image

"Microsoft moet hackers serieus nemen"

donderdag 21 april 2011, 12:22 door Redactie, 4 reacties

Wil Microsoft de veiligheid van Windows echt verbeteren, dan moet het beter naar beveiligingsonderzoekers luisteren. Deze week kondigde de softwaregigant een update aan van het beleid voor het oplossen van beveiligingslekken. Zo gaat Microsoft onder andere kwetsbaarheden in de software van derden openbaren.

Wil Microsoft de situatie echt verbeteren, dan moet het verder kijken waarom beveiligingsonderzoekers niet meer met leveranciers samenwerken, aldus Marc Maiffret van eEye Digital Security. De eerste reden is geld. "Beveiligingsonderzoek is geen eenvoudig werk en onderzoekers hebben nu een uitlaatklep voor hun werk door zero-day lekken te verkopen, zowel aan kopers met goed als slechte intenties."

Deadline
Sommige onderzoekers is het niet om het geld te doen, maar die zijn vaak niet te spreken over de tijd die leveranciers nodig hebben om gerapporteerde lekken op te lossen. Daarnaast spelen sommige leveranciers spelletjes, merkt Maiffret op. "Microsoft en andere IT-bedrijven slagen er nog steeds niet in een tijdslijn af te spreken."

Maiffret denkt dat Microsoft het beveiligingsonderzoek bewust doet om klanten te helpen. Maar die klanten zouden er meer van profiteren als de softwaregigant onderzoekers compenseert en zich aan een meetbare tijdslijn houdt om een patch te produceren. "De gemeenschap zal altijd sterker zijn dan welk in-house initiatief van Microsoft voor beveiligingsonderzoek en dat komt nu neer op meer zero-day lekken die in het wild worden ontdekt."

Reacties (4)
21-04-2011, 12:56 door Anoniem
Ik voel me niet serieus genomen.
21-04-2011, 13:32 door Mysterio
De kop moet zijn: "Beveiligingsonderzoekers willen geld en snelheid van Microsoft."

De klanten willen echter goed geteste patches van Microsoft. De noodoplossingen van het afgelopen halfjaar zijn het voorbeeld van haastwerk van Microsoft. Daar wil je als bedrijf je handen niet aan branden.

Microsoft moet dus volgens deze meneer tegen de zwarte markt op concurreren? Ik vind eigenlijk dat je geen zaken moet doen met criminelen. Een vergoeding voor een lek is terecht! Maar als je voor het geld kiest en het dus maar verkoopt aan mensen die het gaan misbruiken ben je gewoon medeplichtig aan dit misbruik. Daar zou ik, als Microsoft zijnde, niet eens mee willen samenwerken.
21-04-2011, 14:05 door Anoniem
Ben ik niet geheel met je eens "Mysterio"
Microsoft is namelijk TE arrogant om hackers te geloven en doen meldingen in de ban of maken zelf een test waarin blijkt dat er niets aan de hand is, minpuntje is alleen dat de tests die Microsoft doet, volledig gespitst is op een positief resultaat en niet een daadwerkelijke test om te zien hoe lek het mandje is.

Er zijn in het verleden legio personen geweest die aan MS doorgaven welke lekken zij gevonden hadden, waar Microsoft niets mee deed omdat het in de volgende versie van Windows toch wel opgelost zou worden, of omdat het probleem niet critical genoeg zou zijn.
Microsoft stopt graag zijn hoofd in het zand door meldingen liever te negeren dan te controleren en verder achter de zaken aan blijft lopen.

MS zou eens een keer net zo goed moeten luisteren als dat ze kunnen schreeuwen richting hun concurrentie. De concurrentie word er echter alleen maar sterker en rijker door, omdat Microsoft digitale oogkleppen op blijkt te hebben.
22-04-2011, 11:33 door Anoniem
Ja, hackers moeten serieus... "genomen worden" :P
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.