image

Kritiek op Microsoft wegens schrappen ANS update-informatie

zaterdag 10 januari 2015, 06:35 door Redactie, 6 reacties

De beslissing van Microsoft om informatie over aankomende beveiligingsupdates niet meer vooraf openbaar te maken heeft voor kritiek van IT-experts gezorgd. De softwaregigant liet donderdag weten dat het met de Microsoft Security Bulletin Advance Notification Service (ANS) ging stoppen.

Via de Service gaf Microsoft op de vrijdag voor patchdinsdag een overzicht van de updates die de dinsdag erna zouden verschijnen. Het ging dan om het aantal te verschijnen updates, de ernst van de verholpen kwetsbaarheden en de getroffen software. Op deze manier konden systeembeheerders en organisaties alvast bepalen welke updates de hoogste prioriteit moesten krijgen.

Verschillende media hebben het nieuws van Microsoft verkeerd geïnterpreteerd en laten weten dat Microsoft geen informatie meer over beveiligingsupdates geeft. Dit is onjuist. Elke tweede dinsdag geeft Microsoft nog steeds een overzicht van beschikbare updates en verholpen kwetsbaarheden. Alleen de vooraankondiging wordt niet meer openbaar gemaakt. Die zal voortaan alleen met "Premier" klanten worden gedeeld.

Informatie

Volgens de softwaregigant zouden met name grote bedrijven de informatie van ANS anders gebruiken dan voorheen en de prioriteit van de updates op andere manieren bepalen. Het Internet Storm Center laat weten dat nog veel experts en security professionals bij het plannen van de updatecyclus naar de ANS-informatie kijken. Beheerders zullen dat proces dan ook nu moeten aanpassen. Informatie over de updates zal namelijk pas bekend worden als de updates zelf verschijnen.

"Slecht idee en verkeerde beslissing om dit voor het publiek te verbergen", zegt één van de critici op Twitter. Een ander merkt op dat het informeren van gebruikers belangrijk is, terwijl weer een ander laat weten dat het beperken van de informatie de veiligheid aantast. Eén iemand vraagt zich echter af of op deze manier aanvallers misschien minder informatie vooraf krijgen. Microsoft heeft zelf nog niet op de ontstane ophef gereageerd. Wel zal de softwaregigant aanstaande dinsdag 13 januari met de eerste beveiligingsupdates van 2015 komen, inclusief alle details en security bulletins die via deze pagina te bekijken zullen zijn.

Reacties (6)
10-01-2015, 09:23 door [Account Verwijderd]
[Verwijderd]
10-01-2015, 11:44 door Anoniem
Door U-7:
Als reden geeft Microsoft dat veel grote organisaties ANS vanwege verbeterde test- en uitrolmogelijkheden niet meer gebruiken op de manier zoals ze dat vroeger deden.
Maar als dit waar is, waarom moet je er dan voor betalen om ze te mogen zien?
Waar staat dat dan in bovenstaand artikel?

Premier klanten zullen over het algemeen een DAAS strategie hebben waarbij ze zelf een test en uitrol strategy bepalen.
Het automatische updaten (update Tuesday) bekend voor SOHO is daar niet aan de orde.
Het is onderdeel van een afgesproken service (S voor service).
10-01-2015, 12:11 door [Account Verwijderd] - Bijgewerkt: 10-01-2015, 12:16
[Verwijderd]
10-01-2015, 13:56 door Anoniem
Aan de ene kant is dit een rare ontwikkeling. Aan de andere kant kan ik er niet echt warm of koud van worden. Deze softwarefabrikant deed namelijk toch altijd al zijn best om zo min mogelijk informatie in zoveel mogelijk wollige woorden te verbergen. Dat proberen te lezen is pure tijdverspilling. Je kan veel beter die rijstebrijberg door overtikjournalisten laten verteren, liefst nog een tijdje wachten om te zien of de laatste updates niet weer BSODs veroorzaken.

Dat dit betekent dat je altijd een tijdje achterloopt, ach, de software van deze fabrikant is toch al niet geschikt voor het open internet, dus moet je die toch met allerlei oplapmiddelen en beschermingsmuurtjes tegen omvallen stutten en weersinvloeden beschutten, of liever nog gewoon helemaal van het open internet afhouden.

Maargoed, ik ben dan ook gewend aan een open source wereld waar ik met mijn eigen buildserver private releases voor mijn servers kan maken die wellicht op de officieele release voorlopen. Daar kan eigenlijk geen enkele closed source aan tippen. Dat laatste betekent wel dat ik meer moet doen dan een keuze maken om deze als "kritiek" aangemerkte patch vandaag of morgen te installeren. Ik moet de probleembeschrijving doorgronden en begrijpen welk onderdeel hoe geraakt wordt door dit of dat onderhavige probleem. Voor mij precies wat ik wil, maar die afweging zal niet voor iedereen hetzelfde uitpakken.

Maargoed, wollige woorden versus helemaal niets vertellen voelt toch wel een beetje aan als lood om oud ijzer.
10-01-2015, 16:24 door Anoniem
Door U-7:
Door Anoniem:
Door U-7:
Als reden geeft Microsoft dat veel grote Is het dan zo moeilijk voor u om even via bovenstaand artikel door te linken?
https://www.security.nl/posting/414396/Microsoft+stopt+met+vooraankondiging+beveiligingsupdates

Voor mij niet, als je dat gedaan hebt zul je namelijk doet zul je lezen:
"Consumenten en organisaties die toch nog informatie willen ontvangen worden doorverwezen naar MyBulletins, een gepersonaliseerde patchdienst waarbij gebruikers over een Microsoft-account moeten beschikken en kunnen aangeven welke Microsoft-software ze gebruiken. Vervolgens kan men een overzicht van beschikbare Security Bulletins bekijken. Het gaat hier echter om informatie die pas verschijnt als de beveiligingsupdates verschijnen. "

Er staat nergens iets dat je er voor zou moeten betalen. Voor de compleetheid van je opmerking je kunt het zelf uit proberen via: http://mybulletins.technet.microsoft.com/

Misschien wel beter om niet van te voren te veel weggeven voor de bad-guys. Als het nog niet aangepast is en je gaat vertellen wat je gaat doenm da geef je ze meteen de voorsprong om nog wat uit te halen.
Voor privé apparaten ben ik er niet echt in geinteresseerd als het maar bij blijft. Voor de professionele omgevingen waar ik mee te maken heb, wil ik het wel weten. Daar is veel meer te doen en in de gaten te houden. Zijn er ook andere maatregelen actief. Dat is het een heel collectief van specialismen. Kan je als eenling niet aan tippen.
11-01-2015, 12:32 door Anoniem
Zo heeft de NSA ook weer een weekje extra om hun gangetje te gaan met die beveiligingslekken.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.