En dat allemaal over de rug van de simpele en argeloze gebruiker. Natuurlijk, die kan barsten.

Yep. Microsoft is nou eenmaal 'evil' dus heiligt het doel de middelen.

Het gaat hier niet om "good vs evil".

Het gaat hier om een multi-miljoen dollar bedrijf dat een policy heeft geadopteerd waarbij "Security through Obscurity" pretty much prioriteit 1 heeft gekregen.
Eenieder die deze policy doorbreekt word direct door M$ aangevallen en gebruikt als voorbeeld om anderen af te schrikken om problemen met de M$ beveiliging van M$ programmas vooral niet te rapporteren, met rust te laten en gewoon een willoos schaap in de rest van de kudde te blijven.

M$ beroept zich op gedrag dat al zo achterhaald is dat het net is alsof een legertje middeleeuwse ruiters probeert met man en macht om een stel F16s tegen te houden.
Het is complete onzin hoe M$ reageert en de onderzoekers reageren, wat mij betreft, op een goede manier.

Door M$ te dwingen om te reageren op het veel sneller werkende onderzoeksteam, zal M$ niet anders kunnen dan een andere policy te adopteren, of ten onder te gaan aan de concurentie die WEL iets aan de beveiligingslekken doet. Zoals Google, of Linux.

Natuurlijk moeten de eindgebruikers mee veranderen. In het gunstigste geval door dagelijks updates binnen te halen voor hun software pakketten. Maar eind gebruikers worden altijd al geacht om mee te veranderen. Het maakt niet uit met welke verandering die er word doorgevoerd.

"Een groep hackers heeft zich verenigd tegen Microsoft en zal beveiligingslekken in Windows meteen openbaar maken. Het Microsoft-Spurned Researcher Collective (MSRC) is na kritiek van Microsoft op Google-onderzoek Tavis Ormandy bij elkaar gekomen."

Vreemde aktie. De kritiek op Ormandy is zeer begrijpelijk, gezien zijn aktie duidelijk was ingegeven door marketingtechnische motieven vanuit zijn werkgever Google richting concurrent Microsoft. Op zich ben ik een voorstander van full (responsible) disclosure, maar vulnerabilities moeten geen smerig instrument worden in de marketing oorlog tussen bedrijven.

Zou Ormandy op dezelfde wijze hebben gehandeld wanneer hij een vulnerability had gevonden in produkten van Google ? Wist Ormandy werkelijk niet dat Microsoft (net zoals Google) onmogelijk in minder dan een week een goede functionerende patch had kunnen uitbrengen voor de door hem ontdekte vulnerability ? Immers kost het tijd om een vulnerability te onderzoeken, een patch te schrijven, en deze patch op correcte wijze te testen voordat deze wordt gepubliceerd ?

Wat mij betreft zou Ormandy, gezien het motief achter de aktie, simpelweg strafrechtelijk vervolgd moeten kunnen worden, omdat de aktie tot doel had om een concurrerend bedrijf te beschadigen en omdat hij daarbij willens en wetens de veiligheid van talloze internetgebruikers op het spel heeft gezet. Bij zijn aktie negeerde Ormandy iedere ethiek, terwijl beveiligingsonderzoekers juist de ethiek niet uit het oog moeten verliezen tijdens hun werk.

Overigens ben ik geen Microsoft fan, ik werk niet voor Microsoft, en ook Microsoft gebruikt security helaas vaak als marketing instrument, waarbij ze bijvoorbeeld problemen onder het vloerkleed proberen te vegen. Wat dat betreft vind ik hen net zo goed dubieus in de manier waarop zij te werk gaan.

Als dat zo was had je je comment niet doorspekt met M$ in plaats van MS of Microsoft. Als dat zo was dan hadden deze luiden zich verwaardigd ook bijvoorbeeld Oracle, Apple en Adobe op de korrel te nemen.

Nee. Dit is gewoon anti-MS fanboyness.

Dus jij vind het redelijk dat MS binnen 5 dagen een beveiligingsprobleem onderzoekt, patcht, test op 100.000-en verschillende combinaties van hard- en software én het nog verspreid heeft ook :X


Moet je na gaan hoe bijv. Apple en Adobe dan reageren, als meerdere beveiligingsonderzoekers zeggen dat die nu worstelen met de problemen waar MS 10 jaar (!) geleden mee zat. Die lopen dus nog veel verder achter. Ik gok zo dat je die bedrijven dan omschrijft als zouden ze proberen om met een pijl en boog een [url=http://nl.wikipedia.org/wiki/M1_Abrams]M1 Abrams tank[/url] tegen te houden.

Je kunt wel zeggen dat het niet redelijk is om binnen 5 dagen te patchen, maar die lekken hadden er in 1e instantie nieteens in mogen zitten. Gezien de enorme winst de MS maakt kan het makkelijk. Desnoods zetten ze er 1000 man op om de security te verbeteren voordat ze het launchen. Er ligt gewoon weinig prio voor ze.

Als het ze niet lukt binnen een week moeten er gewoon meer mensen op. Ze krijgen het probleem, en vaak de oplossing op een presenteerblaadje van SecResers.

Het is net zoiets als een vergiet verkopen als een emmer. Een emmer hoort waterdicht te zijn, niet vol gaten. En als het niet lukt een waterdichte emmer te maken, verkoop je het nog niet.

Natuurlijk is 100% waterdicht niet mogelijk. Maar ik heb bij MS altijd het gevoel dat ze er niet eens naar streven.

Het gaat dus simpelweg over werknemers bij concurrerende bedrijven van Microsoft die dit in hun vrije tijd doen. Ik zou toch niet graag dit soort rancuneuze werknemers willen hebben met als hobby het moedwillig blootstellen van veel digibeten aan scriptkiddies en / of cybercriminelen (in wording). Diezelfde mensen kunnen zich intern zo maar tegen het bedrijf keren, want ze hebben het tenslotte als hobby al laten zien om "een punt te maken".

Daarnaast is elke software lek, dus als het helden zijn dan doen ze dit ook voor de overige software die niet binnen 60 dagen patchen, zoals Apple, Adobe, Red Hat, etc. Alleen DAN maak je echt een punt...

Lekker, dit soort zekerheden. Helaas ben ik op basis van wat ik erover gelezen heb helemaal niet zo zeker. Er is een compleet andere uitleg van de situatie mogelijk, waarin Ormandy's gedrag heel wat verantwoordelijker is dan jullie denken. Ik schrijf het nog eens op.

Als Ormandy's verhaal klopt heeft hij het lek gemeld met die 60 dagen in gedachten, en ging hij tot openbaarmaking over toen Microsoft zich daar niet aan wilde houden.

Responsible disclosure is een afweging tussen twee belangen. Ten eerste het belang van openbaarmaking. Doe je dat niet dan krijgt de wereld een vals gevoel van veiligheid, met leveranciers die gezapig achteroverleunen tot het moment komt dat ontdekt wordt dat een lek al misbruikt wordt, mogelijk op grote schaal. Maar doe je het te snel dan ligt er een gapend gat open met het risico dat de kwaadwillenden dankjewel zeggen en aan het misbruiken slaan. Het tweede belang is om dat te voorkomen. De gulden middenweg is een redelijke maar beperkte termijn waarin de vinder van het lek zijn mond houdt terwijl leverancier het lek repareert.

Als, zoals Ormandy beweert, de leverancier zegt niet binnen 60 dagen te willen patchen, moet je dan als vinder van het lek wel 60 dagen met openbaarmaking wachten? Drie opties:
1. Niet openbaarmaken. Dan krijg je dat valse gevoel van veiligheid, en mogelijk wordt de leverancier op een gegeven moment gedwongen haastig te patchen omdat misbruik wordt ontdekt en er al een hoop schade is aangericht. Dan heb je een gapend gat waavan het misbruik al een feit is.
2. Na 60 dagen openbaarmaken. Dan is het risico van onopgemerkt misbruik beperkt tot die 60 dagen, en daarna heb je alsnog het publieke gapende gat, waarvoor in dit scenario op dat moment nog steeds geen patch beschikbaar is.
3. Direct openbaarmaken, met dus direct het gapende gat.

Bij opties 2 en 3 heb je in beide gevallen met dat gapende gat te kampen, bij optie 2 loop je tevens het risico van 60 extra onbeschermde dagen. Dat levert gek genoeg een groter totaalrisico op. Optie 3 is dus te verkiezen boven optie 2 in deze situatie. Of optie 1 nog beter is is moeilijk in te schatten. Als het inderdaad tot misbruik komt en de leverancier komt pas in beweging als dat bekend wordt dan pakt het erger uit dan directe openbaarmaking, het misbruik is immers zeker. Maar het kan ook met een sisser aflopen.

De risico's veranderen dus niet alleen als de vinder van het lek zich niet aan de termijn houdt, ze veranderen ook als de leverancier die het lek moet repareren dat niet doet.

Als Ormandy de boel niet bij elkaar staat te liegen dan kan zijn keuze voor snelle openbaarmaking in plaats van 60 dagen wachten in deze situatie volkomen terecht zijn geweest. Je kan op tilt springen bij het idee, maar als je weet dat het na 60 dagen ook niet verholpen zal zijn maakt wachten het risico alleen maar groter. Of het beter was geweest om zijn mond te houden weet ik niet.

Als Microsoft inderdaad het repareren van een ernstig lek op de lange baan wilde schuiven dan heeft Microsoft net zo goed de simpele en argeloze gebruiker laten barsten. De verantwoordelijkheid voor de Responsible Disclosure-werkwijze ligt net zo goed bij de leverancier als bij de ontdekker van het lek, en de oprichting van dit clubje is wellicht een pressiemiddel om Microsoft aan die verantwoordelijkheid te houden.

Naast dat beeld van een blinde vijandigheid jegens Microsoft over de rug van de gebruiker is er dus ook een heel andere inschatting van de situatie mogelijk. Het is mogelijk dat Ormandy niet uit verwerpelijke motieven voor iets ergs koos maar omdat de alternatieven in zijn ogen nog slechter waren. En het is zelfs mogelijk dat hij daar gelijk in had.

Je mag dat denken.
Nu ben ik toevallig niet met de operating systems van Oracle, Apple en Adobe bekend.

Ja, Adobe is slecht in dat ze moeite hebben om Flash zodanig te patchen dat het ook gewoon werkt. Ik ben het helemaal met je eens dat Adobe een probleem heeft.

Apple, geen idee. Ik heb nog geen enkel van hun producten gebruikt, maar van wat ik heb gehoord hebben ze nou niet echt de beste methoden om hun gebruikers te laten blijven. iPhone problemen en rare tactieken, laat maar. Ik heb daar wel weer genoeg over gehoord.

Oracle? Nooit van gehoord.

Het feit blijft dat ik alleen van eigen ervaring kan spreken. Zelf met Windows bezig geweest tot Vista uit kwam, direct overgestapt op Linux en niet meer terug gekeken.

Als dat mij een fangirl maakt (leuk, dank je, maar een jongen ben ik niet), het zij zo. Dat boeit mij net zo min als jou probleem met mijn schrijfstijl.


Wanneer heb jij het laatst een patch mee gemaakt die op "100.000-en verschillende combinaties van hard- en software" getest is?
Precies ja; Meestal word het op een kleinere hoeveelheid aan systemen getest.

Microsoft heeft een heel leger aan medewerkers. Zolang zij dedicated aan het werk gaan, zou M$ hier geen probleem mee moeten hebben.

Dus; Ja. Ik vind het redelijk voor zo'n multinational.


Aangezien het onderwerp van dit artikel over Microsoft ging, heb ik mij daartoe beperkt. Maar ik houd mijn hart vast bij de bedrijven die jij hebt opgenoemd.

Dit zal vast nog wel een staartje krijgen.

Laat ze eerst eens met een alternatief komen want je wilt ook niet naar Linux.

Iemand die dit soort dingen zegt over OS-en en vervolgens Microsoft als M$ schrijft en Linux de hemel in prijst maakt mijn dag helemaal weer goed, want lachen is gezond. XD


Daar ging het niet om. De hacker wilde dat het gat snel zou worden gedicht, echter had Microsoft niet de mogelijkheid om het binnen 60 dagen te patchen. Dit is niet ongewoon en gebeurt bij veel software producenten. Echter vond de hacker dat niet terecht en plaatste een PoC om Microsoft te dwingen een patch te maken. Het lek was niet bekend, want Microsoft heeft Honeypots om dit te controleren. Na de full-disclosure kon je zien dat al heel snel misbruik gemaakt ging worden nav de PoC. Duidelijk is dus dat er pas na het openbaren een wezenlijk gevaar is ontstaan. Gezien het het meest gebruikte OS is is het gewoon zeer onverstandig. Je brengt mensen moet willig in gevaar en geeft een crimineel eigenlijk een sleutel tot het slachtoffers huis in de schoot geworpen. Als het lek niet bekend was gemaakt en wel was misbruikt, dan was het waarschijnlijk op zeer kleine schaal geweest. Nu kan iedere script-kiddie het. Daarna is de beste man boos dat heel veel mensen over hem heen vallen voor dit ondoordachte gedrag, omdat het wel zo netjes is om op de fabrikant te wachten tot er een patch is. Ook als is dat meer dan 60 dagen of het nou OSS of niet. Kennelijk is het toch ook niet zo makkelijk om te patchen, want die patch is er nog steeds niet (een fix is geen patch en is voor digibeten onbereikbaar). Je speelt nu gewoon criminelen in de kaart, maar dat ervaar jij kennelijk als redelijk. Wellicht is het dan ook redelijk als jij ooit geskimmed wordt en de bank niets vergoed, want dan had je maar geen onveilige en kwetsbare lokatie moeten gebruiken om je geld op te halen.


Dat hebben ze ook, maar het is niet zo dat ze daar duimen zitten te draaien totdat iemand een lek aanmeld. Microsoft leunt nu ook niet achterover om te kijken hoe veel verder dit nog uit de hand kan lopen. Een patch is dus kennelijk lastiger te maken dan men denkt. Overigens, software is altijd lek, ongeacht het besturingssysteem. Open Source maakt software niet minder lek dan Closed Source. Als je dat geloofd, dan zal ik maar niet vertellen dat Sinterklaas eigenlijk niet (meer) bestaat.

@ U4iA om 23:38

Eindelijk eens iemand die verstandige reactie's geeft...en bij de les blijft... :-)

Ik weet niet of het er 100.000-en zijn maar ik weet wel dat ze er serieus werk van maken. Ik denk veel meer dan welke andere software fabrikant.

Om je een idee te geven. bij deze een link naar A Tour of Microsoft's Mac Lab (http://davidweiss.blogspot.com/2006/04/tour-of-microsofts-mac-lab.html). Dit is al vier jaar oud maar het geeft wel even aan dat ze niet over één nacht ijs gaan. En dan is de Mac software divisie nog maar een hele kleine divisie binnen Microsoft.


Windows wordt echt op heel veel verschillende hardware combinaties getest. Ik weet bijvoorbeeld dat de maximale hardware specs van Windows server (2TB geheugen, 64 quad core processors) voortkomt uit het feit dat dit de grootste machine is waarop Microsoft het Windows server OS heeft getest. Theoretisch kan Windows veel meer geheugen en cores ondersteunen maar omdat men het niet kan testen wordt het ook niet gespecificeerd.

Als ze MS echt een hak willen zetten, moeten hacker gewoon niet meer opzoek gaan naar lekken in Windows. Als MS het zo goed weet laat je het ze toch lekker zelf uit zoeken. Besteed je tijd lekker met het zoeken in OSS. Daar wordt je nog wel serieus genomen en mag je je gevonden lek zelf plakken, krijgt erkenning de hele rim ram. Ik zeg maak van Windows het systeem met de minste (gevonden) lekken.

Het was ook puur als sarcastische opmerking bedoeld.
Aangezien het probleem hier is dat de gelekte foutmelding in Windows zat. En als er mij dan word verteld dat ik zowel Apple als Adobe en Oracle er bij moet betrekken, ja dan weet ik het ook niet meer.

Ik dacht toch echt alsof we het hier over Microsoft hadden en niet over "de anderen", ongeacht hun software pakket.


Inderdaad. Als ik benadeeld word, heb ik niet goed opgelet. Mijn fout.

Als ik de kennis, tijd, en moedwil gehad had om Windows op deze manier na te kijken, had ik het probleem ook publiekelijk vrijgegeven.
Hetzelfde geld voor alle problemen die ik vind in andere software. Open Source of niet.

Publieke bugtrackers werken voor mij het beste, omdat een ieder die iets van code weet een patch zou kunnen offeren. Of ze nou voor de devs werken of niet.


Wat Microsoft intern doet is mij niet bekend. Ik zeg gewoon dat een multinational zoals M$ genoeg medewerkers zou moeten hebben om een twintigtal mensen op dit probleem te zetten. Dan hebben ze nog een paar duizend die ze ergens anders voor kunnen gebruiken.

En Open Source heeft ook zijn gebreken. Dat ben ik helemaal met je eens.
Nooit gezegd van niet.

Maar wanneer ik de keuze heb tussen een "Security through Obscurity" binaire OS of een OSS OS die vanuit de Source bouwt, dan heb ik liever de laatste. (i.e. Gentoo).
Als daar iets fout gaat kan ik er zelf naar kijken wat er fout gaat en misschien direct oplossen.

Ik zat te denken dat een andere oplossing ook wel zou werken: Kwartaal release van een lijst van alle gevonden lekken in Windows.
Dan heeft Microsoft de tijd om ze zelf te vinden en patchen voordat de onderzoekers het openbaar maken.
Zou genoeg tijd moeten zijn.

Laat nou 99,999999% van de internetters dit niet willen en al helemaal niet kunnen. Voor die internetters is het dus van belang dat zij gewoon veilig kunnen werken zonder dat iemand zijn ego gestreeld wilt zien. Het zal mij boeien of het nu gaat om Closed of Open Source, Windows of Linux, etc. Dit soort dingen is gewoon niet slim omdat je uiteindelijk niet alleen de fabrikant er mee hebt, maar vooral de argeloze digibeet. Net als in een sociale maatschappij zorg je dus dat de zwakkere beschermt blijven.

Juist daarom moeten lekken gemeld worden, en en plain public als het moet. Het is achterlijk om te denken dat een hacker in z'n vrije tijd MEER lekken vind dat een professionele cracker, die in opdracht van, full time bezig is.
Op deze manier heb je tenminste nog de kans dat er enkele lekken gevonden worden die al jarenlang misbruikt worden door wie dan ook en die al jarenlang angstvallig stil gehouden worden omdat er anders weer 20 programmeurs van de eye-candy divisie afgehaald moeten worden.

OSX, Solaris, OpenSolaris om er maar een paar te noemen....

[quote][i]Door U4iA: [/i][quote]Nu ben ik toevallig niet met de [b]operating systems van Oracle[/b],Apple [b]en Adobe[/b] bekend.[/quote]
Iemand die dit soort dingen zegt over OS-en en vervolgens Microsoft als M$ schrijft en Linux de hemel in prijst maakt mijn dag helemaal weer goed, want lachen is gezond. XD[/quote][/quote]
Ah, maar Oracle maakt ook daadwerkelijk een OS... tegenwoordig 2 zelfs! Unfa^w Unbreakable Linux (een supported recompile van RedHat, net als CentOS), en Solaris (want Sun is opgekocht en wordt nu in hoog tempo geassimileerd).


[quote][quote]Eenieder die deze policy doorbreekt word direct door M$ aangevallen en gebruikt als voorbeeld om anderen af te schrikken om problemen met de M$ beveiliging van M$ programmas vooral niet te rapporteren, met rust te laten en gewoon een willoos schaap in de rest van de kudde te blijven.[/quote]
Daar ging het niet om. De hacker wilde dat het gat snel zou worden gedicht, echter had Microsoft niet ..Duidelijk is dus dat er pas na het openbaren een wezenlijk gevaar is ontstaan. Gezien het het meest gebruikte OS is is het gewoon zeer onverstandig. Je brengt mensen moet willig in gevaar en geeft een crimineel eigenlijk een sleutel tot het slachtoffers huis in de schoot geworpen. ... Daarna is de beste man boos dat heel veel mensen over hem heen vallen voor dit ondoordachte gedrag, omdat het wel zo netjes is om op de fabrikant te wachten tot er een patch is. [/quote]
Mee eens. Deze meneer had waarschijnlijk heftig last van pro-Google en anti-MS sentimenten en wou daarom eens lekker stoken. Wie niet gelooft dat dat kan moet op eens op bijvoorbeeld FOSDEM met een Microsoft shirt gaan lopen (op eigen risico).

[quote][quote]Microsoft heeft een heel leger aan medewerkers. Zolang zij dedicated aan het werk gaan, zou M$ hier geen probleem mee moeten hebben.[/quote]
Dat hebben ze ook, maar het is niet zo dat ze daar duimen zitten te draaien totdat iemand een lek aanmeld. Microsoft leunt nu ook niet achterover om te kijken hoe veel verder dit nog uit de hand kan lopen. Een patch is dus kennelijk lastiger te maken dan men denkt. Overigens, software is altijd lek, ongeacht het besturingssysteem. Open Source maakt software niet minder lek dan Closed Source. Als je dat geloofd, dan zal ik maar niet vertellen dat Sinterklaas eigenlijk niet (meer) bestaat.[/quote]

Er is inderdaad weinig zo lastig als een correct werkende patch maken. De kans dat je nieuwe dingen stuk maakt is ook zeker aanwezig, nog daargelaten dat je inderdaad niet zonder tests dat spul de deur uit moet doen. Je wilt niet weten wat je allemaal 'op straat' kunt vinden aan soft- en hardware combinaties, nog daargelaten dat van het OS zelf al meerdere varianten mogelijk zijn. Sommige problemen kun je zelfs alleen vinden door het OS dagen achtereen onder volle belasting te werken. Dan zijn 5 dagen echt niet genoeg.

Aan al die reacties te zien over MS, doet het ons vermoeden dat MS nog steeds populair is. Zowel negatief als positief.

Chung Hui & Jorrit C
InFraGard

Dat beweert niemand. Microsoft heeft aangegeven dat ze geen zin hadden om hier minder dan 60 dagen aan te besteden (dus niet 5). Vanuit betrouwbare bron (ok, mensen die Tavis goed kennen) was het meer dat Microsoft geen zin had om met Tavis dit probleem te bespreken omdat hij bij Google werkte. Dat kun je ook zien aan de reacties van Microsoft. Microsoft viel Google harder aan dan Tavis.

Peter

Zoals al eerder gezegd, dat kans is aanwezig dat een gevonden lek al misbruikt wordt. Dat hoeft niet groots te zijn (botnets etc) maar dat kan ook klein. Denk aan overheden (USA, China, Rusland, etc) het is algemeen bekend dat zij cyberarmys hebben. Deze beschikken ook over debuggers en gaan zeker niet hun gevonden lekken verkopen, groots gebruiken of melden. Dit zijn veel te waardevolle achterdeurtjes in de netwerken van je vijanden (of "vrienden") of bedrijven met techniek of cijfers die je wel even wilt lenen.

Als de keuze is tussen niet openbaarmaken of direct openbaar maken, zeg ik direct openbaarmaken.

Het zou veel beter zijn als op basis van goed fatsoen een reseacher het bedrijf een kans geeft dit te verhelpen (30 dagen, geen maanden) en dat het bedrijf zich ook aan de redelijke termijn houdt. En als een lek actief misbruikt wordt is 5 dagen toch best redelijk. Het duurt ook nog ongeveer een maand voordat alle bedrijven/particulieren de kans hebben gehad om de updates te draaien.

Het tegenwerken ligt nu nog veel te vaak bij het de softwareontwikkelaar, aangezien deze een fout hebben gemaakt zouden ze de oplossing niet moeten tegenwerken.

Je hebt gelijk, Oracle heeft recentelijk Sun overgenomen die was mij ontglipt. Wel een lucky shot, want zo was de comment niet bedoeld, amar dat ter zijde. Blijft Adobe over (Apple stond al niet vet gedrukt).