Microsoft over Apache-hack: Iedereen is een doelwit

16-04-2010,16:41 doorRedactie

De succesvolle aanval op Apache.org bewijst volgens Microsoft topman Jeff Jones dat iedereen een doelwit is. Volgens hem zullen aanvallers vroeger of later gebruikers aanvallen via de software die ze gebruiken. "Anders gezegd, we hebben geen controle over aanvallers, dus het enige dat we kunnen doen is de software zelf veiliger en veerkrachtiger te maken." Jones kijkt naar zaken als het aantal publiek gemelde beveiligingslekken en ontwerpfouten om te bepalen of de software veiliger wordt of niet.

Naast de ontwikkelteams die veiligere producten proberen te ontwikkelen, spelen er ook twee verschillende discussies. De veiligheid van de software en de veiligheid van gebruikers van die software. Daarbij vinden veel experts Windows veiliger dan bijvoorbeeld Mac OS X, maar lopen gebruikers van Windows meer risico omdat aanvallers zich hier meer op richten.

Aanval
"We zeggen het al langer, maar de veiligheid van software is een industrie-probleem." Minder kans op aanvallen staat volgens Jones nog niet gelijk aan nul. "Hoewel sommige aanvallen minder waarschijnlijk op bepaalde platformen zijn, tenzij je niets waardevols hebt, zul je op een dag worden aangevallen." Wie zich met het beveiligen van software bezighoudt, moet hier dan ook rekening mee houden.

Jones krijgt bijval van beveiligingsexpert Marc Maiffret. "Microsoft doet vandaag de dag meer aan het beveiligen van hun software dan wie dan ook. Ze zijn het voorbeeld van hoe het moet. Ze zijn niet perfect, er is ruimte voor verbetering, maar ze doen zeker meer dan andere bedrijven in de industrie." Voor het auditen van code en beveiligen van software heeft Microsoft één van de beste modellen, merkt Maiffret op.

Sneller
Toch heeft de beveiligingsexpert ook kritiek op de softwaregigant als het gaat om het patchen van beveiligingslekken. "We zien keer op keer dat iemand op verantwoorde wijze een lek meldt en Microsoft vele maanden, als het geen jaar is, de tijd neemt om deze dingen op te lossen. Als er een nieuw zero-day lek is, zien we dat ze binnen een paar weken iets klaar hebben staan." Toch doet Microsoft het beter dan andere grote softwarebedrijven. "Als je kijkt naar bedrijven als Adobe, dan zijn zij waar Microsoft tien jaar geleden was."

Oude backdoor bedreigt Mac OS X

Google: Geen misdaadgolf door Street View

Reacties

16-04-2010,

16:48 door

SirDice

+0 Rating:

Quote deze reactie | Reactie niet OK

Alleen jammer dat de fout in de website zat en niet in de Apache software. Ik zie even niet in hoe het 'veiliger' maken van Apache en/of Linux daar iets aan had kunnen veranderen.

Meneer Jones grijpt dit leuk aan om de betere veiligheid te promoten van Windows. Nu heeft'ie daar best wel een punt maar de manier waarop hij dit doet strijkt toch aardig tegen mijn haren in.

Laatst gewijzigd: 16-04-2010, 16:54

16:56 door

Anoniem

@SirDice, De kwetsbare bugtracker (JIRA) is natuurlijk ook software.

17:02 door

Door SirDice: Alleen jammer dat de fout in de website zat en niet in de Apache software. Ik zie even niet in hoe het 'veiliger' maken van Apache en/of Linux daar iets aan had kunnen veranderen.

Meneer Jones grijpt dit leuk aan om de betere veiligheid te promoten van Windows. Nu heeft'ie daar best wel een punt maar de manier waarop hij dit doet strijkt toch aardig tegen mijn haren in.

Hij heeft wel degelijk een goed punt. Volgens mij draaide de website niet op Windows of wel?

17:37 door

Eerde

+1 Rating:

Ach Jeff Jones, das de clown van het Internet. Hij verzint van alles bij elkaar om zijn $$ van M$ te kunnen blijven innen.

17:50 door

"Microsoft doet vandaag de dag meer aan het beveiligen van hun software dan wie dan ook."

Zielig hè! Jullie hebben er dan ook zelf de grootste rotzooi van gemaakt!

Teken ik direct bij aan dat jullie als Microsoft niet alleen schuldig zijn maar het 'model' Windows zit ook ongelooflijk knullig in elkaar.

Dat er fouten in software zitten, dat weten we allemaal. Er is ook zeker wel een mate van tolerantie. Maar jullie Windows en heel veel Microsoft software is zo knullig in elkaar gezet dat jullie de ene na de andere pleister nodig hebben.

19:11 door

Insider

Door Eerde: Ach Jeff Jones, das de clown van het Internet. Hij verzint van alles bij elkaar om zijn $$ van M$ te kunnen blijven innen.

Hohoho, clowns moeten elkaar wel een beetje respecteren. Verdachtmakingen zijn slechte argumenten.

En onderteken anders voortaan met €€rd€.

22:55 door

Apache wordt ook het meest onder Linux gebruikt,en minder onder Windows en OSX.
Trouwens de meeste internet servers draaien onder Linux of een Nix achtig systeem,er is zelfs ooit eens aan het licht gekomen dat zelfs de servers van Microsoft onder Linux draaien.
Dit vanwege een betrouwbaardere veiligheid en stabiliteit omdat Linux vaak minder een doelwit is van hackers dan Linux sysstemen.
Misschien daarom dat Microsoft er geen aandacht aan heeft besteed,of zijn promotie anders heeft verkocht wat de veiligheidspraatjes betreft.

17-04-2010,

03:17 door

rookie

Ik ben het in principe eens met Dhr Jones; het is nu een mooi moment om over te stappen naar Lighttpd.net en niet alleen omdat Lighty secure, snel en flexibel is (Wikipedia, Youtube, Imagehack e.d. draaien er trouwens ook op), maar ook omdat Lighty niet onder zo'n enge grote GPL, Apache of MS licentie is uitgebracht, maar onder de BSD license.

Laatst gewijzigd: 17-04-2010, 03:22

11:40 door

meinonA

Moet Apache nou ook op ieder MS lek gaan reageren???

@rookie: Lighty is lek en slecht. Probeer NGINX eens, dat is de webserver van de toekomst...

11:58 door

Ze gebruiktten zeker IIS?

17:55 door

Door meinonA:
@rookie: Lighty is lek en slecht. Probeer NGINX eens, dat is de webserver van de toekomst...

Als je het zo bekijkt is alles zo lek als een mandje, maar het is in ieder geval beter dan Apache ;)

Deze NGINX ga ik zeker een keertje proberen.

18:14 door

Wij staan 100% achter MS en Jeff Jones. Het viel ons wel op dat MS steeds meer doet aan beveiliging.
Pleisters zullen we altijd nodig hebben en niet alleen voor MS. Dit is een vette FEIT!

Jorrit C en Chung Hui
Setji.ams.osd/CREW

18-04-2010,

12:30 door

Microsoft doet vandaag de dag meer aan het beveiligen van hun software dan wie dan ook. Ze zijn het voorbeeld van hoe het moet.

Deze mening van de "beveiligingsexpert" - het ongefundeerd gebruik van deze kwasititel roept onmiddellijk groot wantrouwen bij mij op - gaat voorbij aan een in de informatiebeveiliging veel onderschreven stelling goede beveiliging gebaat is bij openheid, ook van de broncodes. "Security by obscurity" is in het algemeen een inferieure praktijk, heel bijzondere omstandigheden daargelaten. Voor hen die het nog niet begrijpen: MS is weinig open over haar systeemcode en beveiligingspraktijken en is daarmee m.i. zeker niet het voorbeeld van hoe het moet.

19-04-2010,

10:34 door

De mensen die voorstellen dat men maar even andere webserver software zou moeten gebruiken moeten toch maar eens even nalezen hoe een XSS in elkaar steekt en hoeveel de webserver software zelf daar iets mee doet.

Laatst gewijzigd: 19-04-2010, 10:36

20-04-2010,

19:55 door

Door SirDice: De mensen die voorstellen dat men maar even andere webserver software zou moeten gebruiken moeten toch maar eens even nalezen hoe een XSS in elkaar steekt en hoeveel de webserver software zelf daar iets mee doet.

Dat snap ik natuurlijk ook wel.

Laatst gewijzigd: 20-04-2010, 22:05

E-mail:
Wachtwoord:
Blijf 30 dagen ingelogd
Wachtwoord kwijt? Account aanmaken

Login