Microsoft wil publicatie van softwarelekken stopzetten

Security bug slot In de situatie die er op dit moment is, worden in principe alle beveiligingslekken die in computerprogrammatuur gevonden zijn gepubliceerd. Microsoft komt echter met een verhaal waarin aangegeven wordt dat dit zou moeten veranderen. De virusschrijvers zijn uiteraard degenen die de eigenlijke schade veroorzaken, maar hiervoor hebben ze wel wat hulp nodig, aldus het hoofd van Microsoft's Security Response Center. Het hele punt waar het hem om gaat is dat ze deze hulp ook krijgen, en wel van mensen die in precies dezelfde branche als hij werken: de veiligheidsdeskundigen.

Microsoft is dan ook van mening dat er verandering in de huidige toestand moet komen. In tegenstelling van het publiceren van softwarelekken, zouden deze geheim moeten blijven. Aangezien programmatuur van de softwaregigant zelf nog het vaakst medium is voor ongewenste activiteiten, is het echter natuurlijk maar de vraag of Microsoft met de uitspraken niet alleen probeert om het eigen imago wat op te krikken. Overigens is ook lang niet iedereen het eens met Microsoft's verzoek om de afschaf van volledige onthulling van beveiligingsfouten. Andere deskundigen zijn van mening dat openheid van gegevens de veiligheid in de loop van de tijd alleen maar ten goede komt.

Met dank aan Seb voor de tip richting Microsoft, en WebWereld voor extra informatie.

Lees meer

Reacties (124)

124

120

100

Wijzig sortering

Verwijderd 19 oktober 2001 10:15

Hmm...heeft Microsoft gelijk of niet?
Door het openlijk publiceren van softwarelekken geven ze de hackers een kans om op nog inet gepatchde / geupdate systemen van nietsvermoedende thuisgebruikers in te breken. Deze hoeven nu niet meer te zoeken naar deze lekken.
Ware het niet dat als je alles geheim houdt en niets meer publiceert, hackers uiteindelijk toch wel wat vinden (want...hoe komt Microsoft meestal aan de weet dat er een softwarelek is..juist...via de hackers).
Het publiceren van een softwarelek met de bijbehorende patch heeft tot gevolg dat mensen met elkaar er over praten en de kans dat meerdere gebruikers de patch downloaden en uitvoeren.

En...is het niet zo dat wanneer Microsoft een patch released dat we dan al automatisch weten dat er een softwarelek is geweest.

Daarom denk ik dat het een slechte zet is. Red je je imago er mee - misschien, maak je meer gebruikers kwetsbaar - ja zeker!

Niet doen dus.

Verwijderd 19 oktober 2001 10:09

Duh...
Als een consument een M$ produkt koopt heeft deze het recht om te weten dat er een beveiligingslek (dat misschien invloed heeft) erin zit. Door microsoft himself of via een andere bron.

raptorix @Verwijderd • 19 oktober 2001 10:36

Als jou straat onveilig is doordat de woningbouw verkeerde sloten heeft gebruikt ga ik dat in de krant zetten zodat men lekker bij jou kan in breken. Wordt de consument daar beter van? Nee, je kan ook naar de woningbouw stappen en vertellen dat je het verandert wilt hebben, kijk als de woningbouw dan niets wilt ondernemen kun je de publiciteit zoeken.

Unipuma @raptorix • 19 oktober 2001 10:41

Als je straat onveilig is, omdat de woningbouw verkeerde sloten heeft geplaatst, zou ik dat als bewoner toch eigenlijk wel erg graag willen weten.
Want als de woningbouw er niets aan doet, kan ik eventueel zelf maatregelen nemen,
(IE, op een computer instaleer je dan een vuurmuur, virusscanner, of je instaleert een browser of internet server niet omdat daar security holes in zitten)

Verwijderd @Unipuma • 19 oktober 2001 11:53

"Als je straat onveilig is, omdat de woningbouw verkeerde sloten heeft geplaatst, zou ik dat als bewoner toch eigenlijk wel erg graag willen weten"

Jij wel ja! Maar dat ga je dan toch niet aan de rest van de wereld vertellen en dan met name aan criminelen, dan wordt er binnen de kortste keren in alle huizen ingebroken...

Het gaat er om dat ALLEEN vertouwde partijen worden ingelicht: responsible disclosure.

Maar de discussie over full disclosure vs partial of responsible disclosure is al tijden bezig en dat zal nog wel even voortduren. Bijkomend probleempje bijvoorbeeld:
Als je alle gebruikers inlicht, in dit geval huizenbezitters, en een van jouw buurmannen is toevallig in zijn vrije tijd inbreker dan ben je nog nergens. Bovendien denk je dan: ach niemand weet ervan dus het zal wel loslopen.

CARman @Unipuma • 19 oktober 2001 12:51

Jij als bewoner, mag je dus vertalen naar MS gebruiker. Dus dan houd het nog steeds in dat MS aan al zijn ( gelicenseerde ) gebruikers, de beveiligings lekken bekend moet maken.

Iedere MS gebruiker mag dan in mijn ogen best wat ruim worden geïntepreteerd als 'Jan en Alleman' hoor.

Maar goed, ik kan me wel iets bij deze instelling voorstellen. Bij het bekend maken van een security issue, voordat de patch beschikbaar is, krijg je gewoon gedonder. En als dan alle ins- en outs al bekend zijn gemaakt, kan iedereen die een beetje kwaadwillend is schade aanrichten. En dat willen ze dus blijkbaar voorkomen. Zolang het maar niet zo is dat MS lekker nix meer aan security doet, omdat de fouten niet bekend mogen worden gemaakt. Want dat zou wel een kwalijke zaak zijn.

Maar als MS dan maar netjes achter zit soort zaken aan blijft zittten en de patches weer op I-net aanbied is er imo weinig aan de hand.

edit:

typootje

The Reeferman @Unipuma • 19 oktober 2001 13:40

Als je het geheim proberen te houden lekt het toch weer uit. Komt het niet meer in de krant, maar heb je gewoon een site met alle lekken met uitleg en al. Zullen er trouwens al lang zijn. Dus het helpt gewoon geen ene reet, allemaal verspilde moeite

Verwijderd @Unipuma • 19 oktober 2001 14:35

En dan is je buurman inbreker, terwijl de woningbouwvereniging niet zo'n haast maakt met de vervanging van de sloten, omdat toch niemand het weet.

Hackers komen er toch wel achter, het in de publiciteit brengen zorgt er alleen maar voor dat MS min of meer verplicht wordt snel te reageren.

raptorix @Unipuma • 19 oktober 2001 10:45

IDD! Je zegt het zelf, JIJ als bewoner, niet Jan en alleman.

paknaald @Unipuma • 19 oktober 2001 11:20

maar wat dan als de woningbouw standaard je sleutel naar de politie stuurt terwijl dat van de wet niet mag? is dat dan alleen zaak van de bewoner of ook van de publieke opinie?

wat ik gister op t.net las dat M$ gaten in Win houdt voor de amerikaanse justitie lijkt me ook een zaak van de publieke opinie.

* 786562 paknaald

Makkelijk @Unipuma • 19 oktober 2001 18:32

best leuk, maar moet MS ALLE eigenaren van een MS licensie apart bellen voor die beveiligingslek die ze dan kunnen patchen (unicode) en moeten ze dan maar hopen dat niet 1 van die miljoenen mensen het laat uitlekken ?? een straatje van 20 huizen ok, maar een wereld met miljoenen licensies (bijv. WinNT).. NEEJ dat KAN niet.
je kunt het niet geheim houden, en MS moet niet zo zeuren want ze zijn meestal ruim op tijd met een patch, kijk dat sysops dan nie patchen moet MS gewoon zeggen van : "fuck tha sysops het is hun fout dat ze niet patchen"

maar gelukkig heeft WinXP een auto patch functie voor luie ops

Verwijderd @Unipuma • 19 oktober 2001 18:49

Niet helemaal. Het voordeel is dat je de script kiddies een klein beetje weg houdt. Een echte virii schrijver zal het wel te weten komen. Maar het gefrustreerde studentje zal wat meer moeite hebben.

blade181 @Unipuma • 22 oktober 2001 10:23

Nee hoor alle ms gebruikers zijn jan en alleman, want in de loop der jaren zijn alle ms gebruikers domme dildo gebruikers geworden, niet erg hoor maar ze zijn gewoon niets anders gewend en dat is wat m$ wil de mensen dom houden.

TumbleCow @raptorix • 19 oktober 2001 12:50

Deze vergelijking gaat hier niet op.

Op deze manier zorg je er dus voor dat alleen een 'elite' groepje alle beveiligingslekken weet, en aangezien niemand er van op de hoogte is kunnen de mensen DIE ze weten dan ook echt OVERAL inbreken.

Bedrijven moeten gewoon zorgen dat hun software veilig is. Het verbergen van beveiligingslekken verbetered niet de software, hooguit het imago.

Verwijderd @raptorix • 19 oktober 2001 13:05

Als jou straat onveilig is doordat de woningbouw verkeerde sloten heeft gebruikt ga ik dat in de krant zetten zodat men lekker bij jou kan in breken. Wordt de consument daar beter van?

jij hebt liever de situatie dat alle bewoners denken dat ze veilig zijn terwijl de helftt van de criminelen toch wel weet dat de woningen onveilig zijn?

Ik heb liever dat ik het te horen krijg zodat ik maatregelen kan nemen... Security by Obscurity is _geen_ security!

ga er altijd vanuit dat de mensen met verkeerde bedoelingen het toch wel weten! dat is de enige instelling om je systeem echt veilig te houden!

BadRespawn @raptorix • 19 oktober 2001 15:42

en hoe voorkom je dat inbrekers er achter komend dat de sloten slecht zijn? denk je dat die voor dergelijke informatie uitlsuitend afhankelijk zijn van de krant?
MS is hierin naar mijn mening wat naief.

Verwijderd @raptorix • 19 oktober 2001 17:25

Nadelen full disclosure:
- beveilgingsfouten worden sneller ontdekt
- beveilgingsfouten zijn publiek bekend

De redenen dat full disclosure goed is voor de consument:
- beveilingsfouten worden snel ontdekt (2 ledig: 1.ze worden ook sneller gerepareer 2. mensen zullen dit type slot niet zo snel meer gebruiken)
- software producenten worden gestimuleerd meer op hun beveiliging te letten
- de consument let meer op welke software hij zal draaien (hij weet immers welke software veilig is en welke onveilig)
- software producenten kunnnen leren van de gemaakte fouten, er zullen dus minder nieuwe beveiliginsfouten worden gemaakt
- de mensen die de software beheren (admins) worden gestimuleerd om eerder patches te installen of andere maatregelen te nemen (een bepaalde poort blokkeren of een stukje software uninstallen etc).
- veilige producten zullen beter verkopen, dus de algehele veiligheidsstandaard wordt hoger (wie koopt er nog een produkt als het vol zit met beveiliginslekken?)

Om terug te komen op jouw voorbeeld (dat overigens een beetje scheef gaat omdat de situatie op internet heel anders is, een van de voorbeelden: kan elke kwaadwillende inbreker ter wereld jouw slot binnen enkele 100-en milliseconden bereiken?):
- een kwaadwillende inbreker komt toch wel achter de fout in het slot
- de bewoner heeft een vals gevoel van veiligheid
- de woningbouw gaat wegens het ontbreken van slechte publiciteit gewoon door met slechte sloten aanleggen (is goedkoper), met als gevolg dat het aantal makkelijk in te breken huizen exponentieel toeneemt
- de woningbouwvereniging krijgt alleen maar meer klanten, omdat deze een (vals) gevoel van veiligheid krijgen bij deze vereniging, met als gevolg dat NOG meer mensen het foute slot gaan gebruiken
- andere woningbouwverenigingen zullen kijken naar het model van het slot en zeggen "hmm hier zijn geen problemen mee, deze gebruik ik ook!" met als gevolg dat ook deze woningbouwverenegingen onveilig worden
- de sloten fabrikant krijgt geen (of niet afdoende)klachten over zijn slot, de fout blijft aanwezig, ook in tgoekomstige slot-modellen

Conclusie: het aantal mensen dat in slecht beveiligde huizen leeft, met een vals gevoel van veiligheid, neemt toe. De algemene beveiliginsstandaard neemt af. De consument is de dupe, de woningbouwvereniging en de slotenmaker profiteren.

Verwijderd @raptorix • 19 oktober 2001 16:57

Verhuizen?

Maar ff weer on-topic.Ik ben het wel eens met Sjors. Je moet niet direct overal bordjes op gaan hangen met de tekst "onze sloten zijn slecht" of "de sleutel verstoppen wij altijd onder onze deurmat", want dat leid ertoe dat mensen idd die fouten gebruiken. Door het nog even "geheim" te houden en een patch te maken kun je dit soort hele vroege aanvallen vaak afweren.

Pietervs @raptorix • 19 oktober 2001 17:37

Als jou straat onveilig is doordat de woningbouw verkeerde sloten heeft gebruikt ga ik dat in de krant zetten zodat men lekker bij jou kan in breken.
Slechte vergelijking: virussen "scannen" ranges met IP adressen om te zien of er een deurtje openstaat. Inbrekers gaan niet van huis naar huis om te kijken of ze binnen kunnen komen, maar breken (meestal) vrij gericht in.
Met andere woorden: virussen proberen *overal* in te breken, inbrekers richten zich op die huizen/wijken waarvan in de krant heeft gestaan (bij wijze van spreke) dat ze niet goed beveiligd zijn...

M$ slaat de plank dus weer knap mis: pas als het grote publiek weet, wat er eventueel mis is met de beveiliging. Als ze dan zien, dat er weer een aanval wordt uitgevoerd op hun servers/computers weten ze tenminste wat de oorzaak is!

Verwijderd @raptorix • 20 oktober 2001 19:02

Nou - wel als de woningbouwvereniging vrolijk doorgaat met het installeren van die onveilige sloten.
De kans is best groot dat Microsoft dat gaat doen als ze niet meer gemotiveerd worden de lekken te dichten.
Ik vind het trouwens een onzuivere vergelijking - in de beveiliginswaarschuwingen voor software staat meestal dat er een lek in zit, je krijgt geen lijstje van servers waarop de kwetsbare software draait.

Verwijderd @Verwijderd • 19 oktober 2001 20:33

MS heeft ook niet gezegd dat je niet mag weten DAT er een beveiligingslek is, want MS brengt natuurlijk wel een patch daarvoor uit! Het enige waar MS mee wil stoppen is uitleggen WAAR PRECIES het lek zit of zat.
Dat lijkt me dus heel verstandig, want door de exacte lekken te geven maak je het de mensen met verkeede bedoelingen ook makkelijker om de weg te vinden naar nieuwe lekken.
Ik vind het prima als MS zegt, jongens er bleek een lek te zijn, maar hier heb je een patch, ik hoef niet te weten wat er lekte als er maar een oplossing komt! Om even de vergelijking met het huis in stand te houden. Het interesseert mij niet of het slot niet goed is, de scharnieren of de knip, maar ik wil wel dat de woningbouw het op lost. En als de woningbouw stil houdt wat er mis is, is dat wel zo fijn voor als mijn woning nog niet beveiligd was en de inbrekers weten dat de scharnieren de zwakke schakel zijn...

Verwijderd @Verwijderd • 21 oktober 2001 11:47

MS heeft ook niet gezegd dat je niet mag weten DAT er een beveiligingslek is, want MS brengt natuurlijk wel een patch daarvoor uit!

Natuurlijk niet!
Als niemand meer weet dat er een lek in zit is het maken van een patch ook niet meer zo nodig. Hoe vaak is het niet gebeurd dat er een lek in M$ software werd ontdekt en M$ dat gewoon ontkende, pas toen er een exploit voor dat lek was ging M$ ineens aan een patch werken.
Dit gaat natuurlijk ook gebeuren, zolang het grote publiek niet weet dat er een lek in zit, is "het niet nodig" een patch te maken.
Tenslotte is dit natuurlijk ook weer een mooi argument voor M$-fanaten dat "hun" systeem zo veilig is: "Kijk maar, voor *nix zijn er dit jaar 100 beveiligingsfouten ontdekt, en voor M$ maar drie!"

Ik vind dit echt het stomste idee uit Redmond sinds jaren.

Aetje @Verwijderd • 19 oktober 2001 16:36

Wohaha... Da's fun. Dan wordt dit dus niet meer op de grote nieuwssites gepost, maar wel op kleinere hack EZines... Weten bedrijven dalijk niet meer op welk lek ze gehackt worden...

De eerste keer dat Microsoft besluit het de hackers makkelijker te maken sinds de release van Win95

Jochem Knoops 19 oktober 2001 10:12

Lijkt me wel leuk hoor, je vind een lek, en alleen jij weet hem (behalve dan diegene die hem ook gevodnen hebben) Het lijkt me dan dat minder mensen M$ gaan gebruiken Als M$ dus bewust open laat (door het niet te evrmelden).

Verwijderd @Jochem Knoops • 19 oktober 2001 10:20

Kijk, Microsoft wil niet dat je het voor je zelf houdt als je een lek vindt, maar vindt dat dit niet gepubliceerd moet worden zodat kwaadwillenden meteen van dat lek gaan profiteren. Ik snap de denkwijze wel, want zolang er maar een paar personen vanaf weten (waaronder MS zelf natuurlijk!) zal de schade beperkter blijven dan wanneer de hele wereld er vanaf weet, en het geeft MS meer tijd om dit op te lossen.
Conclusie.............:
lek melden aan Bill, daarna je bek houden!

Fatamorgana @Verwijderd • 19 oktober 2001 10:50

Misschien zijn die kwaadwillenden wel degene die vaak als eerste een lek vinden en die gaan dat natuurlijk niet aan ome Bill vertellen. Ze kunnen het dan dus misbruiken tot het ooit gefixed is, maar dat kan langer duren omdat men denkt dat het veilig is want niemand weet er van.

Jaap-Jan @Fatamorgana • 19 oktober 2001 16:11

Dat gaat hier niet op. Want in jou geval weet M$ niet van dat lek en kan dat ook niet gemeld worden.

edit:
Wordt dit stukje afgedaan als grappig?

Ik haal hier wel een argument onderuit, hoor.

wimmi @Verwijderd • 19 oktober 2001 10:43

lek melden aan Bill, daarna je bek houden!

Mijn ervaring met dingen als BugTraq of SecurityFocus is dat ze exploits melden, OS en versies erbij geven, aangeven of en waar er een fix te vinden is, en zonodig workarounds.

Aangezien Microsoft zelf niet zo actief is met het 'terugroepen' van defecte applicaties hebben deze websites een belangrijke functie: een beheerder of IT manager kent de risico's beter.
Een oud-Hollandsch gezegde luidt: een gewaarschuwd mensch telt voor twee

Een zwijgplicht voor exploits/bugs in MS produkten is alweer een reden om *geen* Microsoft te adviseren aan een klant of consument.

TheGhostInc @wimmi • 20 oktober 2001 01:46

Geweldig idealistisch van je, maar het werkt niet, kijk maar eens naar de Code Red ramp, dat heeft bewezen dat er meer mensen zijn die vergeten te patchen dan mensen die deze sites kennen.
Dan kun je MS alleen maar gelijk geven, zij kunnen wel snel patches uitbrengen, maar zelfs bij van die grote bugs als bij Code Red wordt er niet eens gepatched.

* 786562 TheGhostInc

Verwijderd @wimmi • 21 oktober 2001 11:56

[...]bewezen dat er meer mensen zijn die vergeten te patchen dan mensen die deze sites kennen.
Dan kun je MS alleen maar gelijk geven, zij kunnen
wel snel patches uitbrengen, maar zelfs bij van die grote bugs als bij Code Red wordt er niet eens gepatched.

Dus omdat sommige mensen te stom zijn om een systeem te beheren moet je iedereen maar dom houden?
Als Ford vandaag bekend maakt dat de remmen in hun nieuwste model niet goed werken en over een jaar zijn er nog mensen die niet terug zijn gegaan naar de garage, dan moet Ford maar ophouden dit soort "bugs" bekend te maken?

* TheGhostInc denkt dat het beter is de zaak stiller te houden, tegen de tijd dat de meeste mensen geupdate hebben wordt de bug dan pas echt bekend en gevaarlijk.

Voor het maken van een virus of worm is vaak maar een iemand nodig en het is wel erg naief dat je dit voor iedereen stil kan houden, het is veel gevaarlijker om een systeem met een gat te hebben waar je van weet, dan om een systeem met een gat te hebben waar je van weet, want dan kan je maatregelen nemen, vaak ook al zonder patch. (bijvoorbeeld het uitschakelen van de software met de bug). Reken er maar op dat makers van Code-Red-achtige software deze lekken zelf ook wel kunnen ontdekken.

Nu zijn er situaties waarbij een exploit dagen open blijft staan, terwijl de hele wereld het weet en MS nog bezig is met fixen

Lame excuse, dan moet MS maar sneller fixen maken. Je kan mij niet wijsmaken dat het grootste softwarebedrijf van de wereld niet de mankracht heeft om binnen een dag een fix te maken. Het is gewoon een kwestie van prioriteiten stellen en die stelt Microsoft m.i. nog veel te veel bij de GUI.

Verwijderd @Jochem Knoops • 19 oktober 2001 10:48

Ik denk dat Microsoft die gaten niet open zal laten. MS is druk bezig om een marktaandeel in de servermarkt te veroveren, ze kunnen het zich domweg niet permiteren om dergelijke gaten bewust te laten zitten.

SlaSauS @Verwijderd • 19 oktober 2001 13:05

maar dat komt _juist_ doordat er sites als SecurityFocus en BugTraq zijn, hierdoor worden software makers met hun neus op de feiten gedrukt en als dit maar vaak genoeg gebeurd gaan ze misschien zelfs wel een keer over security-by-design nadenken

BigRonnyV 19 oktober 2001 10:15

Lijkt mij een aardig plan om dit 'binnenshuis" te houden, zo speel je in ieder geval de hh virusmakers minder in de kaart. Ms dient dan wel een alert list bij te houden voor beheerders van Ms systemen als er een patch beschikbaar is.

Disciplus-Simplex @BigRonnyV • 19 oktober 2001 10:46

Persoonlijk zie ik er het nut helemaal niet van in om de volgende redenen:
-patch wordt gereleased en dan weet dus iedereen dat er een lek in een M$ product zit ==> imago verbetering zit er dus niet in!
-vaak worden virussen pas geschreven nadat de patch is uitgebracht. Code Red Worm en Nimda verschenen pas na de patches, service packs.
-luie systeembeheerders zul je altijd houden en het is ook deze groep die voornamelijk in bescherming wordt genomen door dit idee.
-openheid leidt uiteindelijk tot een beter product net zoals het prettiger leven is in een open samenleving (zie ook verder deze thread).

Volgens mij is de enige oplossing een goed en alert systeembeheer. Update op tijd je patches en AV software en dan is er niets aan de hand.

edit:
Misschien nog wel aardig voor M$ users is het volgende:
http://www.microsoft.com/technet/treeview/def ault.as p?url=/TechNet/security/bulletin/noti fy.asp
Via deze url kun je je abonneren op een Security Notification Service die je automatisch alles vertelt over de patches die zijn uitgekomen en de stappen die je vervolgens moet/mag nemen.

Nibble @BigRonnyV • 19 oktober 2001 16:33

Ja, en die alertlist wordt dan direct ge CC't naar Bugtraq. Lekken komen toch wel uit. Daar is de hulp van microsoft echt niet bij nodig! Bovendien, als ze lekken niet bekend maken worden de software ontwikkelaars ook niet gestimuleerd om ze te dichtten. Het effect wat je dan krijgt is de computers rond het jaar 1985. Lekker in de software? Maakt het uit, niemand weet het, gaan we ook niet aan werken. Pas toen hackers hun kans schoon zagen en deze lekken ontdekten brak er paniek uit, en kwamen ze pas op het idee om te gaan dichtmetselen. Conclusie: geef de fabrikant de tijd om het te dichten, plaats het opelijk als dat advies in de wind wordt geslagen. En zo werkt het op dit moment ook.

Greyfox 19 oktober 2001 10:13

Sja, dat is wel waar, maar als 1 iemand een lek ontdekt, kunnen daar duizenden kwaadwillenden gebruik van maken.
Als je dat stil houd wordt dat lastiger.
Wat dat betreft kan Microsoft beter zeggen dat er weer een patch is te downloaden, zonder expliciet te zeggen welk gat het dicht.

Verwijderd @Greyfox • 19 oktober 2001 10:49

Het kan m.i. geen kwaad om te vertellen waarvoor de patch is. Het gaat er juist om dat er geen lekken bekend worden gemaakt die nog niet opgelost zijn. (waardoor iemand op een machine zou kunnen inbreken)

Greyfox @Verwijderd • 19 oktober 2001 10:58

Maar als je zegt welke gaten de patch dicht, dan zijn die mensen die niet de patch installeren, opeens kwetsbaarder dan wanneer het niet bekend zou worden.

Verwijderd @Greyfox • 19 oktober 2001 13:56

Maar dat is dan weer de verantwoordelijkheid van de systeembeheerder. Als jij weet dat er een patch is en je installeert hem niet, dan kan Microsoft er ook niets aan doen.
Moet microsoft er wel voor zorgen dat bij alle licentiehouders bekend wordt gemaakt dat er een patch is.

Eastern @Greyfox • 19 oktober 2001 15:06

Laten we maar gelijk een order geven voor aandelen TPG

. Als microsoft iedere systeembeheerder officieel van alle gebreken op de hoogte gaat stellen...

SpiceWorm @Verwijderd • 20 oktober 2001 18:58

ik wil wel weten waarvoor de patch is:
ik heb geen zin om een 15 meg tellende patch (lees mediaplayer) te downen voor software die ik toch niet gebruik. dan maar niet. (enne 15 meg is best veel voor een modemer)

edit: de nieuwe media player is eigenlijk een update, maar er zitten nog steeds bugs in de oude

Verwijderd @Greyfox • 19 oktober 2001 11:32

Maar ook bijna elke patch geeft weer een risico. Het komt veel te vaak voor dat een patch weer een andere fout genereerd die er eerst niet was. Bij de bedrijven waar ik werk is meestal de insteek 'If it aint broke why fix it?'

Oftewel als mickeysoft denkt dat ze met deze instelling meer crediet krijgen op de server markt hebben ze het goed mis.

drexciya 19 oktober 2001 12:32

Waarom is iedereen hier zo kortzichtig?

Microsoft blijft natuurlijk reageren op lekken in de software, sinds de introductie van Windows 2000 zijn ze drukker dan ooit tevoren met security fixes bezig. Ze moeten wel, willen ze serieus genomen worden.

Het blijkt alleen dat de meeste problemen tot dusver worden veroorzaakt door het misbruiken van reeds bekende lekken, die in principe al opgelost zijn.

Onwetendheid of onwil of gebrek aan tijd (lees: foute prioriteitsstelling door management) zijn daarvan de oorzaak en geven Microsoft een slechte naam.

Microsoft wil die ellende voorkomen en stelt daarom die nieuwe maatregel voor. De informatie zal mijns inziens wel degelijk beschikbaar blijven, maar dan op een iets andere wijze.

Zodoende wil men de toestanden met Code Red en Nimda voorkomen.

Bij de weg: Sun heeft recentelijk wat fouten in zijn hardware gehad en wilde daar alleen wat aan doen, wanneer de klant eerst een NDA (Non-Disclosure Agreement) tekende. Denk eens aan dit feit voordat je steeds op Microsoft gaat afgeven.

Verwijderd @drexciya • 19 oktober 2001 13:25

Aanvullend (want het lijkt wel of niemand het gewraakte artikel heeft gelezen)

Microsoft zegt niet dat er geen publicatie mag plaatsvinden maar heeft het over de vorm waarin:

This is not a call to stop discussing vulnerabilities. Instead, it is a call for security professionals to draw a line beyond which we recognize that we are simply putting other people at risk. By analogy, this isn’t a call for people for give up freedom of speech; only that they stop yelling “fire” in a crowded movie house.

Je kunt best een probleem rapporteren zonder er gelijk de exploits maar bij te geven zoals nogal eens gebeurd. Ik denk dat je je serieus kunt afvragen of dat wel wenselijk is, die discussie is ook al enige tijd gaande in de security wereld en in die zin is dit artikel niet nieuw

Boy_One @drexciya • 19 oktober 2001 13:30

drexciya >Waarom is iedereen hier zo kortzichtig?

Kortzichtig ????? Kompleet niet, maar er is een
verschil tussen kortzichtig en waarheid.

drexciya > Microsoft blijft natuurlijk reageren op
lekken in de software, sinds de introductie
van Windows 2000 zijn ze drukker dan
ooit tevoren met security fixes bezig. Ze
moeten wel, willen ze serieus genomen
worden.

Nee dat heeft niet te maken dat ze drukker bezig
zijn, maar meer mee te maken dat ze een OS op de markt brengen die niet goed uitgekristaliseerd is. Hierdoor zijn ook de reeds bekende fouten niet verwerkt en opgelost. Je verwacht toch dat als er een nieuw produkt op de markt verschijnt dat de reeds bekende problemen verholpen zijn en niet dat je deze alsnog weer moet verhelpen met een patch.

We spreken wel over een nieuw produkt.

drexciya > Het blijkt alleen dat de meeste problemen
tot dusver worden veroorzaakt door het
misbruiken van reeds bekende lekken, die
in principe al opgelost zijn.

En dat bedoel ik maar... Dan hadden ze deze in het nieuwe produkt toch mee kunnen nemen..

drexciya > Onwetendheid of onwil of gebrek aan tijd
(lees: foute prioriteitsstelling door
management) zijn daarvan de oorzaak en
geven Microsoft een slechte naam.

Dat vind ik komplete onzin. Ik zit hier op een stoel binnen een IT club die zich bezig houd met internet zaken. Wij bepalen zelf wat prioriteit heeft. Wij zijn als club verantwoordelijk voor security issues en daar gaan we dan ook voor. En dat laten wij niet van een manager afhangen. Waar jij op doeld is dat binnen midden en klein bedrijf de kennis/tijd mist, aangezien ze hiervoor geen geld en of mensen hebben. Dit is iets heel anders want dan praat je over een 10% van alle internet sites.

drexciya > Microsoft wil die ellende voorkomen en
stelt daarom die nieuwe maatregel voor.
De informatie zal mijns inziens wel degelijk
beschikbaar blijven, maar dan op een iets
andere wijze.

De weg die microsoft nu ingeslagen is, is zeker een verbetering. Hierdoor kunnen NONO's

ook bepalen wat een hoge prio heeft en wat niet.

drexciya > Bij de weg: Sun heeft recentelijk wat
fouten in zijn hardware gehad en wilde
daar alleen wat aan doen, wanneer de
klant eerst een NDA (Non-Disclosure
Agreement) tekende. Denk eens aan dit
feit voordat je steeds op Microsoft gaat
afgeven

Sorry hoor, maar dit slaat de plak volledig mis.

waar jij op doelt heeft niks met security te maken. maar met data corruptie (zie hiervoor http://www.sun.com/software/solaris/cover/2001-0503/ ) En dit was op 1 systeem model van sun de Netra T1. Ten 2de we hebben hier wel te maken met een bedrijf die zowel hardware als software levert, en ik kan je verzekeren dat SUN veel minder issues heeft gehad dan compleet microsoft. En dan praten we ook nog over een bedrijf die gelijk staat aan microsoft omtrend webservers. Dan gaat mijn keuze toch echt uit naar SUN

. (en dit is ook de reden dat wij deze partij hanteren betere security en betere performance naar mijn inzicht.)

Naar mijn inzicht moet je eerst eens de 2 produkten gezien en gebruikt hebben voordat je zomaar een beschuldiging uit. En de beschuldiging richting microsoft zijn terecht naar mijn inziens. Ik weet dat er mensen zijn die dit anders inzien, en vind dan ook dat er een kern van waarheid in zit dat de bugs op een presenteerblaadje worden aangereikt. Maar als je een produkt op de markt zet waar zoveel gaten inzitten dan vraag jje naar mijn inzichts erom.

blouweKip @drexciya • 19 oktober 2001 13:49

Bij de weg: Sun heeft recentelijk wat fouten in zijn hardware gehad en wilde daar alleen wat aan doen, wanneer de klant eerst een NDA (Non-Disclosure Agreement) tekende. Denk eens aan dit feit voordat je steeds op Microsoft gaat afgeven.

Dat is idd ook niet goed, maar ik zie niet in waarom de fouten van andere bedrijven enige invloed hebben de beoordeling van (vele) fouten die MS maakt..

Dat andere ook fouten maken is geen excuus, het is beter bedrijven/organisaties als voorbeeld te nemen die het veel beter doen, daarnaast heeft MS door hun monopolie meer gebruikers en dus ook een grotere verantwoordelijkheid...

Ze zeggen dit alleen maar omdat ze simpelweg niet dezelfde prioriteit aan veilgheid geven als veel andere mensen, dan is het wel makkelijk wanneer een fout niet geheel naar buiten wordt gebracht, dat betekent dat ze niet meer onder zoveel druk komen te staan om dingen te fixen, het heeft voor de klant nog wel 1 belangrijk nadeel: MS zal ook minder onder druk komen te staan om goede programma's te maken, aangezien eventuele fouten niet meer de impact in de media zullen hebben als nu...

AVL 19 oktober 2001 14:00

Wat een prachtige nieuwspost-titel weer. Als ik het artikel bekijk, gaat het hier helemaal niet over een officiële mening van Microsoft, maar om een column, toevallig geschreven door het hoofd van de Security Repsonse Center bij Microsoft. Dat hij dit in zijn _persoonlijke_ column op Technet schrijft, betekent nog niet dat dit de mening van Microsoft als bedrijf is, of dat dit gelijk uitgevoerd wordt.

Verschrikkelijk overdreven dus weer allemaal; iemand draagt in een column een mogelijke oplossing (in zijn mening) voor beveiligingsproblemen aan, die iemand werkt bij Microsoft, gevolg: titel 'Microsoft wil publicatie van softwarelekken stopzetten' (een deel van de schuld ligt trouwens bij WebWereld, die met deze misleidende titel begon).

Ik raad iedereen aan om eens even verder te kijken dan de nieuwspost op t.net, en de originele column eens beter te bekijken. Op deze manier wordt het helemaal uit zijn verband gerukt.

Boy_One @AVL • 19 oktober 2001 14:56

AVL > Wat een prachtige nieuwspost-titel weer. Als ik het artikel bekijk, gaat het hier helemaal niet over een officiële mening van Microsoft, maar om een column, toevallig geschreven door het hoofd van de Security Repsonse Center bij Microsoft. Dat hij dit in zijn _persoonlijke_ column op Technet schrijft, betekent nog niet dat dit de mening van Microsoft als bedrijf is, of dat dit gelijk uitgevoerd wordt.

Mag ik je er even op wijzen dat alles wat een medewerker plaatst en of zegt (en dat geldt niet allen bij MS) staat voor publikatie vanuit het bedrijf. Dan is het nu aan MS om zijn personeel eens op te voeden.

AVL > Verschrikkelijk overdreven dus weer allemaal; iemand draagt in een column een mogelijke oplossing (in zijn mening) voor beveiligingsproblemen aan, die iemand werkt bij Microsoft, gevolg: titel 'Microsoft wil publicatie van softwarelekken stopzetten' (een deel van de schuld ligt trouwens bij WebWereld, die met deze misleidende titel begon).
Ik raad iedereen aan om eens even verder te kijken dan de nieuwspost op t.net, en de originele column eens beter te bekijken. Op deze manier wordt het helemaal uit zijn verband gerukt.

Je hebt enigzins gelijk, maar wat naar buiten komt onder de naam microsoft is het bedrijf voor verantwoordelijk. Zoals ik al zij dan moeten ze maar hun mensen opvoeden.

Verwijderd @AVL • 19 oktober 2001 16:11

En in het geheel is ook de nuancering verloren gegaan dat het niet ging om het NIET publiceren maar om het ANDERS publiceren.

Bobco @AVL • 22 oktober 2001 11:36

Verschrikkelijk overdreven dus weer allemaal; iemand draagt in een column een mogelijke oplossing (in zijn mening) voor beveiligingsproblemen aan, die iemand werkt bij Microsoft, gevolg: titel 'Microsoft wil publicatie van softwarelekken stopzetten'

Pardon? Dit artikel staat gewoon op TechNet, het lijkt me dat er in ieder geval iemand van MS naar heeft gekeken met een officiele MS bril voordat dit naar buiten ging. Of die column nu wel of niet persoonlijk is doet er dan weinig toe, helemaal als er ondertekend wordt met

Scott Culp is the Manager of the Microsoft Security Response Center

Het lijkt me dat dit gewoon een officiele uitlating van MS is.

Verwijderd 19 oktober 2001 10:49

Jullie vergeten één ding, het interesseert MS totaal niet of zijn een kwalitatief goed produkt op de markt zetten, als ze maar zoveel mogelijk produkten kunnen afzetten. MS kijkt naar kwantiteit, niet naar kwaliteit.
Verkopen doen ze toch wel, of het product nu allerlei bugs heeft of niet want het grootste deel van de ITC gebruikt microsoft OS'en en andere software.
Dus waarom zouden ze zich druk maken om een product te perfectioneren ?
MS is wat betreft softwareontwikkeling een waardeloos bedrijf, maar op het gebied van marketing is het één van de beste ter wereld...helaas....

Ron

Verwijderd @Verwijderd • 19 oktober 2001 11:02

Microsoft moet wel oppassen, de markt kan zeer snel omdraaien als er een goed alternatief komt. Kijk maar naar Intel en AMD. Ik wet dat intel nog verreweg de grootste is, maar ze hebben zich behoorlijk moeten aanpassen dankzij AMD.

[off topic]
Ik vind dat spa het beter doet, die kunnen zelfs gewoon water verkopen met de boodschap dat hun water ergens naar smaakt, (het is nog net geen gebakken lucht) [/offtopic]

warp 19 oktober 2001 10:16

Dit noemen ze ook wel "Security through obscurity"... een methode die in de praktijk juist vaak averechts werkt.

Zie b.v. ook:
http://www.albion.com/security/intro-9.html
http://www.osopinion.com/perl/story/11060.html
http://slashdot.org/features/980720/0819202.shtml

Verwijderd 19 oktober 2001 14:17

Waar het uiteindelijk om draait is de plicht om te omschrijven waar een stukje code voor staat. In Amerika is het verplicht om overal een label aan te plakken met daarop informatie over wat het is, waarvoor het dient en hoe het te gebruiken.
Daar kom je in Amerika gewoon haast niet onderuit, want dan klagen ze je voor miljoenen aan wegens nalatigheid o.i.d.

Bovendien vind ik dat eenieder die veel van het internet gebruik maakt up-to-date moet zijn en de software goed moet beschermen/updaten.
Elke gek die een beetje interessante info heeft doet dit al automatisch. Zo niet, is het een rund. Net als wanneer je met vuurwerk speelt. Just keep it safe.

De logische gevolgtrekking hieruit is dat Mickeysoft ZELF WEL de plicht heeft om een description aan zijn patches te hangen of geen patches meer uit te brengen.

Wat NIET de bedoeling is, is dat iedere hacker die een vulnerability tegenkomt dit METEEN wereldkundig maakt en zo iedere Jan Boeren Lul die een beetje interesse heeft in hacking aan het werk zet om maar es ff zo veel mogelijk mensen te naaien voordat er een patch IS.
Nu heb je goedwillende en kwaadwillende mensen. De eerste groep wacht netjes een bepaalde tijd nadat ze het bedrijf hebben ingelicht om te kijken of er wat uit voortvloeit. Gebeurt dat niet, dan stappen ze naar de media en maken een hoop ophef.
De tweede groep zijn eikels en die doen dus JUIST het tegenovergestelde. Die gaan dus via hun maatjes en speciaal ingerichte sites de info verspreiden:"To wreak as much havoc as possible."

Hoe dan ook, de eindconclusie is:

Mickeysoft moet wel een omschrijving bij de patch plaatsen en de eindverantwoordelijkheid ligt dus uiteindelijk ook (terecht) bij de eindgebruiker.

Hackers hebben de morele plicht om vulnerabilities te melden naar de producent van de software en pas naar buiten te komen als er geen actie wordt ondernomen. Dit om verdere en grotere schade te voorkomen door het steeds verder verspreiden van de exploit-info via illegale/underground kanalen.

Dit volgens mij zoals het nu is en zoals het behoort te zijn. Op de sukkels en eikels na dan. (sukkels die niet patchen en beveiligen en eikels die alleen maar kwaadwillen).

Mocht WIE DAN OOK het hier niet mee eens zijn, dan zou ik wel eens een zeer uitgebreide en goed gefundamenteerde reactie willen zien.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (124)

Sorteer op:

Weergave: