Microsoft: IE SP2 download lek is social engineering
Microsoft heeft bekend gemaakt dat het "gepaste actie" zal ondernemen om een probleem in Internet Explorer en Windows XP Service Pack 2 te verhelpen waardoor een kwaadaardige website de waarschuwing van de browser, over mogelijke kwaadaardige downloads, kan omzeilen. Het probleem werd op 15 november door Finjan aan Microsoft bekend gemaakt, maar toen reageerrde de softwaregigant met de uitspraak dat de securtiy advisory "misleidend en mogelijk onjuist" zou zijn. De Franse website K-otik heeft maandag echter exploit code gepubliceerd dat van het lek misbruik maakt. Microsoft is nog steeds van mening dat de claim misleidend is, omdat er "behoorlijke interactie van de gebruiker vereist is voordat de kwaadaardige code wordt uitgevoerd". Toch heeft Microsoft het probleem in onderzoek en zal indien nodig haar gebruikers waarschuwen. Volgens de woordvoerder van Microsoft betreft het hier namelijk geen security lek maar meer het slim gebruik van social engineering, maar daar zijn security experts het niet mee eens.
"Most commercial releases of software today wouldn't have made it out of
beta 20 years ago," he added.
True....... Niet dat ik kan meepraten over die good ol' days, maar toen
hadden ze minder moeite met het gegeven "time to market".
Terwijl "time to market" een onzin verhaal is voor managers. Als je als
tweede een product op de markt brengt, maar wel veel beter en vooral veel
veiliger dan win je zo je misgelopen marktaandeel terug.
Ook die investering zou daarmee beter gepland moeten worden, dat je niet
gebonden bent aan de markt, maar aan je product en daarmee de wens
vanuit de klant. Die wil een veilig en goed werkend product.
MicroSuf is deels verantwoordelijk voor virussen, dat geven ze zelf toe.
Andere exploits zijn er (geweest) die te wijten zijn aan het niet luisteren
naar goedbedoelende mensen, techneuten.
Echter willen ze in Redmond niet altijd maar toe moeten geven, dat is
moedwillig negeren van feiten over hun product. Ok, IE is een gratis
product waarvan de ontwikkeling is gestagneerd. Maar je ziet overduidelijk
dat ze zelf ook weinig actief onderzoek doen naar lekken. En dan maar de
boot afhouden van mensen die wel actief op zoek gaan.
Als er geen lek is, wat zijn ze nu dan aan het fixen. De aanpak van een
probleem ligt allereerst bij de "ontkenningsfase", dat weten we nu wel. Dan
komt de erkenningsfase en daarna een stappenplan om het op te lossen
(in MicroSuf taal heet dat "verbeteren" in plaats van oplossen).
Maar ze slaan de erkenningsfase over en gaan het toch proberen op te
lossen. Ik kan echt geen touw vastknopen aan die hele MicroSuf.
Ik ben geen guru wat marketing of wat PR betreft, maar ik ben wel een
consument (geen klant van MicroSuf). Ik moet toch affiniteit hebben met de
producenten van de producten die ik gebruik?
- Unomi -
zich heel diep schamen voor het prutswerk dat ze telkens weer leveren.
<iframe src='v.exe?.htm' .... can confuse the IE monster,
whereas specifying <iframe src='v.exe' .... is handled
correctly - wow!
validation bij MS?
Er rest de programmeurs bij Microsoft volgens mij maar een
ding. Ze moeten zich heel diep schamen voor het prutswerk
dat ze telkens weer leveren.
De gaten in de software zijn gedeeltelijk te weiten
aan programmeurs. In feite zijn zij degene die de
bugs implementeren, niet?
Maar tegelijkertijd komt er vanaf de sales afdeling
een zodanige druk die het lastig maakt elk kleine dingetje
op te lossen, mede omdat het sales-team telkens meer
functionaliteit wil en de programmeur niet afdoende tijd
heeft om code te auditten, etc.. (Al te meer reden om te
kiezen voor een Open Source model waar iedereen profijt van
heeft.)
Ik ben zelf programmeur en weet, helaas uit ervaring, hoe
het er soms toe kan gaan bij een bedrijf dat meer ge-ent is
op winst, dan om een reputatie van goede software bouwers.
Helaas denken mensen op management niveau dat programmeren
heel makkelijk is en men zo mensen van de straat kan plukken
die hun ideeen 'effe' implementeren. Maar ik weid af....
Uiteindelijk is het natuurlijk wel Microsoft's
verantwoordelijkheid wat er op de eindgebruiker zijn PC
allemaal verkeerd gaat, dat staat buiten kijf.
Feit is gewoon dat commerciele bedrijven hier makkelijker
over denken (eventuele problemen bij de eindgebruiker zijn
toch gedekt in de End-User License Agreement), dus men
*hoeft* zich er ook niet zo mee bezig te houden. Wat er dan
gebeurd is het spelletje dat je nu constant ziet: Iemand
geeft een bug aan, Microsoft 'downplayed' het, en 2 dagen
later is de grootste, gevaarlijkste worm uitgebroken die van
de problemen gebruik maakt.... (Heej, wat is het ergste dat
er kan gebeuren: enkele miljoenen euro's aan boetes... De
distributie heeft Microsoft middels OEM contracten allemaal
gewaardborgd. Vergeleken met wat ze al aan boetes en
smartegeld betaald hebben zal de boete altijd een schijntje
zijn.)
Maar het punt dat ik wilde maken is dat de programmeurs dit
niet 100% aan te schrijven valt.... Meestal wordt al het
onmogelijke van ze verwacht, en zien ze het echt niet zitten
die mogelijk kritieke bugs in hun eigen tijd op te lossen....
Er is eindelijk weer eens een beetje keus vandaag de dag, zoveel
producenten die ineens linux ook omarmen.
Toch blijf ik naar beide platformen kritisch kijken, en blijf ik beide
gebruiken. Het ene OS is sterk hierin het andere daarin, simpelzat.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?