image

"Hackers bang voor Microsoft"

maandag 25 januari 2010, 14:03 door Redactie, 17 reacties

Beveiligingsonderzoekers en hackers zwijgen over lekken omdat ze bang zijn voor Microsoft, aldus beveiligingsexpert Robert Graham, die zelf ook door de softwaregigant bedreigd zou zijn. Graham reageert naar aanleiding van het lek in Internet Explorer, waardoor vermoedelijk Chinese hackers bij Google wisten in te breken. De bug noemt hij op zichzelf geen falen van Microsoft. "Microsoft is waarschijnlijk de beste in de industrie als het gaat om het oplossen van dit soort bugs." Toch had de reus uit Redmond een week nodig om het lek te patchen en wist het hier al maanden van. "Dat is een vrij lange tijd voor een zero-day om los te lopen."

Bedreiging
Volgens Graham reageerde Microsoft vroeger sneller op grote beveiligingslekken en wordt het elk jaar erger. "Dat komt doordat ze direct of indirect de helft van de beveiligingsindustrie inhuren en de andere helft beïnvloeden." Als Microsoft een lek negeert en een onderzoeker besluit het probleem bekend te maken, dan zal Microsoft ze binnen de industrie proberen te weren. "Onderzoekers houden hun mond omdat ze bang zijn voor Microsoft", zegt Graham. Zelf zegt hij ook door de Microsoft bedreigd te zijn.

Hij ontdekte een aantal jaren geleden een eenvoudig WiFi-lek in Windows Mobile. Het werd nooit gepatcht, grotendeels omdat de telecomprovider dit weigerde. Aangezien hij het lek pas kon publiceren na de patch, betekende dit dat hij het lek nooit publiceerde. "We kennen veel onderzoekers die lekken in Windows Mobile vinden die voor precies dezelfde reden nooit gepubliceerd worden." In het geval van Graham zou hij daarnaast bezoek van FBI-agenten hebben gehad, die dreigden zijn profiel aan te passen, zodat hij niet meer voor de overheid kon werken. "Dit werd gedaan onder druk van Microsoft."

Graham erkent dat het redelijk van Microsoft is om te verlangen dat onderzoekers wachten met publiceren totdat er een patch is. Microsoft zou echter zijn doorgeslagen, met als gevolg dat ze te lang over het patchen van lekken doen.

Noodpatch
Een ander probleem waar de softwaregigant mee zit zijn de noodpatches. Out-of-band updates kosten zowel voor Microsoft als klanten veel geld. De maandelijkse patchcyclus is dan ook goedkoper en eenvoudiger voor iedereen. Toch komt het voor dat een lek zo ernstig is dat het buiten deze cyclus om gepatcht moet worden. De beveiligingsexpert vroeg Microsoft of het hier een budget voor heeft en tot zijn grote verrassing blijkt dit niet zo te zijn. Out-of-band patches zouden namelijk nooit moeten voorkomen.

"Ik durf er geld op te zetten dat er in de komende maanden een nieuw zero-day lek in Internet Explorer wordt gevonden en Microsoft moet hier rekening mee houden." Microsoft mag dan de beste in het oplossen van bugs en lekken zijn. De reactie op het recente IE-lek noemt Graham een fiasco. "Daarnaast wordt Microsoft steeds slechter in het oplossen van lekken, niet beter."

Reacties (17)
25-01-2010, 14:26 door Anoniem
Anders moet er een overkoepelende organisatie komen die de vulnerabilities publiek maakt zonder dat de researcher in kwestie daarvoor kan verantwoordelijk worden geacht. Ik weet het ook een deel om bekendheid draait voor deze researchers, maar dan moeten ze de afweging maken tussen naam per vulnerability of het bekendmaken & oplossen van issues.
25-01-2010, 14:29 door Anoniem
"In het geval van Graham zou hij daarnaast bezoek van FBI-agenten hebben gehad, die dreigden zijn profiel aan te passen, zodat hij niet meer voor de overheid kon werken. "Dit werd gedaan onder druk van Microsoft." "

Volstrekt onbegrijpelijk dat de FBI zich voor het karretje van een bedrijf laat spannen. Welk belang heeft de FBI daar immers bij ?
25-01-2010, 14:54 door Eerde
...bezoek van FBI-agenten hebben gehad, die dreigden zijn profiel aan te passen, zodat hij niet meer voor de overheid kon werken. "Dit werd gedaan vanwege druk van Microsoft."
Er even vanuit gaande dat dit klopt zou de NL overheid alle banden met M$ moeten verbreken !
25-01-2010, 15:01 door Skizmo
Microsoft mag dan de beste in het oplossen van bugs en lekken zijn. ...
.. ze zijn ook de beste in het maken ervan.
25-01-2010, 15:32 door Anoniem
Door Anoniem: "In het geval van Graham zou hij daarnaast bezoek van FBI-agenten hebben gehad, die dreigden zijn profiel aan te passen, zodat hij niet meer voor de overheid kon werken. "Dit werd gedaan onder druk van Microsoft." "

Volstrekt onbegrijpelijk dat de FBI zich voor het karretje van een bedrijf laat spannen. Welk belang heeft de FBI daar immers bij ?

Eenvoudig - als je onverantwoordelijk omgaat met lekken (disclosure vóór een patch) breng je de staatsveiligheid in gevaar. Irresponsible disclosure.... Hier hoeft dus geen sinistere samenzwering onder te zitten. Dat zou kunnen, hoor.
25-01-2010, 15:34 door Anoniem
Ik word altijd door linux fanaten bedreigd. Mag er niets negatiefs over zeggen anders worden ze boos op me of bedreigen ze me...
25-01-2010, 15:43 door Anoniem
Door Anoniem: "In het geval van Graham zou hij daarnaast bezoek van FBI-agenten hebben gehad, die dreigden zijn profiel aan te passen, zodat hij niet meer voor de overheid kon werken. "Dit werd gedaan onder druk van Microsoft." "

Volstrekt onbegrijpelijk dat de FBI zich voor het karretje van een bedrijf laat spannen. Welk belang heeft de FBI daar immers bij ?

Nee dat laat de overheid nooit gebeuren. Of toch wel? Kijk om je heen en leer. Olie maatschappijen zijn voor 50% eigenaar van de staat. DWZ Olie maatschappijen hebben een hele dikke vinger in de pap.
Platen bazen bepalen in middels wat we wel en niet mogen zien op het internet dit gaat zo ver dat overheden je van het internet af willen sluiten als je niet luistert.
Ga nog maar ven zo door.
Dus dat de FBI voor de belangen van MS, staat veiligheid, opkomt lijkt mij niet zo vergezocht.
25-01-2010, 15:43 door Anoniem
Door Eerde:
...bezoek van FBI-agenten hebben gehad, die dreigden zijn profiel aan te passen, zodat hij niet meer voor de overheid kon werken. "Dit werd gedaan vanwege druk van Microsoft."
Er even vanuit gaande dat dit klopt zou de NL overheid alle banden met M$ moeten verbreken !

Ik geloof er weinig van dat MS invloed kan hebben op het werk van de FBI..
De FBI heeft geen enkel belang bij het wel of niet publiceren van lekken in Wifi software op Windows Mobile..

Door Eerde:
...bezoek van FBI-agenten hebben gehad, die dreigden zijn profiel aan te passen, zodat hij niet meer voor de overheid kon werken. "Dit werd gedaan vanwege druk van Microsoft."
Er even vanuit gaande dat dit klopt zou de NL overheid alle banden met M$ moeten verbreken !

Ach, we kopen ook auto's en electronica uit de US en in die industrie wordt ook behoorlijk druk uitgeoefend op de overheid en bestuurders gemanipuleerd. Zo werkt de vrije economie in Amerika.
Het beste is de banden verbreken met de US..

Door Skizmo:
Microsoft mag dan de beste in het oplossen van bugs en lekken zijn. ...
.. ze zijn ook de beste in het maken ervan.

Als je niets te zeggen hebt, reageer dan niet en ga een ander lastigvallen met je bandbreedte vervuiling..
25-01-2010, 16:45 door Preddie
Door Anoniem: [bezoek van FBI-agenten hebben gehad, die dreigden zijn
Als je niets te zeggen hebt, reageer dan niet en ga een ander lastigvallen met je bandbreedte vervuiling..

als je te lui bent om een gebruikersnaam aan te maken, blijf dan ook weg achter je computer. ;)

en je hebt gelijk, als iemand niks te zeggen heeft laat hem dan ook niks zeggen :P het feit dat dat bandbreedte kost zouden wij niet merken, het feit dat er een reactie bij staat waar eigenlijk niks in staat vind ik erger

maargoed nu te veel off-topic gespamt. ontopic:

hackers zijn niet bang voor microsoft, maar microsoft is bang voor de hackers die hun lekken niet publiceren en dus "private" blijven, want als er dan toch wat aan het licht komt en breekt te pleuris uit, moet het bedrijf weer nood-patches maken (terwijl het daar geen budget voor heeft) bla bla bla .....
25-01-2010, 17:10 door Anoniem
Ach wat een onzin,hackers zijn nooit ergens bang voor, wat ze willen hacken proberen ze gewoon te hacken.
Sommige hackers hebben goede bedoelingen en willen alleen laten zien dat een systeem niet veilig is,en zorgen zo dat er een patch geschreven wordt dit probleem tegen te gaan.
Ze tasten ook het systeem dan verder niet aan,maar vertellen de beheerder dan netjes wat er voor lek in zijn zijn sysyteem zit.
Kwaadwillende hackers heb je ook,helaas maar ja dat zijn ook de echte cybercriminelen.
25-01-2010, 18:57 door Anoniem
Ze vallen zo je huis binnen, en dan nemen ze alles mee. Ik maak geen grapje.
google -> microsoft programmers found dead
Ook binnen microsoft wordt de roede niet gespaard. Zoek nou niet naar lekken, doe HET NIET.
25-01-2010, 19:03 door Anoniem
Door Anoniem: Ach wat een onzin,hackers zijn nooit ergens bang voor, wat ze willen hacken proberen ze gewoon te hacken.
Sommige hackers hebben goede bedoelingen en willen alleen laten zien dat een systeem niet veilig is,en zorgen zo dat er een patch geschreven wordt dit probleem tegen te gaan.
Ze tasten ook het systeem dan verder niet aan,maar vertellen de beheerder dan netjes wat er voor lek in zijn zijn sysyteem zit.
Kwaadwillende hackers heb je ook,helaas maar ja dat zijn ook de echte cybercriminelen.
Geloof me, die zijn doodsbang, of denk je dat mensen zoals Gary McKinnon niet bang zijn? Man, die man is doodsbang, en terecht.

Hoe denk je dat die hacker van 'www.overheid.nl' zich voelt??? Die zit nu iedere week met dwanginjecties. Of denk je dat hackers zomaar weg komen? Hoevaak denk je dat de politie een huis binnenvalt? Gisteren nog een post op tweakers.net de politie viel iemands huis binnen zogenaamd op verdenking van kinderporno, intussen alle broncode meegenomen van die jongen.

Dat jij leeft in een wereld waarin Bill Gates lief en vriendelijk is wil niet zeggen dat dit voor iedereen zo geld. Overigens ook berichten die niet op security worden gepost worden in een que gezet, en bepaalde mensen hebben daar zicht op. Trust me, true story, security heeft een namenlijst gekregen, van vermoorde computerprogrammeurs. En ze waren bang voor MS, ze vonden bepaalde dingen en als je die dingen vind dan verandert je leven.

En security? Wie beschermt jonge mensen tegen een groot en machtig bedrijf dat de overheid in haar broekzak heeft, een bedrijf dat mensen inhuurt om bij een linux reseller (hulpverlener bij linux systemen) binnenvalt met knuppels en de inboedel kort en klein slaat. Op de namenlijst staan 39 vermoorde computerprogrammeurs.

Uiteraard zijn ze bang. Heel bang, kijk eerst eens EndGame op youtube.com ga naar 1 uur en 55 minuten kijk dan 10 minuten lang, 30 miljard aan sterilisatie programma's, door onze lieve Bill.
25-01-2010, 19:05 door Anoniem
Probleempjes met pliessie computer??? Erken de moorden. Erken. Laat Remy Belvaux en de anderen niet voor niets zijn gestorven in de strijd tegen Microsoft.
25-01-2010, 19:17 door Anoniem
Bij security.nl twijfelen ze toch niet aan de goedheid van microsoft? Het zijn lieve vriendelijke mensen toch?
25-01-2010, 19:23 door Anoniem
Door Anoniem: Ach wat een onzin,hackers zijn nooit ergens bang voor, wat ze willen hacken proberen ze gewoon te hacken.
Sommige hackers hebben goede bedoelingen en willen alleen laten zien dat een systeem niet veilig is,en zorgen zo dat er een patch geschreven wordt dit probleem tegen te gaan.
Ze tasten ook het systeem dan verder niet aan,maar vertellen de beheerder dan netjes wat er voor lek in zijn zijn sysyteem zit.
Kwaadwillende hackers heb je ook,helaas maar ja dat zijn ook de echte cybercriminelen.

Jammer dat jij niet snapt dat wij security professionals zijn...
25-01-2010, 19:53 door [Account Verwijderd]
[Verwijderd]
26-01-2010, 09:54 door spatieman
goh.
dat klinkt alsof MS gewoon een ordinaire crimineel is die via steekpenningen overheden voor zich wint.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.