Gates verkondigt blijde security boodschap
Bill Gates is sinds tijden weer eens in Australie en heeft nog geen moment onbenut gelaten om zijn visie over security te verspreiden. Zo liet de voorzitter van Microsoft gisteren tijdens een nieuwsconferentie weten dat systemen veiliger moeten worden en net zo betrouwbaar moeten zijn als de fysieke infrastructuur, zoals het electriciteitsnetwerk en de watervoorziening. De oplossing van het probleem is volgens Gates het isoleren van mensen die kwaadaardige code proberen te versturen. Gates wil ook het aantal security updates terugbrengen. Mocht er een update nodig zijn, dan moet deze ook sneller beschikbaar gemaakt worden. "Het kost meestal 90 tot 100 dagen voordat er een update voor een niet-Windows platform beschikbaar is. Wij kunnen het binnen 48 uur doen," zo laat hij in dit artikel weten.
Zo iets durven zeggen op het moment dat iedereen al 2 weken op een patch
voor een kritiek lek in internet explorer zit te wachten wat volop misbruikt
wordt...
eigen bedrijf Microsoft te weten.
Haha,
Zo iets durven zeggen op het moment dat iedereen al 2 weken
op een patch
voor een kritiek lek in internet explorer zit te wachten wat
volop misbruikt
wordt...
voor een niet-Windows platform beschikbaar is....,"
Lees ik met mijn slaapkop nou gewoon fout of staat hier bs?
voor een niet-Windows platform beschikbaar is....,"
Slaat nergens op natuurlijk... Afhankelijk van hoe erg het
lek is, wordt bij Open Source software de patch meestal
binnen een week uitgebracht, vaak zelfs nog dezelfde dag.
Bij Microsoft is het meestal enkele maanden later.
steeds niet trager dan het gemiddelde bij windows. En laten
we dan maar niet beginnen over de problemen die veroorzaakt
worden tijdens de installatie van eeen windows patch.
Service pack 2 van XP gaat het nog maar eens bewijzen.
Microsoft nog niet nemen. Een paar dagen geleden bleek een
grote security bug uit 1997 nog in soortgelijke vorm in
Internet Explorer te zitten waarbij iemand vanaf een
willekeurige webserver je inlog gegevens kan bemachtigen.
http://securityfocus.com/archive/1/367003/2004-06-21/2004-06-27/0
lijkt een aantal lekken in IE te dichten die er al ruim 200
dagen in zitten :-)
Zie de eeye site...
dagen voordat er een update voor een niet-Windows platform
beschikbaar is. Wij kunnen het binnen 48 uur doen,"
1) Maar jullie hebben dat 99% van de tijd nog nooit gedaan,
sterker nog, het is al vaker door MS geroepen dat ze het al
klaar hadden maar er weer wat tussen moest komen. Kunnen is
bij MS heel wat anders dan doen.
Je vergeet er ook nog even wat bij te vertellen:
2) het beschikbaar zijn van updates voor niet-windows
platformen is in het algemeen vele male sneller dan 90
dagen. Alleen als je heel selectief kijkt komt MS dan beter
uit de bus.
3) MS rekent tot nu toe standaard de snelheid van het
releasen vanaf het moment dat MS zelf de bug publiekelijk
bekend heeft gemaakt, maar daar gaan gemiddeld nog ruim 150
dagen overheen vanaf de tijd dat die bug al bij MS bekend is.
Dit zijn stuiptrekkingen van een persoon die weet dat hij:
achter de feiten aanloopt
ingehaalt wordt door "concurenten"
bedreigd wordt door info omtrent de kwaliteit van zijn product
zijn product niet meer aan de eisen en gevaren voldoet
alles in het werk stelt zijn product te promoten
een organisatie heeft die te log is om adequaat te reageren
enz enz..
Zal een kijken wat een cursus linux kost :-)
door hackers bekend gemaakt zodra de patch er is. Het lijkt dan heel snel,
maar misschien heeft de hacker de software producent al tijden geleden
gewaarschuwt.
Bovendien als het om OSS gaat, kan de hacker zelf een patch schrijven, maar
deze zal eerst goedgekeurd moeten worden door de software producent.
Voor hetzelfde geld is het namelijk een evil hacker die ergens een
backdoortje in maakt. MAW: de patch kan wel binnen 1 dag uit zijn, maar dat
wil niet zeggen dat t is goedgekeurd.
In principe is het met Microsoft hetzelfde. Zij willen dus vanaf binnenkort
binnen 48 uur een security update uitbrengen voor een security flaw. Dat ze
het kunnen twijfel ik niet aan. Ik bedoel, als er een fout ergens word ontdekt
en gemeld zullen ze de fout vast zo kunnen vinden en oplossen. Het
probleem wat ik ermee heb is dat als je binnen 48 uur de fout wilt oplossen,
dat je dan misschien weinig tijd hebt om de patch te testen op security.
Ik ben benieuwd hoe dit gaat uitpakken.
Ik ben benieuwd hoe dit gaat uitpakken.
Nou geloof er maar niet teveel van wat Gates hier aan mooie
praatjes houd. Als puntje bij paaltje komt geeft hij niet
thuis. Dat bleek al meteen dezelfde dag in een ander
interview dat werd afgenomen. Gates liet weten zich niet te
willen binden aan welke tijd dan ook dat er tussen het
bekend worden van de bug en het releasen van een patch zit.
Het mag dus ook net zo lang duren als hij de concurentie
beschuldigend toewees:
http://www.securityfocus.com/news/9004
Waarom werken jullie eigenlijk nog met Windows?
Hoe kom je er in Hemelsnaam bij dat ik met Windows werkt?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
