Microsoft probeert veiligheidsgevoel te vergroten

MoboMaker stuurde ons een artikel van C|Net waarin staat dat Microsoft afgelopen dinsdag contact heeft opgenomen met ongeveer 1000 van haar grootste klanten om het Strategic Technology Protection Program aan te kondigen. Als reactie op adviezen van experts om geen Microsoft webservers meer te gebruiken, zal het bedrijf een aantal korte- en langetermijns projecten opstarten om nietsontziende virussen en hackers een halt toe te roepen. Het gevoel van veiligheid moet terug komen, omdat anders .NET nooit kan slagen, zo roepen analisten bij Gartner. Microsoft wil beveiliging makkelijker maken door patches centraal aan te bieden en gratis support te geven op beveiliging. Regionale vestigingen van het bedrijf zullen bedrijven helpen met het dichttimmeren van hun netwerken, bovendien zullen maandelijks CD's verspreid worden de laatste patches. Voor zowel Windows 2000 SP3 en IIS 6 heeft veiligheid speciale aandacht, zo zal de default installatie potdicht zitten:

Pescatore likened Microsoft's approach to running a bungee-jumping concession. "You probably ought to make the rubber band a little short," he said. "What Microsoft has always done in the past is give a really big rubber band and say, 'Oops, we heard a splat. Here's how you can shorten the rubber band.'"

But Valentine turned the issue around to companies' approach to security and the soundness of their existing security policies. "It isn't that they don't want to be secure; they just don't have the right policies in place," he said.

Companies have three choices in evaluating what to do with IIS, Pescatore said: Live with the situation and "continually clean up after these attacks," improve security processes by in part keeping up with IIS patches, or move to something else.

Lees meer

Reacties (54)

teddybear 4 oktober 2001 23:00

Ach, zolang er nog gebruikers en webmasters zijn die niet weten wat ze doen,zal MicroShit haar produkten nog lang kunnen slijten.....
Het ultieme veiligheidsgevoel krijg je pas als je weet dat je zelf alles goed in orde hebt gemaakt.

Verwijderd @teddybear • 5 oktober 2001 08:56

Het ultieme veiligheidsgevoel krijg je pas als je weet dat je zelf alles goed in orde hebt gemaakt.

Het is ook een poging om alle middelen beschikbaar te stellen aan sysadmins om inderdaad een veilige omgeving te creeeren. Het is niet zo dat MS bij jou komt kijken of alles OK is. Het blijft de verantwoordelijkheid van de sysadmin.

Het zou inderdaad wel handig zijn als alle sysadmins inderdaad op de hoogte zijn/blijven van alle patches/updates en fixes, maar daar moeten ze zelf ook moeite voot doen.

www.securityfocus.com wil nog wel eens waardevolle informatie bieden.

RetepV @Verwijderd • 5 oktober 2001 13:03

Het is ook een poging om alle middelen beschikbaar te stellen aan sysadmins om inderdaad een veilige omgeving te creeeren. Het is niet zo dat MS bij jou komt kijken of alles OK is. Het blijft de verantwoordelijkheid van de sysadmin.

Ik ben software engineer, en ik weet dat je veiligheid vanaf het begin in het ontwerp van je software mee moet nemen. Als je dat niet doet dan krijg je dingen dat als je aan de ene kant een gat patched, er aan de andere kant automatisch een gat bij komt.

Van een OS waar ik (veel) geld voor moet betalen (W2K) verwacht ik dat de ontwikkelaars van het begin af aan met beveiliging rekening houden.

Laat Microsoft maar eens een gedeelte van die miljarden dollars die ze hebben verdiend gebruiken om eens ECHT iets goeds te doen, iets waar de gebruiker wat aan heeft, niet de software-industrie in het algemeen en Microsoft in het byzonder.

Als consument voel ik mij niet echt serieus genomen door Microsoft. Ik betaal handen vol geld voor een OS dat niet veiliger is dan een OS dat gratis is (en minstens net zo goed werkt).

edit:
Tiepvaudjus

Verwijderd @teddybear • 5 oktober 2001 00:48

Het probleem is juist dat veel mensen die Microsoft gebruiken niet weten waar ze mee bezig zijn. Als je alleen setup hoeft te runnen en je duwt op next next next en alles werkt gewoon, helemaal prachtig toch. Waarom zou je dan die moeilijke NIX systemen gebruiken waar je alles moet snappen enzo. Maar ondertussen staat wel alles open.

Ik ben tot mijn verbazing al vaak tegen gekomen dat de SQL admin account nog steeds op sa staat zonder password (de standaard instelling). En als je er dan iets van zegt dan hebben de sysadmins 'geen tijd' om het te veranderen. Liever lui dan moe gewoon dus...

Ik vind het eigenlijk gewoon zielig dat Microsoft wordt afgezeken omdat hun meegeleverde standaard instellingen niet secure zijn. Dat is werk voor sysadmins, daar krijgen ze voor betaald, en ze gooien er gewoon met de pet naar. Het is te kinderachtig voor woorden dat de standaard setup nu het gebrek aan kennis, verantwoordelijkheidsgevoel en discipline in deze sector moet corrigeren!

Verwijderd @Verwijderd • 5 oktober 2001 09:41

Ik vind het eigenlijk gewoon zielig dat Microsoft wordt afgezeken omdat hun meegeleverde standaard instellingen niet secure zijn. Dat is werk voor sysadmins, daar krijgen ze voor betaald, en ze gooien er gewoon met de pet naar.

Het is een gedeelde verantwoordelijkheid zou ik zeggen. Als ik een auto koop dan verwacht ik ook dat'ie al vanuit de fabriek veilig wordt geleverd. Eventueel kan dan de garage extra beveiligingen (zoals alarminstallatie) en accesoires aanbrengen. En als bekend is dat de ventieldopjes onveilig zijn verwacht ik ook dat die vervangen worden. Echter, ik verwacht niet dat elke garage meteen een algehele veiligheidskeuring op elk onderdeel gaat uitvoeren. Natuurlijk ligt er een grote verantwoordelijkheid bij de sysadmins om een veilig systeem neer te zetten en een hoop van die mensen blijken erg laks te zijn (gelukkig ken ik ook heel veel goede sysadmins dus geen flaims graag), maar van goede software ontwikkelaars mag je verwachten dat ze de default opties wel op de veilige stand zetten. Je gaat er namelijk van uit dat het wijzigen van default opties door mensen met ervaring en kennis van zaken wordt gedaan, het klikken zonder kennis van zaken (dus de default waarden nemen) moet dus fail-safe of anders gezegd idiot-proof zijn. Blijkbaar is M$ niet in staat om dit in te zien, waardoor je na een default installatie dus geen veilige situatie hebt gecreerd. En dat vindt ik erg vreemd, omdat M$ het principe aanhangt dat zelfs de grootste idioot in staat moet zijn om hun producten te installeren. Dus ze gaan er al vanuit dat veel mensen gewoon de onveilig default waarden overnemen.

Bezulba @Verwijderd • 5 oktober 2001 12:27

Om even door te gaan op het auto verhaal, kan jij de autofabrikant de schuld geven als jouw auto gejat is omdat het deurvergrendelknopje openstond toen die de fabriek uit kwam rollen? Nee, je had gewoon zelf je auto op slot moeten doen

RetepV @Verwijderd • 5 oktober 2001 13:07

Natuurlijk ligt er een grote verantwoordelijkheid bij de sysadmins om een veilig systeem neer te zetten en een hoop van die mensen blijken erg laks te zijn

Microsoft market zijn software toch als gebruiksvriendelijk? Ik versta onder gebruiksvriendelijk dat ik niet hoef te weten hoe e.e.a. werkt, en dat ik na installatie niet nog allerlei instellingen moet doen waar ik niets van snap.

Zo gebruiksvriendelijk is het allemaal niet, dus.

Gebruiksvriendelijkheid houdt niet op bij een grafische shell met icons en een Start menu.

memphis @Verwijderd • 5 oktober 2001 13:13

Ik noem dit geen vergelijking. Tuurlijk ben je als Admin verantwoordelijk voor het dichttimmeren van je server (in dit voorbeeld je deuren) maar verborgen achterdeurtjes en veiligheidslekken zijn dingen waar moeilijk iets tegen te doen is als een M$ ook zin updates niet goed voor elkaar heeft.

Verwijderd @Verwijderd • 5 oktober 2001 16:40

kan jij de autofabrikant de schuld geven als jouw auto gejat is omdat het deurvergrendelknopje openstond toen die de fabriek uit kwam rollen

Nee dat kan je niet, maar als ik via de centrale deurvergrendeling de auto op slot zet verwacht ik wel dat ALLE sloten dicht zijn en niet dat het portier rechtsachter open blijft.

Verwijderd @Verwijderd • 5 oktober 2001 13:08

Ik ben het met je eens dat het ook de verantwoordelijkheid van de sysadmin is om voor een secure systeem te zorgen.

Het grootste probleem is echter dan Microsoft heel veel software voor de consumenten markt levert -- office, meeste windows versies etc. Ik vind persoonlijk dat je een consument NIET de verantwoordelijkheid voor een veilig systeem moet opdringen: die moeten er gewoon vanuit kunnen gaan dat hun (dure) Windows veilig genoeg is voor normaal gebruik.

Dit is analoog aan wat je bijvoorbeeld in het contract-recht vind: voor kleinere bedrijfjes en consument geldt dat ze (automatisch) beschermd zijn tegen "grijze" bepalingen. Voor bedrijven met meer dan X mensen, geldt deze bescherming niet automatisch (er wordt geacht een specialist aanwezig te zijn).

RetepV @teddybear • 5 oktober 2001 12:08

Ach, zolang er nog gebruikers en webmasters zijn die niet weten wat ze doen,zal MicroShit haar produkten nog lang kunnen slijten.....

Zo lang Microsoft niet zelf iets aan veiligheid doet zullen webmasters en systeembeheerders altijd achter de feiten aan lopen.

Wat heb je er aan om een OS te kopen van een commercieel bedrijf als dat bedrijf de veiligheid van zijn software op dezelfde manier regelt als een Open Source bedrijf, door te wachten totdat iemand een keer een gaatje vind en dan achteraf met patches op komen draven??!?!!?!?

Dat is de grote vraag dus. En daarom is Linux meer waar voor je geld dan Windows. Linux is misschien net zo onveilig als Windows, maar je hebt tenminste niet het gevoel dat je genaaid bent als je server weer eens gehacked is.

Ik heb het al vaak meegemaakt, op Windows EN op Linux, hoewel ik moet zeggen dat de gevolgen van de hacks onder Windows altijd veel ernstiger waren.

Frostie 4 oktober 2001 19:29

Blijkbaar begint ook Microsoft zich bewust te worden van het feit dat voor veel klanten veiligheid erg belangrijk is. De ideeëen die ze opperen vind ik toch allemaal vrij goed alleen moet in de praktijk nog wel blijken of ze dit allemaal waar kunnen maken.

freaky @Frostie • 5 oktober 2001 10:04

Toch wel triest dat ze daar nou pas mee komen. Nadat de kleinere groeperingen al jaren riepen dat je beter geen IIS kon draaien deden ze niks en omdat een gartner groep het nou zegt weten ze ineens niet meer hoe snel het allemaal wel niet geregeld moet worden. Waarschijnlijk zal deze mentaliteit die ze altijd al gehad hebben wel nooit verdwijnen...........

Standeman @freaky • 16 oktober 2001 08:59

[off-topic]
Tja.. in Nederland worden ook pas stoplichten op een kruising neergezet wanneer er iemand het leven uitgereden is.
Lijkt me vrij normaal menselijk gedrag als je het aan mij vraagt..
[/off-topic]

packman 4 oktober 2001 20:21

Ze zouden beter iets aan de veiligheid doen ipv aan het veiligheidsgevoel

catfish @packman • 4 oktober 2001 21:43

ik denk als ze de veiligeheid verbeteren, dat dat gevoel er automatisch komt...

ATS @catfish • 5 oktober 2001 09:27

Maar waarschijnlijkt lukt het door een goede marketing ook wel....

Verwijderd @packman • 5 oktober 2001 02:05

Straks krijgen we misschien ook nog een patch voor Windings

Nazgul 5 oktober 2001 08:01

Ach..... Ik kreeg net weer een MS-Security bulletin binnen.

Hebben ze een framewerk in alle office applicaties gemaakt, dat het onmogelijk moet maken dat macro(virussen) automatisch opgestart worden, dus dat de gebruiker eerst zelf moet aangeven dat de macros gestart mogen worden, proggen ze daar een mooie bug in om het te omzeilen.

Zolang ze dit soort dingen doen, blijft het gevoel van onveiligheid bij mij bestaan.

[Opmerking]Dit is niet bedoeld als flame, maar een weergave van een persoonlijke mening[/Opmerking]

Mart! 5 oktober 2001 08:29

Beveiliging is in eerste instantie een taak van sysadmins. Het wordt alleen lastiger dit te doen als een software-leverancier zijn software standaard open zet voor aanvallen. Maar een goede sysadmin weet precies wat er op zijn NT/2000 doos draait en hoort te draaien. En wat hoort te draaien, hoort HIJ juist te configureren. We zijn nou allemaal wel aan het afgeven op MS, maar ik ben alleen maar blij dat ze het nu zeer serieus aanpakken en hun policy van 'wide open' naar 'locked down' hebben gewijzigd.
Trouwens, de MS Helpdesk zal het wel druk krijgen straks, als (bijna) alles potdicht zit; Er zullen ook een flink aantal applicaties/sites 'ineens' niet meer werken...

RetepV @Mart! • 5 oktober 2001 12:12

Microsoft WIL dat sysadmins niets anders doen dan install.exe opstarten en next->next->next hoeven te klikken.

ALS ze dat dan zo graag willen, zorg er dan ook voor dat alles standaard dicht staat.

Het is ueberhaupt altijd al veiliger om alles dicht te installeren en het dan met de hand open te zetten. Bij Microsoft software is dat precies andersom.

Microsoft heeft de afgelopen paar jaar weinig aan veiligheid gedaan, dat is niet een mening, dat is een feit die ook door de industrie wordt onderkend.

En nu onderkent Microsoft het blijkbaar eindelijk ook. Zoals gewoonlijk te laat, maar ach. We weten allemaal dat Microsoft niet innoveert maar inkoopt.

Verwijderd @RetepV • 6 oktober 2001 19:10

Je bedoelt dat ze weeral de Unix/Linux wereld moeten gaan naboodsen....

Bert 4 oktober 2001 19:38

quote:
Voor zowel Windows 2000 SP3 en IIS 6 heeft veiligheid speciale aandacht, zo zal de default installatie potdicht zitten:

Niet bedoeld om te flamen maar dat had natuurlijk al veel eerder gedaan moeten zijn. Wanneer gekeken wordt naar Unix/linux die bekend staan om veiligheid die hebben dat al lang.

_Arthur @Bert • 4 oktober 2001 21:15

Nee sommige unix distrubities zitten lekker dicht. Het aantal lekken is om het even, 50-50 (windows:unix). En, een goede admin telt voor 10, want als je je zelf admin noemt, timmer dan je webserver doos gewoon goed dicht, haal al die rare extensies weg (zoals .ida e.d.) en dan ben je 85% meer safe dan wanneer je alleen domweg een patch installeerd en niet weet waar je mee bezig bent.

Just my 5 euros

bertje @Bert • 4 oktober 2001 20:47

dat is niet helemaal waar...heb je vorige week tweakers niet bezocht....er zaten meer veiligheidslekken in linux(mandrake ofzow) dan in windows 2000..en omdat aan linux iedereen loopt te programmeren valt het niet zo op..en omdat iedereen altijd op m$ loopt te kankeren wordt het zo opgeblazen

Verwijderd @bertje • 4 oktober 2001 20:57

Die "lekken in linux" hebben nix met linux zelf te maken, het gaat dan ook om software dat door andere ontwikkelaars is geschreven. De laatste security bug in de linux kernel was ergens in de 2.2.x series.
Aangezien het hier om microschoft zelf gaat, gaat die vergelijking dus niet op.

Verwijderd @Verwijderd • 4 oktober 2001 23:37

Ja die kennen wel. Er zitten ook weinig gaten in wat je onder windows als kernel kunt beschouwen. Daar koop je als sitewoner echter weinig voor

Dope-E @bertje • 4 oktober 2001 21:12

Dat ging ook om hoeveel patches beschikbaar waren gekomen... Dat wil dus niet zeggen dat er zoveel lekken zijn (geweest), maar dat er nog meer kunnen zijn waar nog geen oplossing voor gevonden is of nog niet ontdekt is.

balk

@bertje • 4 oktober 2001 22:35

Nee, het ging daar om het aantal gevonden/gefixte gaatjes. Dat is heel wat anders.

Als het ene OS 40 gaatjes heeft en 20 fixes en het andere 80 en 15 fixes zou de 2e dus veiliger zijn

Lees de kritiek op de methode maar eens in de reacties.

edit:
sorry, enigzins heel erg veel te laat....

Verwijderd 4 oktober 2001 19:31

Als het kalf verdronken is, dempt men de put..

PuzzleSolver @Verwijderd • 4 oktober 2001 19:48

Correctie: Probeert men de put van veiligheidshekken te voorzien en hoopt men dat er niemand een andere manier vind om kalven te verdrinken

Verwijderd @Aetje • 5 oktober 2001 09:21

Daar gaat het hier toch niet om, het gaat juist over de overlast die je hebt als anderen een slecht beveiligde server draaien.
Je moet het een beetje vergelijken met het volgende:
Je laat je auto elk jaar APK keuren en de uitstoot van schadelijke gassen en roet is erg laag en dan rij je achter een ander persoon die in een kar zit die de meest walgelijke dampen uitbraakt. Daar sta je dan met je goed afgestelde auto.

Maar ja, helaas leven we steeds meer in een maatschappij waar iedereen erg egocentrisch denkt, onder het motto 'wat kan mij het verrotten als een ander last van mij heeft'.

wzzrd @Aetje • 5 oktober 2001 08:38

Niemand zegt dat je IIS moet draaien hoor

4POX 4 oktober 2001 19:37

Was vandaag al te merken op http://windowsupdate.microsoft.com . Op school 12 MB aan fixen gedownload en mijn eigen systeem ook 12 MB en de server 5MB.. En dat terwijl alle machine's vorige week al gecheckt waren

En als je kijkt bij de fixen.. Zijn er bij die al een jaar oud zijn

Verwijderd @4POX • 4 oktober 2001 20:01

Hetzelfde had ik dus vandaag ook, er stonden nieuwe critical updates van een half jaar geleden.

Ik snap niet waarom deze niet eerder worden uitbracht, het geeft toch geen veilig gevoel dat bekende beveiliginsproblemen zolang al bekend zijn, en er niks aan wordt gedaan.

Bovendien, als de patches eerder door iedereen zijn geinstaleerd neemt het risico op virus-uitbraken flink af.

Verwijderd @Verwijderd • 4 oktober 2001 20:19

Je zegt het zelf al: critical updates van een half jaar geleden.

Dat betekend dus dat die een half jaar geleden al zijn uitgekomen. Alleen MS heeft tot op heden zijn belofte niet echt na kunnen komen dat alle updates/patches en fixes via Windows Update te downloaden zijn. Nu er in de cursus boeken van MS staat dat dat wel het geval is, moeten ze daar natuurlijk wat aan gaan doen

Ongeveer een maand geleden is HFNetChk uitgekomen, die controleert al welke patches er aangebracht zijn, en meld welke er ontbreken. Die functionaliteit zit nu ook in Windows Update (eindelijk?) en nu is het dus mogelijk om al die updates via je web-interface te downloaden....

Als je nu loopt te klagen dat die patches/fixes/updates niet eerder beschikbaar waren, geef je er blijkbaar niet zo veel om....

Verwijderd @Verwijderd • 4 oktober 2001 21:22

Ik vind het wel degelijk belangrijk dat ik de laatste security patches heb. Ik ben er eigenlijk altijd vanuit gegaan dat Windows Update de voor mij van toepassing zijnde patches altijd meteen beschikbaar stelt (zoals de meeste mensen zullen doen).

Goed dat hier nu aan gewerkt wordt.

Van het bestaan van dit progje wist ik niet (kunnen ze misschien ook bij Windows Update zetten) dus ik ga m nu meteen ff downloaden om t te controleren.

[edit]
Er zijn toch nog 2 dingen die niet geinstalleerd zijn terwijl ik alles van Windows Update heb geinstalleerd, er zit dus nog niet alles in

Bedankt voor de tip

Verwijderd 4 oktober 2001 19:58

Hmm... De meeste door FXP scene getagde pubs zijn IIS FTP's waarvan de webmaster niet weet dat ze aan staan. Als de default install nu pot dicht zit, zal het in de toekomst daar ook wel mee gedaan zijn

Verwijderd @Verwijderd • 4 oktober 2001 22:37

Eigenlijk zou jij dus MS moeten betalen voor deze indirecte service tot het verlenen van bandbreedte en schijfruimte bij derden

Roland684 5 oktober 2001 03:21

Het vergroot niet echt mijn veiligheids gevoel als Microsoft aankondigd zo veel gaten te vinden dat ze elke maand een cd kunnen vullen met patches.

Verwijderd @Roland684 • 5 oktober 2001 09:46

Precies, alle gaatjes in een vergiet dichtstoppen is niet de oplossing voor het creeren van een veilig gevoel. Een veilig gevoel creeer je door een product te ontwikkelen dat van nature al veilig is, en waar je zo af en toe eens een foutje in vindt, en niet door het blijven patchen van een slecht ontworpen systeem. Het blijft zo dweilen met de kraan open.

Op dit item kan niet meer gereageerd worden.

Microsoft probeert veiligheidsgevoel te vergroten

Lees meer

Reacties (54)

Sorteer op:

Weergave: