image

Ormandy helpt hackers bij aanvallen Windows-gebruikers

woensdag 10 juli 2013, 11:12 door Redactie, 9 reacties

Een beveiligingsonderzoeker en werknemer van Google heeft cybercriminelen weer geholpen bij het aanvallen van Windows-gebruikers. In mei maakte Tavis Ormandy een kwetsbaarheid in de Windows-kernel bekend waardoor aanvallers hun rechten op het systeem konden verhogen. In plaats van Microsoft te waarschuwen publiceerde hij meteen alle details op internet.

"Microsoft behandelt beveiligingsonderzoekers met grote vijandigheid, en is vaak lastig om mee samen te werken", zo liet de onderzoeker op zijn eigen blog weten. Gisterenavond patchte Microsoft het door Ormandy ontdekte lek, maar meldt dat cybercriminelen de informatie van de Google-werknemer bij gerichte aanvallen hebben ingezet.

Geschiedenis
De omvang van het misbruik zou 'beperkt' zijn, maar het geeft wel aan dat de informatie van Ormandy waardevol voor aanvallers was. En het is niet de eerste keer dat de onderzoeker Windows-gebruikers in een kwetsbare positie plaatst.

In 2010 publiceerde Ormandy informatie over een ernstig Windows XP-lek, waarbij Microsoft weer geen tijd kreeg om een update te ontwikkelen. Dat lek werd vervolgens op grote schaal ingezet voor het infecteren van XP-gebruikers met malware.

Reacties (9)
10-07-2013, 11:45 door [Account Verwijderd]
[Verwijderd]
10-07-2013, 11:58 door Anoniem
'Don't be evil' is haar waarde wel verloren inmiddels
10-07-2013, 12:00 door Anoniem
In mijn ogen kun je jezelf geen security onderzoeker noemen als je zo omgaat met de informatie. Zeker niet in zo'n positie bij zulke bedrijven.
10-07-2013, 12:46 door Anoniem
Bij Microsoft proberen ze natuurlijk de lekken zo veel mogelijk open te houden, zodat de NSA even lekker kan snuffelen aan de Windows gebruikers.
10-07-2013, 12:55 door Spiff has left the building
Door NordicTrack:
Een tacticus is hij ook al niet.
Hoe bedoel je dat precies?
Wegens Tavis Ormandy's manier van handelen, of wat anders?
Bedoelde je misschien zijn uitspraak "Note that Microsoft treat vulnerability researchers with great hostility, and are often very difficult to work with."
Daar maak je je inderdaad vast niet geliefder mee bij Microsoft ;-)
Maar wellicht heeft hij wel gelijk.
Ik heb geen ervaring met contacten met Microsoft als beveiligingsonderzoeker, maar mijn eigen contacten met Microsoft waarbij ik in algemeen belang specifieke problemen aangaf laten ook zien dat er zeer moeilijk prettig is te communiceren met Microsoft en dat Microsoft wanneer het erop aankomt een bijna vijandig onverschillig standpunt inneemt. Ormandy's uitspraak kan ik daardoor wel plaatsen. Tactvol was Ormandy's uitspraak wellicht niet, maar soms is het stadium van tact gepasseerd.
10-07-2013, 14:43 door Whacko
Door Spiff:
Door NordicTrack:
Een tacticus is hij ook al niet.

Ik heb geen ervaring met contacten met Microsoft als beveiligingsonderzoeker, maar mijn eigen contacten met Microsoft waarbij ik in algemeen belang specifieke problemen aangaf laten ook zien dat er zeer moeilijk prettig is te communiceren met Microsoft en dat Microsoft wanneer het erop aankomt een bijna vijandig onverschillig standpunt inneemt.

Ik heb ook die ervaring. Maar dat zijn de werknemers die zo met je omgaan. En in mijn ervaring is dat vaak een geoutsourcde indier, die gewoonweg je probleem niet snapt. Dan geeft die je een oplossing die niet werkt, en dan na een aantal keer zonder success aangeven dat dat niet het probleem is, gaan ze je afschepen en vervelend doen.
10-07-2013, 15:04 door Anoniem
Door Whacko: Maar dat zijn de werknemers die zo met je omgaan. En in mijn ervaring is dat vaak een geoutsourcde indier, die gewoonweg je probleem niet snapt. Dan geeft die je een oplossing die niet werkt, en dan na een aantal keer zonder success aangeven dat dat niet het probleem is, gaan ze je afschepen en vervelend doen.
"Het zijn de werknemers" is een onzinargument: Wie neemt er nou de beslissing om voor het te woord staan van iedereen een goedkoop onbenul compleet met taalbarriëre in te huren?

Je kan nog zo hard delegeren, naar andere bedrijven en andere landen, de verantwoordelijkheid hou je zelf. En dus reflecteert het handelen van individuele werknemers wel degelijk op de uiteindelijke opdrachtgever. Die moet daar dan inderdaad op afgerekend worden, want het is hún taak hun deleganten in het gareel te houden.
10-07-2013, 15:05 door Anoniem
Zullen ze blij mee zijn daar bij OMH. Zijn toch ook hackurs, of lees ik dat nou verkeerd hier op securitypuntenel?
10-07-2013, 15:56 door Spiff has left the building
Door Whacko:
Maar dat zijn de werknemers die zo met je omgaan. En in mijn ervaring is dat vaak een geoutsourcde indier, die gewoonweg je probleem niet snapt. Dan geeft die je een oplossing die niet werkt, en dan na een aantal keer zonder success aangeven dat dat niet het probleem is, gaan ze je afschepen en vervelend doen.
Ik weet het niet.
De opstelling van Microsoft lijkt veel structureler te zijn dan dat.
Zelf ben ik al geruime tijd bezig een probleem bij Microsoft onder de aandacht te krijgen. Vorig jaar al, en sinds juni dit jaar opnieuw, zie onder meer mijn eerdere bijdragen hier:
https://www.security.nl/artikel/46519/1/Top_10_van_minst_gepatchte_programma%27s_in_Nederland.html
Vorige week heb ik het uiteindelijk bij Microsoft Security Response Center (MSRC) neergelegd.
De laatste reactie, van gisteren, daaruit valt te concluderen dat Microsoft niets aan het probleem gaat doen.
Ik heb nog gevraagd "Please correct me if I'm wrong."
Ik wacht af tot vanavond, en dan zal ik naar verwachting een stuk moeten gaan posten om een en ander breed onder de aandacht te gaan brengen, ik heb dat ook aan Microsoft aangekondigd.
Wordt vervolgd, waarschijnlijk.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.