven hier nog te bang voor zijn is de drang om beter te presteren er niet.

Elke paar jaar komt er weer een nieuwe Windows uit iedereen gaat braaf mee er komen nieuwe pakketten die op de nieuwe windows werken etc. Dit kost klauwen met geld. En zolang we dit blijven doen zal het altijd zo blijven

@SirDice Ja je bent een echte goedzak ;)
09-09-2010, 13:48 door Anoniem
Als we het nu zo inregelen dat de schadevergoeding gemaximaliseerd wordt tot de aanschafprijs? Dan worden commerciële partijen aangespoord betere kwaliteit te leveren, en blijven partijen die de software gratis ter beschikking stellen buiten schot.
09-09-2010, 14:28 door eMilt
Er is volgens de Mac-hacker niets "inherent veiliger aan Macs, sterker nog, ze zijn waarschijnlijk iets eenvoudiger te hacken, maar zijn op het moment door hun beperkte marktaandeel beschermd", zo merkt hij op.
Dat zeg ik ook al jaren alleen valt dat nog niet zo goed bij de Apple fan boys. En ja, ik gebruik zowel Windows als Mac.
09-09-2010, 14:29 door SirDice
Door Anoniem:
Door SirDice:
Door U4iA: Ik stem voor!
Ik niet. Stel ik maak een leuk programma. Goedzak als ik ben open source ik het spul met een leuke BSD licentie. Het programma wordt in korte tijd mateloos populair. Vervolgens blijkt er een bug in te zitten, ik ben tenslotte ook maar een mens. En via die bug worden links en rechts systemen gekraakt. Nu krijg ik ineens voor miljoenen aan schadeclaims voor m'n kiezen. Wat denk je dat je, als onafhankelijke ontwikkelaar, dan gaat doen? Juist, niet alleen stoppen met open source, gewoon helemaal stoppen met het maken van programma's want dergelijke claims kun je gewoon niet opbrengen.

Het lijkt me sterk dat open source licenties hier niet al een vrijwaring voor bevatten.
Die vrijwaring staat ook in de EULA van Windows. En van OS-X. En bij alles van Adobe.

Voor iets wat je gratis gebruikt zou zo'n regel ook onredelijk zijn. Voor software waar je veel geld voor betaald hebt, vind ik het inderdaad geen gek idee.
Dus, als ik dat programma verkoop kan ik een miljoenen claim krijgen. Of bedoel je onder een bepaalde waarde? Dus als ik 't verkoop voor bijv. 10 euro niet maar als ik 't verkoop voor 1000,- wel? Waar leg je de grens? Belangrijker, wie bepaalt die grens?

Als ik de ontwikkelkosten er uit probeer te halen door een degelijke prijs te vragen loop ik het risico een miljoenen claim te krijgen. Als ik het goedkoper op de markt zet (om zo dat risico te ontlopen) ga ik falliet. Even goed, dat programma zal ik dan dus nooit en te nimmer op de markt brengen.
09-09-2010, 14:33 door SirDice
Door Anoniem: Als we het nu zo inregelen dat de schadevergoeding gemaximaliseerd wordt tot de aanschafprijs? Dan worden commerciële partijen aangespoord betere kwaliteit te leveren, en blijven partijen die de software gratis ter beschikking stellen buiten schot.
En wat weerhoudt MS ervan om vervolgens Windows gratis te leveren en alleen voor support een hoop geld te vragen?
09-09-2010, 15:16 door Mysterio
Wat een onzin! Weer een hacker met een grote mond die snel rijk wil worden van de onvolmaaktheden van anderen. Mocht aantoonbare nalatigheid van de ontwikkelaar de oorzaak van de schade zijn, dan kan dat in de meeste gevallen toch wel verhaald worden. Hoe kun je het ooit hard maken dat de producent van een product aansprakelijk wordt gesteld voor de schade die anderen aanrichten door dat product te misbruiken?

Als ik een recorder op een ruit zet om telefoongesprekken af te luisteren, dan is de glasboer toch ook niet aansprakelijk voor de inbreuk op je privacy en de eventuele schade?
09-09-2010, 15:24 door Anoniem
En wat weerhoudt MS ervan om vervolgens Windows gratis te leveren en alleen voor support een hoop geld te vragen?
Niets. Dan zien we vanzelf welke leveranciers geld "durven" te vragen voor hun producten. Het zou in ieder geval PCs die verplicht met Windows worden geleverd weer iets goedkoper maken.
Sun gaf trouwns (een aantal jaar geleden IIRC) Solaris gratis weg bij de aanschaf van Sun hardware.Ook de upgrade kostte niet meer dan de DVD en bezorgkosten.
09-09-2010, 15:26 door Anoniem
Door Anoniem:
Door SirDice:
Door U4iA: Ik stem voor!
Ik niet. Stel ik maak een leuk programma. Goedzak als ik ben open source ik het spul met een leuke BSD licentie. Het programma wordt in korte tijd mateloos populair. Vervolgens blijkt er een bug in te zitten, ik ben tenslotte ook maar een mens. En via die bug worden links en rechts systemen gekraakt. Nu krijg ik ineens voor miljoenen aan schadeclaims voor m'n kiezen. Wat denk je dat je, als onafhankelijke ontwikkelaar, dan gaat doen? Juist, niet alleen stoppen met open source, gewoon helemaal stoppen met het maken van programma's want dergelijke claims kun je gewoon niet opbrengen.

Het lijkt me sterk dat open source licenties hier niet al een vrijwaring voor bevatten. Voor iets wat je gratis gebruikt zou zo'n regel ook onredelijk zijn. Voor software waar je veel geld voor betaald hebt, vind ik het inderdaad geen gek idee.

Je kunt het ook van een andere kant bekijken, en wel dat Windows veel geld voor voor zijn O.S. waar toch bijna iedere twee weken security update's voor zijn. Hadden ze bijv. Windows7 heel anders opgezet, dan zat het misschien iets anders.Als we dan op jaarbasis kijken dan heeft Windows wel heel veel lekken. Je wilt toch ook niet om de twee weekjes met de auto naar de garage toch. Bij Windows gaat het op de eerste plaats om het geld, en dan de rest. Ze zouden best wat meer mensen kunnen zetten op de bugfixes. Vroeger deden ze dat nog wel, maar al geruime tijd hebben ze gezegd dit nog maar eens per twee weken te doen. Zij kiezen verder voor close-source waardoor een heleboel mensen niet goed
kunnen meezoeken naar bugs binnen het O.S. Als ik dat vergelijk dan hebben ze dat bij Linux beter onder knie.
09-09-2010, 15:33 door Rubbertje
Microsoft geeft toch certificaten uit van veilige en compatible software.
09-09-2010, 15:38 door Anoniem
Dus een crimineel doet iets fout en de ander moet boeten.
Beetje omgekeerde wereld.
09-09-2010, 16:10 door Anoniem
Een wettelijke aansprakelijkheid van verkopers/producenten t.b.v. consumenten is een interessant idee.
Wel moet aan de hoogte van de verdiensten een rol toekomen in de beperking van de aansprakelijkheid.

Een voordeel voor makers van open source software is dat de eigen aansprakelijkheid van de gebruikers inherent groter is. Omdat de broncode beschikbaar is, mag van een consument(en-organisatie) meer inspanning worden verwacht om de geschiktheid van de programmatuur voor een schadegevoelige toepassing daarvan te beoordelen, voordat de aansprakelijkheid van de maken aanvangt.

De eenvoudigste oplossing blijft echter wel wanneer gebruikers (consumenten én bedrijven) producten als MS Windows vanwege de veelvuldige ernstige gebreken gewoonweg niet meer accepteren en / of inzage in alle broncodes eisen. Sommige fouten en anti-features zouden in een open source product niet heel lang leven zijn beschoren. Bovendien zijn er voldoende alternatieven beschikbaar.

Joep Lunaar
09-09-2010, 16:27 door Anoniem
Door Anoniem: Als ik dat vergelijk dan hebben ze dat bij Linux beter onder knie.
:)
Dat dacht je maar. Bij linux wordt meer geld verdient dan bij MS (na het aantal gebruikrs). Voordat we problemen krijgen. met LINUX bedoel ik de Linux Foundation en een aantal grote distro's. Ook linux is big business en zit vol gaten etc. Onder linux distro's zijn meer update's dan onder Windows. Alleen valt het minder op omdat elk deeltje een andere naam heeft. Neemt niet weg dat er grote voordelen aan linux zitten tov Windows en MS producten. En dat is dat je systeem niet gegijzeld wordt door de grillen uit Redmond. Zo kan je eenvoudiger overstappen als het je niet bevalt.
09-09-2010, 16:48 door Anoniem
Door SirDice:
Door Anoniem: Als we het nu zo inregelen dat de schadevergoeding gemaximaliseerd wordt tot de aanschafprijs? Dan worden commerciële partijen aangespoord betere kwaliteit te leveren, en blijven partijen die de software gratis ter beschikking stellen buiten schot.
En wat weerhoudt MS ervan om vervolgens Windows gratis te leveren en alleen voor support een hoop geld te vragen?

Dan gaat men bij een andere partij de support inkopen. Net als nu met open source gebeurt (als je het niet zelf wilt doen). Maar dan is de vraag of de leverancier van de software aansprakelijk gesteld kan worden of dat het probleem wordt veroorzaakt door een configuratiefout van de ondersteuner.

Peter
09-09-2010, 17:27 door SirDice
Door Anoniem:
En wat weerhoudt MS ervan om vervolgens Windows gratis te leveren en alleen voor support een hoop geld te vragen?
Niets. Dan zien we vanzelf welke leveranciers geld "durven" te vragen voor hun producten. Het zou in ieder geval PCs die verplicht met Windows worden geleverd weer iets goedkoper maken.
Het zal je verbazen hoe weinig dat prijsverschil zal zijn.

Sun gaf trouwns (een aantal jaar geleden IIRC) Solaris gratis weg bij de aanschaf van Sun hardware.Ook de upgrade kostte niet meer dan de DVD en bezorgkosten.
Je kon Solaris tot redelijk recent gewoon downloaden en gebruiken. Dat was inderdaad gratis. Maar alleen voor niet-commercieel gebruik! Bedrijven moesten gewoon diep in de buidel tasten (wij hebben meerdere Sun V440's). De reden dat Sun Solaris vrij gaf voor niet-commercieel gebruik was om meer ontwikkelaars aan te trekken. Oracle heeft dat de nek omgedraait omdat het een hele andere agenda voor ogen heeft m.b.t. Solaris.
09-09-2010, 20:50 door [Account Verwijderd]
[Verwijderd]
09-09-2010, 20:52 door [Account Verwijderd]
[Verwijderd]
09-09-2010, 21:14 door Anoniem
Wordt software niet vaak aangeboden met bijgaande Disclaimers? Zo van wij zijn niet aansprakelijk voor eventuele schade aan uw systeem of documenten die door het gebruik van onze software wordt veroorzaakt?
staat me iets van bij..
09-09-2010, 22:13 door Necrowizard
Bijna altijd staat er in licentie die je accepteer als je een applicatie installeer dat [zij] niet verantwoordelijk zijn voor enige schade die de applicatie zou kunnen veroorzaken...
10-09-2010, 08:00 door Anoniem
Softwareleveranciers zouden vanwege de kosten niet dezelfde moeite doen om bugs te verwijderen zoals bedrijven die kritieke software ontwikkelen

Juist, en dan vergeten we even dat Siemens zo maar even een paswoord hard codeerde in WinCC en dat veel SCADA soft zelfs niet wil starten onder Service Pack 3 of management-interfaces heeft die enkel IE6 ondersteunen.
10-09-2010, 08:02 door Anoniem
Hackers zijn geen juristen.
10-09-2010, 11:08 door SirDice
Door unaniem:
Door SirDice:
Als het plan van Miller ooit werkelijkheid wordt, is het niet alleen oppassen van Microsoft, ook Apple is gewaarschuwd.
En en passant wordt de gehele open source gemeenschap ook de nek om gedraait.

Fout, die hebben een andere filosofie.
WTF heeft dat te maken met aansprakelijkheid v.w.b. bugs in software?

Die ()*&@%(& commercie zou verboden moeten worden, alleen om goedkoop (niet voordelig) software de wereld op te trappen wordt snel geproduceerd.
Commercie verbieden? Dus ik mag niks verdienen aan iets wat ik gemaakt heb?
20-09-2010, 22:27 door Anoniem
allemaal leuk en wel
maar extra security kost extra geld maw onze software zal pakken duurder worden
grote firmas zoals appel en microsoft kunnen dit wel betalen zij verdienen bakken geld aan de software en zouden idd veel beter kunnen.

Maar voor kleine bedrijven gaat deze vlieger gewoon niet op dit neemt gewoon teveel resources en tijd in beslag en kost een firma dus gewoon teveel geld om bug vrije code te garanderen en schade claims te gaan uitbetalen

zelfs in t geval van apple ne Ms stel je eens voor dat door een bug een internationale firma getroffen wordt waardoor pc's 1 dag uitliggen !!

gewoon ver van alle realiteit

bugvrij bestaat niet !

het belangrijkste is dat de applicatie naar behoren werkt en dat bugs als ze gevonden worden binnen de snelst mogelijke tijd gefixed worden en dat je software je productiviteit verhoogt.

Geef mij dan maar een soort van verzekering maar eigenlijk hebben we zo al iets. Als bedrijf betaal je jaarlijks voor een SLA aan een firma die dan op zijn beurt een contract heeft met apple microsoft redhat of dergelijke die dan verplicht is je probleem op te lossen binnen x aantal tijd ....
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.