Microsoft: ontwikkeling beveiligingsupdates balans tussen kwaliteit en snelheid
Het ontwikkelen van beveiligingsupdates is een delicate balans tussen kwaliteit en snelheid, waarbij de verstoring voor klanten moet worden beperkt en de bescherming gemaximaliseerd, zo stelt Microsoft. De softwaregigant kwam de afgelopen jaren geregeld onder vuur te liggen over de kwaliteit van uitgebrachte beveiligingsupdates en de snelheid waarmee het actief aangevallen zerodaylekken verhelpt.
Volgens Aanchal Gupta van het Microsoft Security Response Center is elke kwetsbaarheid verschillend en neemt zijn eigen uitdagingen mee die moeten worden opgelost. "Er zijn veel factoren die de tijd tussen de ontdekking van een kwetsbaarheid en het uitbrengen van een beveiligingsupdate beïnvloeden." Gupta stelt dat Microsoft rekening moet houden met de impact op de omgevingen van klanten wanneer een update verschijnt. Omgevingen die vaak verschillen en uit verschillende producten en diensten bestaan.
Wanneer een update bijna gereed is deelt Microsoft die met externe partners en voert het eigen tests uit om ervoor te zorgen dat de patch geen onbedoelde gevolgen heeft. "De fix moet aan de noodzakelijke kwaliteitsstandaarden voldoen voordat die wordt uitgebracht", gaat Gupta verder. Pas na de kwaliteitscontrole zal een update via de maandelijkse Patch Tuesday of als noodpatch worden aangeboden.
Verder merkt Gupta op dat bij de meeste aanvallen geen zerodaylekken worden gebruikt en ook bij zeroday-aanvallen het nog steeds voor kan komen dat een doelwit een link of bijlage eerst moet openen. Ook koppelen aanvallers soms zowel bekende als onbekende kwetsbaarheden bij hun aanvallen aan elkaar. "Je infrastructuur en beveiligingssystemen zijn net een 'immuunsysteem'. Zelfs wanneer er geen update voor een gemeld zerodaylek beschikbaar is, kan het up-to-date houden van je systemen het gehele systeem versterken", besluit Gupta.
Vorige week adviseerde de Amerikaanse overheid aan federale instanties om een beveiligingsupdate voor een spoofinglek in Windows wegens problemen tijdelijk niet te installeren op servers die als domeincontroller fungeren.
Als je dat echt vindt snap je niets van software-ontwikkeling.
Als je dat echt vindt snap je niets van software-ontwikkeling.
Daarnaast is het gesloten software. Partijen kunnen dus niet parallel mee ontwikkelen en/of testen zoals in de opensource wereld gebruikelijk is. Er is een reden dat je code te verbergen hebt. Van insiders hoor je dat de kwaliteit bar en boos is. Je kan de gelekte code zelf controleren. Ik heb al geconstateerd dat MS ontwikkelaars broertje dood hebben aan asserts op nullpointers . Vandaar die hangende software zonder debug info. Als je geluk heb krijg je een segmentation violation (naast een array schrijven om een buffer overflow te creëren voor ransomware.
Als je dat echt vindt snap je niets van software-ontwikkeling.
Daarnaast is het gesloten software. Partijen kunnen dus niet parallel mee ontwikkelen en/of testen zoals in de opensource wereld gebruikelijk is. Er is een reden dat je code te verbergen hebt. Van insiders hoor je dat de kwaliteit bar en boos is. Je kan de gelekte code zelf controleren. Ik heb al geconstateerd dat MS ontwikkelaars broertje dood hebben aan asserts op nullpointers . Vandaar die hangende software zonder debug info. Als je geluk heb krijg je een segmentation violation (naast een array schrijven om een buffer overflow te creëren voor ransomware.
Hoeveel software ken jij dat bug-vrij is?
Als je meer dan 1 zegt is het een leugen.
Als je dat echt vindt snap je niets van software-ontwikkeling.
ha ha ha
"De softwaregigant kwam de afgelopen jaren geregeld onder vuur te liggen over de kwaliteit van uitgebrachte beveiligingsupdates en de snelheid waarmee het actief aangevallen zerodaylekken verhelpt."
ik lees dat als te laat en too sloppy => MS heeft het process niet onder controle!
kan het niet anders volgens jouw? is dat wat je nu gaat denken? omdat het MS niet lukt, kan iets niet?
zelfs een goedlopend project kan door management kapot gemaakt worden moet je maar denken!
ha ha ha
Als jij ook software voor meer dan 1 miljard systemen hebt gemaakt onderhouden mag je weer meepraten.
errors naar de serieuze ontwerpproblemen, de zaken die (vaak jaren geleden) zo ontworpen zijn dat ze niet helemaal
veilig zijn en die je niet kunt fixen met een array bounds check of een pointer controle, maar die daadwerkelijke aanpassingen
van het ontwerp vereisen en daarmee (al dan niet voorziene) side-effects hebben in nu werkende installaties.
Als jij ook software voor meer dan 1 miljard systemen hebt gemaakt onderhouden mag je weer meepraten.
Als jij ook software voor meer dan 1 miljard systemen hebt gemaakt onderhouden mag je weer meepraten.
dit is een nutteloos argument want precies hetzelfde kun je ook omgekeerd stellen;
pas als je zelf voor meer dan 1 miljard systemen hebt gemaakt onderhouden mag je stellen dat het geen kwaliteit issue is!
ook kan ik je voorbeelden benoemen die demonstreren dat het wel kan en ook op die schaal, enige snelheid maar vooral kwaliteit in updates en patches...
anyway; kritischer denken en niet alles voor zoete koek meteen aannemen van een bedrijf waar ecconomische belangen prevaleren?
errors naar de serieuze ontwerpproblemen, de zaken die (vaak jaren geleden) zo ontworpen zijn dat ze niet helemaal
veilig zijn en die je niet kunt fixen met een array bounds check of een pointer controle, maar die daadwerkelijke aanpassingen
van het ontwerp vereisen en daarmee (al dan niet voorziene) side-effects hebben in nu werkende installaties.
Als je dat echt vindt snap je niets van software-ontwikkeling.
Daarnaast is het gesloten software. Partijen kunnen dus niet parallel mee ontwikkelen en/of testen zoals in de opensource wereld gebruikelijk is. Er is een reden dat je code te verbergen hebt. Van insiders hoor je dat de kwaliteit bar en boos is. Je kan de gelekte code zelf controleren. Ik heb al geconstateerd dat MS ontwikkelaars broertje dood hebben aan asserts op nullpointers . Vandaar die hangende software zonder debug info. Als je geluk heb krijg je een segmentation violation (naast een array schrijven om een buffer overflow te creëren voor ransomware.
Die mindset ontbreekt niet. Het probleem is ruim 30 jaar aan Win32 legacy. UWP is met security first opgezet, wat de nodige beperkingen met zich meebrengt en praktisch elke applicatie praat nog tegen de Win32 API aan.
Win32 is lastig veilig te houden zonder stapels software (en games) onbruikbaar te maken.
De cijfers zijn al wat ouder, maar Microsoft staat vrij eenzaam bovenaan de ranglijst van bugs per 1000 regels code. Alleen de NASA staat (stond?) hoger.
Ongefundeerde gebash op MS ook steeds.
joh we willen gewoon vlug fatsoenlijke updates die werken en niet iets stuk maken. MS lukt dat veel mider goed dan andere partijen en dat stellen ze zelfs ook in het stukje:
"De softwaregigant kwam de afgelopen jaren geregeld onder vuur te liggen over de kwaliteit van uitgebrachte beveiligingsupdates en de snelheid waarmee het actief aangevallen zerodaylekken verhelpt."
wat helemaal genant is is:
"Vorige week adviseerde de Amerikaanse overheid aan federale instanties om een beveiligingsupdate voor een spoofinglek in Windows wegens problemen tijdelijk niet te installeren op servers die als domeincontroller fungeren."
zo veel domain controlers zijn er eigenlijk niet laat staan dat daar een hele grote verscheidenheid aan hardware gebruikt wordt aangezien dit vaak server grade HW is danwel een VM ergens in een of andere klout.
... en daarom is het een zwaktebod en heeft dat niets ansich met ongefundeerd MS bashed oid te maken ...
maareh, op je tenen getrapt? zenuwtje geraakt?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
