"Microsoft moet hackers serieus nemen"
Wil Microsoft de veiligheid van Windows echt verbeteren, dan moet het beter naar beveiligingsonderzoekers luisteren. Deze week kondigde de softwaregigant een update aan van het beleid voor het oplossen van beveiligingslekken. Zo gaat Microsoft onder andere kwetsbaarheden in de software van derden openbaren.
Wil Microsoft de situatie echt verbeteren, dan moet het verder kijken waarom beveiligingsonderzoekers niet meer met leveranciers samenwerken, aldus Marc Maiffret van eEye Digital Security. De eerste reden is geld. "Beveiligingsonderzoek is geen eenvoudig werk en onderzoekers hebben nu een uitlaatklep voor hun werk door zero-day lekken te verkopen, zowel aan kopers met goed als slechte intenties."
Deadline
Sommige onderzoekers is het niet om het geld te doen, maar die zijn vaak niet te spreken over de tijd die leveranciers nodig hebben om gerapporteerde lekken op te lossen. Daarnaast spelen sommige leveranciers spelletjes, merkt Maiffret op. "Microsoft en andere IT-bedrijven slagen er nog steeds niet in een tijdslijn af te spreken."
Maiffret denkt dat Microsoft het beveiligingsonderzoek bewust doet om klanten te helpen. Maar die klanten zouden er meer van profiteren als de softwaregigant onderzoekers compenseert en zich aan een meetbare tijdslijn houdt om een patch te produceren. "De gemeenschap zal altijd sterker zijn dan welk in-house initiatief van Microsoft voor beveiligingsonderzoek en dat komt nu neer op meer zero-day lekken die in het wild worden ontdekt."
De klanten willen echter goed geteste patches van Microsoft. De noodoplossingen van het afgelopen halfjaar zijn het voorbeeld van haastwerk van Microsoft. Daar wil je als bedrijf je handen niet aan branden.
Microsoft moet dus volgens deze meneer tegen de zwarte markt op concurreren? Ik vind eigenlijk dat je geen zaken moet doen met criminelen. Een vergoeding voor een lek is terecht! Maar als je voor het geld kiest en het dus maar verkoopt aan mensen die het gaan misbruiken ben je gewoon medeplichtig aan dit misbruik. Daar zou ik, als Microsoft zijnde, niet eens mee willen samenwerken.
Microsoft is namelijk TE arrogant om hackers te geloven en doen meldingen in de ban of maken zelf een test waarin blijkt dat er niets aan de hand is, minpuntje is alleen dat de tests die Microsoft doet, volledig gespitst is op een positief resultaat en niet een daadwerkelijke test om te zien hoe lek het mandje is.
Er zijn in het verleden legio personen geweest die aan MS doorgaven welke lekken zij gevonden hadden, waar Microsoft niets mee deed omdat het in de volgende versie van Windows toch wel opgelost zou worden, of omdat het probleem niet critical genoeg zou zijn.
Microsoft stopt graag zijn hoofd in het zand door meldingen liever te negeren dan te controleren en verder achter de zaken aan blijft lopen.
MS zou eens een keer net zo goed moeten luisteren als dat ze kunnen schreeuwen richting hun concurrentie. De concurrentie word er echter alleen maar sterker en rijker door, omdat Microsoft digitale oogkleppen op blijkt te hebben.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
