Microsoft over Apache-hack: Iedereen is een doelwit
De succesvolle aanval op Apache.org bewijst volgens Microsoft topman Jeff Jones dat iedereen een doelwit is. Volgens hem zullen aanvallers vroeger of later gebruikers aanvallen via de software die ze gebruiken. "Anders gezegd, we hebben geen controle over aanvallers, dus het enige dat we kunnen doen is de software zelf veiliger en veerkrachtiger te maken." Jones kijkt naar zaken als het aantal publiek gemelde beveiligingslekken en ontwerpfouten om te bepalen of de software veiliger wordt of niet.
Naast de ontwikkelteams die veiligere producten proberen te ontwikkelen, spelen er ook twee verschillende discussies. De veiligheid van de software en de veiligheid van gebruikers van die software. Daarbij vinden veel experts Windows veiliger dan bijvoorbeeld Mac OS X, maar lopen gebruikers van Windows meer risico omdat aanvallers zich hier meer op richten.
Aanval
"We zeggen het al langer, maar de veiligheid van software is een industrie-probleem." Minder kans op aanvallen staat volgens Jones nog niet gelijk aan nul. "Hoewel sommige aanvallen minder waarschijnlijk op bepaalde platformen zijn, tenzij je niets waardevols hebt, zul je op een dag worden aangevallen." Wie zich met het beveiligen van software bezighoudt, moet hier dan ook rekening mee houden.
Jones krijgt bijval van beveiligingsexpert Marc Maiffret. "Microsoft doet vandaag de dag meer aan het beveiligen van hun software dan wie dan ook. Ze zijn het voorbeeld van hoe het moet. Ze zijn niet perfect, er is ruimte voor verbetering, maar ze doen zeker meer dan andere bedrijven in de industrie." Voor het auditen van code en beveiligen van software heeft Microsoft één van de beste modellen, merkt Maiffret op.
Sneller
Toch heeft de beveiligingsexpert ook kritiek op de softwaregigant als het gaat om het patchen van beveiligingslekken. "We zien keer op keer dat iemand op verantwoorde wijze een lek meldt en Microsoft vele maanden, als het geen jaar is, de tijd neemt om deze dingen op te lossen. Als er een nieuw zero-day lek is, zien we dat ze binnen een paar weken iets klaar hebben staan." Toch doet Microsoft het beter dan andere grote softwarebedrijven. "Als je kijkt naar bedrijven als Adobe, dan zijn zij waar Microsoft tien jaar geleden was."
Meneer Jones grijpt dit leuk aan om de betere veiligheid te promoten van Windows. Nu heeft'ie daar best wel een punt maar de manier waarop hij dit doet strijkt toch aardig tegen mijn haren in.
Meneer Jones grijpt dit leuk aan om de betere veiligheid te promoten van Windows. Nu heeft'ie daar best wel een punt maar de manier waarop hij dit doet strijkt toch aardig tegen mijn haren in.
Zielig hè! Jullie hebben er dan ook zelf de grootste rotzooi van gemaakt!
Teken ik direct bij aan dat jullie als Microsoft niet alleen schuldig zijn maar het 'model' Windows zit ook ongelooflijk knullig in elkaar.
Dat er fouten in software zitten, dat weten we allemaal. Er is ook zeker wel een mate van tolerantie. Maar jullie Windows en heel veel Microsoft software is zo knullig in elkaar gezet dat jullie de ene na de andere pleister nodig hebben.
En onderteken anders voortaan met €€rd€.
Trouwens de meeste internet servers draaien onder Linux of een Nix achtig systeem,er is zelfs ooit eens aan het licht gekomen dat zelfs de servers van Microsoft onder Linux draaien.
Dit vanwege een betrouwbaardere veiligheid en stabiliteit omdat Linux vaak minder een doelwit is van hackers dan Linux sysstemen.
Misschien daarom dat Microsoft er geen aandacht aan heeft besteed,of zijn promotie anders heeft verkocht wat de veiligheidspraatjes betreft.
@rookie: Lighty is lek en slecht. Probeer NGINX eens, dat is de webserver van de toekomst...
Pleisters zullen we altijd nodig hebben en niet alleen voor MS. Dit is een vette FEIT!
Jorrit C en Chung Hui
Setji.ams.osd/CREW
Deze mening van de "beveiligingsexpert" - het ongefundeerd gebruik van deze kwasititel roept onmiddellijk groot wantrouwen bij mij op - gaat voorbij aan een in de informatiebeveiliging veel onderschreven stelling goede beveiliging gebaat is bij openheid, ook van de broncodes. "Security by obscurity" is in het algemeen een inferieure praktijk, heel bijzondere omstandigheden daargelaten. Voor hen die het nog niet begrijpen: MS is weinig open over haar systeemcode en beveiligingspraktijken en is daarmee m.i. zeker niet het voorbeeld van hoe het moet.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.