Nieuws
image

Bedrijf probeert software lek stiekem te verhelpen

zaterdag 28 augustus 2004, 13:10 door Redactie, 5 reacties

E-mail filterbedrijf Clearswift kwam onlangs met een hotfix voor haar Mailsweeper 4.3.15 programma. Volgens Clearswift zorgt de update er alleen maar voor dat een aantal nieuwe bestandsformaten door de tool ondersteund worden. Verschillende security experts denken echter dat de actie een poging is om stiekem een security lek te dichten, iets dat steeds vaker voorkomt bij bedrijven die hun goede security reputatie willen behouden. Eerdere versies van Mailsweeper zouden namelijk een lek bevatten waardoor het filter bepaalde bijlages niet tegenhield. (IT World)

Reacties (5)
28-08-2004, 14:59 door Anoniem
Waarom is dat stiekum?

Rare stelling en uitspraak, het is eerder zo denk ik
dat het niet openbaar maken veel voorkomt en
prijzenswaardig dat het bedrijf op eigen bevindingen
actie onderneemt dit te verhelpen.

Er zijn legio voorbeelden van bedrijven die
gewoon afwachten tot er problemen komen en
vervolgens maanden wachten met het oplossen..
Bij dit soort gaat de omzet en kostenbewaking voor.
28-08-2004, 15:17 door Anoniem
Alleen is de hacker community vaak al wel op de hoogte van
de lekken en jij dus niet, dat is een slechte zaak. Als er
bij jou ingebroken wordt en je komt erachter dat de
leverancier allang afwist van het lek dan klaag je hem toch
ook aan.
Ook al is er nog geen fix, je wilt het toch weten, je kunt
dan nl. een risico analyse doen en aan de hand daarvan evt.
aanvullende maatregelen nemen (varieren van b.v extra IDS
filters, extra firewall rules of zelfs het product offline
nemen).

Security by obscurity is slecht.
28-08-2004, 16:13 door Anoniem
Hij bedoelt: Cracker Community, terwijl de hacker community
lekken en overige problemen oplossen zodat Crackers er geen
misbruik van kunnen maken.
30-08-2004, 10:43 door Anoniem
Door Anoniem
Waarom is dat stiekum?

Rare stelling en uitspraak, het is eerder zo denk ik
dat het niet openbaar maken veel voorkomt en
prijzenswaardig dat het bedrijf op eigen bevindingen
actie onderneemt dit te verhelpen.

Er zijn legio voorbeelden van bedrijven die
gewoon afwachten tot er problemen komen en
vervolgens maanden wachten met het oplossen..
Bij dit soort gaat de omzet en kostenbewaking voor.

Het werkt heel simpel. Mijn beveiliging is in lagen
opgebouwd. Als er door wat voor reden dan ook 1 laag faalt,
dan heb ik nog voldoende lagen over ter bescherming. Dit
principe heet defence in depth.

Als er een lek in een bepaald product gevonden wordt dan heb
ik de overige lagen nog, als ik weet dat dat lek er in
zit. Als ik weet dat het lek bestaat kan ik de
beveiliging van de andere lagen er op afstemmen dat dat lek
bestaat, ook al is er nog geen fix beschikbaar.

Op deze manier heb ik in het verleden nasties als SQL
Slammer, MS blaster, Code Red en Nimda buiten de deur
gehouden, ook op niet direct te patchen machines.

Dat kan dus alleen als de vendor zijn verantwoordelijkheid
neemt om te melden dat er een bepaald gat bestaat. Het gaat
om informatie uitwisseling. Je mag er van uit gaan dat de
hacker/cracker community een behoorlijk goed geinformeerde
community is... exploits zijn handelswaar, en blijven niet
lang geheim. Door een exploit niet te melden aan beheerders
neemt een vendor een extra risico, namelijk dat risico dat
een beheerer niet weet dat er een exploit is en dus zich
niet kan verdedigen.
30-08-2004, 12:03 door Anoniem
Het is stiekem omdat je als klant niet weet dat er een
security fix in de update zit. Daardoor kun je de urgentie
niet goed inschatten.

Microsoft doet precies hetzelfde. Stiekem een security fix
stoppen bij een gewone hotfix, dus zonder daar melding van
te maken.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure