Dus omdat de leveranciers niet meer wegkomen met struisvogelen moeten de consumenten het gedrag maar overnemen? Het wordt hoog tijd, dat mensen eens doordringen worden van de realiteit dat hun geliefde besturingssyteem meestal lek is.

Ja, je kunt beter mensen in het ongewis laten zodat hun machine geinfecteerd raakt zonder dat ze een idee hebben hoe het gekomen zou zijn :-/

Misschien ben ik zelf wel oud en wijs genoeg om iets te verzinnen?

Men hoeft ook helemaal niet samen te werken.

Liever een massale bekende aanval dan een onbekende gerichte aanval.

Grappig hoe de argumenten direkt getorpedeerd worden, terwijl de onderzoekers wel degelijk een punt hebben. Immers is het inderdaad zo dat full disclosure er ook voor zorgt dat de 'bad guys' informatie krijgen omtrent een vulnerability, en een windows of opportunity krijgen om deze te misbruiken totdat de patch beschikbaar is. Het lijkt erop dat veel mensen hier oogkleppen op hebben, en enkel en alleen bereid zijn te kijken naar de argumenten die pleiten voor direkte openbaring.

Is dat even toevallig: precies twee personen die bedrijven vertegenwoordigen waar ze al niet doen aan openheid over ernstige lekken in hun software totdat ze na maanden of jaren met een oplossiong komen... (als ze dat al doen...) IBM is een puinhoop wat betreft helderheid in veiligheidsproblemen (probeer eens te achterhalen wat hun meldingen betekenen, hoe compleet ze zijn en hoe correct ze zijn - een puinhoop!) en MS doet er niet veel voor onder (ze praten er alleen meer omheen).

Laat je als klant/security officer niet misleiden door dit soort marketingpraatjes van leveranciers! Trap niet in die mooi geselecteerde voorbeelden en grafiekjes die ze als bewijs gebruiken. IBM, Microsoft, Oracle, SAP, etc hebben allemaal hetzelfde probleem: ze hebben geen flauw benul hoe de code die ze hebben laten maken/overgekocht hebben eruit ziet en of en hoe ze het veilig krijgen. Als ze er al moeite voor doen om het veilig te krijgen zonder meldingen van buitenaf.

Holly Stewart en Tom Cross maken misbruik van angst: dit keer niet gericht naar de eindgebruikers maar naar managers en security officers die in de beslissing zitten wat acceptabel is om veiligheidsproblemen te melden. En wie heeft er het meeste voordeel bij: Stewart, Cross en het zooitje vertegenwoordigers van die leveranciers waar ze zo min mogelijk in het nieuws willen komen dat hun software brak is en er nog de meest domme security fouten inzitten en er zo min mogelijk geld in willen steken om de software veilig te maken.

Dit gaat dus mooi op voor elk OS wat er te verkrijgen is.

Mensen die het niet boeit of er niets van snappen lezen de berichtgeving rond lekken sowieso niet. Er is dus niets mis met het communiceren van lekken, maar er moet wel worden gewerkt aan de manier van communicatie en hoe leveranciers dit aan hun klanten gaan uitleggen.

Je zou kunnen beginnen door de verwachtingen aan te passen. Stellen dat een nieuw OS veilig is, dat een consument nu helemaal beschermd is, daar moeten we van af.

Een OS waarbij van te voren aangegeven wordt dat deze niet veilig is verkoopt niet. Overigens stelt Microsoft altijd dat het "veiliger" is t.o.v. de oudere versies. Subtiel semantisch verschil.

Beveiliging door geheimhouding. Laat ik nou altijd geleerd hebben dat dit een NoNo is.

Absurd.

Ik wil als bedrijf kunnen beslissen of en wanneer ik mij bijvoorbeeld van het internet los koppel om mogelijke schade te voorkomen. Ik pretendeer namelijk dat ik mij ongeacht het feit of prutsers bij MS of IBM snel een oplossing weten te verzorgen in de tussentijd maatregelen kan nemen om de attack surface te verkleinen.

Ik ben autofabrikant. Er is een probleem met de remmen van enkele auto's. Ik besluit om dit hangende een oplossing geheim te houden. Ben ik als fabrikant verantwoordelijk voor de schade die er in de tussentijd ontstaat? Ik dacht het wel..
Ik heb namelijk de mogelijkheid ontnomen om te besluiten de auto te laten staan.

Ben benieuwd of de bedrijfsjuristen bij MS en IBM een spaan heel laten van dit onzalige idee.

Ja, het is altijd weer lachen bij een installatie van Windows 98 of XP.

De voor consumenten meest kritische en meest voorkomende 0Day lekken in Microsoft software bevinden zich in Internet Explorer.

In zo'n situatie zou Microsoft, indien ze qua security het beste voorheeft met haar gebruikers, hen moeten aanraden om (in elk geval tijdelijk) van een andere webbrowser gebruik te maken en zo'n gebeurtenis zeker niet moeten verzwijgen.

Kortom dit lijkt een marketingverhaal.

Ik zou nog eens goed kijken naar sommige EULAs. Je zal je verbazen met waar ze mee weg kunnen komen. Een rem is een functie die hoort te werken, net zoals je pointer zich verplaatst als je je muis beweegt. Als een feature niet werkt kun je waarschijnlijk je geld terugkrijgen maar een 0day/bug is op zichzelf niet een probleem pas als iemand anders er misbruik van maakt wordt het vervelend.

Security through obscurity. Nooit een goed idee.

Een vergiet met 499 gaatjes in plaats van 500 is misschien minder lek, maar nog altijd....

"Ja, je kunt beter mensen in het ongewis laten zodat hun machine geinfecteerd raakt zonder dat ze een idee hebben hoe het gekomen zou zijn :-/"

Het gaat hier over een vulnerability, niet over een malware uitbraak. Indien je de malware schrijvers langer in het ongewisse laat totdat een patch uit is, dan raken die machines wellicht niet geinfecteerd. Wat dat betreft is je reactie een beetje eenzijdig.

@ Bitwiper :

"In zo'n situatie zou Microsoft, indien ze qua security het beste voorheeft met haar gebruikers, hen moeten aanraden om (in elk geval tijdelijk) van een andere webbrowser gebruik te maken en zo'n gebeurtenis zeker niet moeten verzwijgen. Kortom dit lijkt een marketingverhaal."

Zou MS ook de details van de vulnerability direct bekend moeten maken, zodat malware schrijvers aan de slag kunnen terwijl MS nog bezig is om de patch voor de vulnerability te schrijven ?

"Er is een probleem met de remmen van enkele auto's. Ik besluit om dit hangende een oplossing geheim te houden. Ben ik als fabrikant verantwoordelijk voor de schade die er in de tussentijd ontstaat? Ik dacht het wel.."

Een nogal gebrekkige vergelijking. Immers ontstaat de schade door het publiek maken van problemen, welke misbruikt kunnen worden totdat je de patch installeert. Dat kan je moeilijk vergelijken met een gebrekkige rem, waarbij er geen "exploit" nodig is om het probleem te misbruiken. Wat dat betreft vergelijk je appels met peren.

Ik weet dat het hier om een bug gaat. Daar gaat het ook om. Als ik ook weet waar/wat die bug is dan kan ik daar al actie op ondernemen en niet pas wanneer die malware uitbraak komt (want dan ben je te laat).

Zodra een (software) fabrikant weet heeft van een ernstig (security of ander) probleem in een ondersteund product dat tot schade bij gebruikers kan leiden, dient de fabrikant gebruikers te informeren op welke wijze zij zich het beste kunnen beschermen. In sommige gevallen kan die informatie malwareschrijvers helpen, dat is dan helaas pindakaas. Het advies "bezoek geen verdachte websites" is onvoldoende (zie http://www.security.nl/artikel/37916/).

De ICT markt is grotendeels verziekt qua security doordat softwarefabrikanten alle verantwoordelijkheid voor hun producten van de hand wijzen en wij, gebruikers, dat maar blijven accepteren.

Van mij mag het strafbaar worden als gebruikers schade oplopen door lekken waar softwarefabrikanten van op de hoogte waren maar nalieten die gebruikers te waarschuwen. Het is momenteel economisch veel voordeliger om lekken zo lang mogelijk te verzwijgen en dat is precies waar de heren in het artikel op aansturen.

Het alternatief is overigens full-disclosure, wellicht is dat toch zo gek nog niet...

Nu kennen we tenminste de Microsoft en IBM policy m.b.t. security. Ook belangrijk om te weten.

Ja, tegen de tijd dat de belangrijkste gaten gedicht zijn en e.e.a. normaal werkt, wordt die versie van het OS van de markt gehaald (end of life). En kun je opnieuw beginnen met de volgende versie van het OS (dat weer vol fouten en gaten zit).
En dan hebben we het nog niet over code die al meerdere versies van het OS meelift, zonder dat de fout eerder ontdekt en verholpen is.

Dus laten we vooral de klanten niet vertellen dat het OS van hun koffiezetapparaat (lees PC) een lek heeft, en dat ze daarom tijdelijk voorzichtig moeten zijn met bepaalde handelingen tot dit opgelost is. Want dat snappen die eigenaren van het koffiezetapparaat toch niet.
Tijd voor class-action suits en grote boetes.