Microsoft leest Apple de les over security
Meestal zit Microsoft in de security hoek waar de klappen vallen. Het is dan ook erg opmerkelijk dat de softwaregigant uithaalt naar concurrent Apple, en het bedrijf uit Cupertino de les leest over security. De uitspraken werden gedaan door Microsoft program manager Stephen Toulouse in zijn weblog. Toulouse is regelmatig de spreekbuis van Microsoft en laat dit keer weten hoe Apple z'n zaakjes moet regelen.
Apple mist een security chef, licht haar klanten niet goed in over Mac OS X security updates en moet haar gebruikers beter adviseren. Apple moest zelfs haar eigen patch patchen, en was daar niet duidelijk in naar haar klanten toe, iets wat Microsoft niet zo snel overkomt, aldus Toulouse.
Een ander punt van kritiek gaat over de RSS feed die Apple heeft. Er is namelijk geen specifieke feed voor security updates, en de security announce mailing list die men gebruikt geeft geen informatie over nieuwe versies en bugs. "De enige manier om security problemen op te lossen is door ze voor te zijn en de mogelijke dreiging duidelijk naar je gebruikers toe te communiceren, en advies te geven over hoe men zich kan beschermen" laat Toulouse weten.
Hij voorspelt dat Mac OS X in de komende jaren met meer security dreigingen te maken krijgt en dat men in het komende jaar expertise op het gebied van security communicatie moeten zoeken. "Veel van de aanvallen waar Apple mee te maken heeft zijn dezelfde dreigingen voor Windows: Aanvallen waarbij de gebruiker eerst iets moet doen. Wij hebben onze les geleerd door vroeg en helder advies te geven".
Apple reageerde door te zeggen dat ze geen security chef nodig hebben omdat iedereen binnen Apple zich met security bezighoudt. Volgens Toulouse is dat hetzelfde als het zeggen dat het Witte Huis geen ministerie van Homeland security nodig heeft, omdat iedereen binnen de overheid om security geeft.
Pot? Ketel?
Je moet zorgen dat je procedureel je zaken op orde hebt en duidelijke
aanspreekpunten hebt gedefinieerd die bij iedereen bekend zijn.
Apple's antwoord vind ik dan ook een beetje naief. Iedereen houdt zich met
security bezig (job security bijvoorbeeld), maar dat betekent niet
automatisch dat je een secure product hebt of dat je communicatie
eenduidig verloopt.
Mee eens, maar ik vind het net zo naïef van Toulouse om dergelijke
uitspraken te doen.
Controlevraag: Heeft MS zijn zaakjes zo op orde als Toulouse roept?
Komen zij ook op tijd met info? Nauwkeurige info wel te verstaan?
Laten we wel wezen, de track-record van MS geeft toch wel duidelijk aan
dat de uitspraak
Apple moest zelfs haar eigen patch patchen, en was daar niet duidelijk in
naar haar klanten toe, iets wat Microsoft niet zo snel overkomt, aldus
Toulouse.
Een program manager zou op het niveau van 'goed ingelicht' moeten
fungeren, dus ik denk dat 'ie uit zijn nek zit te zwetsen.
Vandaar, hoe dan ook: De pot verwijt de ketel.
Beide partijen hebben niet het recht elkaar de les te lezen. We weten
tenslotte allemaal dat ALLE OSen security problemen hebben.
Highly Critical Hole Found in IE
http://www.eweek.com/article2/0,1895,1941507,00.asp
De M$ truc werkt! ze leiden de aandacht af van waar het om
gaat: hun eigen security problemen.
aanpassingen gehad. En Microsoft heeft dat ook nooit 'duidelijk verteld aan
klanten'. Van de afgelopen 200 patches zijn er 160 naderhand nog eens
veranderd. Die Toulouse moet zijn mondje maar eens gaan wassen.
Sterker nog, het zou verboden moeten worden om Microsoft FUD te mogen
plaatsen op internet sites. Ik vind het wel triest eigenlijk dat dit allemaal via
blogjes en posts op fora moet gebeuren. Hebben ze geen, of DURVEN ze
geen pers-releases uit te brengen via hun media-afdelingen? 90% van het
nieuws van 2006 is 'uitgelekt' ipv verteld. Misschien moeten ze bij
Billybobsoft eens een persvoorlichter neerzetten die ECHTE afspraken kan
maken.
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.