Gepubliceerd: Woensdag 17 december 2008
Microsoft brengt een noodpatch uit voor alle versies van Internet Explorer. De urgente security realease is bedoeld om een kritiek beveiligingslek te dichten.
Toon volledig artikel
Het is nu in ieder geval bewezen dat het in de openbaarheid brengen van exploits voordat de fabrikant een oplossing heeft zeer ongewenst is.
Die discussie liep al een tijdje maar ik meen dat deze ellende voor velen wel de doorslag zou moeten geven.
Stappen:
melden dat er een probleem is, de fabrikant onder druk houden (eventueel door de dreiging deze te openbaren na een bepaalde datum) en pas tonen als er een oplossing is.
Je kunt je wel afvragen of het openbaar zijn deze snellere handelswijze gestart is of dat het anders een langer periode (minstens volgend patch dag) genomen had. Het lek is er niet minder slecht door, openbaar bekend of niet.
ieder lek in ongeacht welke applicatie is een probleem. MS werkt om goede redenen met patchdagen en het is geen enkel probleem om te wachten als er geen ruchtbaarheid aan gegeven is. Als de exploit bekend is dan creëer je een probleem. Denk ook aan het veelgenoemde TCP/IP probleem dat nog niet opgelost is en waar ""men"" nog erg geheimzinnig over doet. Daar kun je het niet mee eens zijn, maar feit blijft dat bij brede bekendheid het internet dan nu al grondig op zijn gat lag. dat zou onacceptabel zijn. Dus is ook in dat geval stilte de beste bescherming en ondertussen grondig zoeken naar een oplossing.
Ik geef de patchdag in haakjes omdat deze er buiten valt, dit heeft MS bij haast meer gedaan. Ik ga niet over de voor en nadelen van patchdagen discussiëren, dat is genoeg gedaan.
Wat ik (probeer) aan te geven is of deze haast geboren is uit de openbaarheid van het lek of de serieuze dreiging van het lek, het geld namelijk voor elk OS met elk "gevaarlijk" lek.
Het lek is net zo gevaarlijk, misschien zelfs gevaarlijker, als het bekend is er te zijn maar niet hoe het werkt. Immers de kwaad-willende kunnen het idee hebben het te gaan misbruiken door de lagere prioriteit van oplossing. De grote jongens weten dat er een lek is en zal de zoektocht ernaar intensiveren.
Het is inderdaad maar de vraag of Microsoft haast had gemaakt met een patch als dit niet openbaar was geworden. Ze hadden net zo goed kunnen wachten tot de eerste 0-day exploit uit was gekomen.
Maar goed, de oplossing is in zicht. Dan kunnen de beheerders van grote netwerken weer opgelucht adem halen.
En maar hopen dat bug-jagers hier iets van leren. Bijvoorbeeld dat zorgvuldigheid gaat voor eigen roem.
Onzin. Dat een exploit niet publiek bekend is wil niet zeggen dat diegenen die een exploit -zoeken- om misbruik er van te maken deze exploit niet vinden. En die personen zullen deze exploit nooit naar buiten brengen.
Het is een vals gevoel van veiligheid wat je dan creeert. Dan denkt men "oh het kan nog wel even wachten" maar ondertussen zijn er overal onverklaarbare problemen veroorzaakt door 1 persoon die ook deze exploit heeft gevonden.
[u]Beveiliging door obscuriteit werkt niet.[/U]
Helemaal onzin denk ik niet, er zullen best nuance verschillen per exploit zijn.
Denk ook aan het veelgenoemde TCP/IP probleem dat nog niet opgelost is en waar ""men"" nog erg geheimzinnig over doet.
Hier is gewoon de vraag of de tegenpartij sneller het probleem vind of de "men" de oplossing.
Het lijkt gewoon het "kip/ei" probleem, er is denk ik geen absolute oplossing voor een relatief probleem.
er zijn ongetwijfeld ook gaten in OSS die misbruikt worden maar niet gemeld omdat anders het voordeel van de hacker verdwijnt. Niet iedereen heeft ideële motieven vrees ik.
Pas wannneer blijkt dat er iets mis gaat kan achteraf een oplossing gemaakt worden. Denk hierbij aan de inbraak op diverse Linux ontwikkelteams die de zaak aan het licht brachten.
Daar was ook duidelijk sprake van een tot op dat moment geheim gehouden exploit die misbruikt werd door de "'vinder"" ervan. Die heeft ook niet de kwetsbaarheid gemeld. wat natuurlijk logisch is, de wereld is niet alleen lief.
Denk hierbij aan de inbraak op diverse Linux ontwikkelteams die de zaak aan het licht brachten.
?
Iets met een bron, ofzo.
Want ik weet zo 1-2-3 niet waar je het over hebt.
(Kan best dat ik iets gemist heb, en zo ja wil ik daar graag over lezen. Niets is heilig).
Het leveren van bewijs is niet SED's sterkste kant. Het is voor hem vaak al aantoonbaar bewezen als hij het beweert heeft.
Grappig dat je dat zegt. Zelfs in dit topic heb ik een link gezet naar een artikel over een gebeuren dat ook op webwereld uitgebreid is besproken.
Ik ben zo naïef om te denken dat wat hier al besproken is nog wel bekend zal zijn. Dat soort bewijzen lever ik dan ook niet meer en kennelijk is dat voor jou weer aanleiding om te sneren.
Ik zou dus zeggen scrol even naar beneden en je ziet een link die ik al eerder geplaatst heb.
Petertje, reageer met kennis en niet vanuit je hormonen, dat scheelt een stuk ;)\
maar speciaal voor jou dan eenmalig ( als kerstkadeau)
Redhat en fedora gehacked
Sommige bedrijven overkomt dit bijna elk jaar, en dan moet je bedenken dat je nog geen fractie hoort van wat er werkelijk gebeurt. Dan heb ik hier alleen wat voorbeeldjes van vijf minuten googelen.
2000
2001
2004
2005
2006
2007
2008
Overigens, bovenstaand betreft allemaal inbraken op Microsoft netwerken.
Laatste nieuws (19 december 2008):
Once again Microsoft got defaced by means of SQL Injection. Few days ago a defacer known as Agd_Scorp defaced 6 Microsoft websites.
en als het bij Microsoft bedrijven vaker gebeurt is het niet erg dat het bij fedora en Redhat gebeurt?
ps, je zou toch niet meer op me reageren?
Kijk, beste vriend, dit gaat over Microsoft, jij moet daar Redhat bijslepen (for obvious reasons), maar wat daar gebeurt gebeurt op vele plaatsen, altijd en overal.
Dat het niet erg hoor jij nergens zeggen, dat ik niet op jou wil reageren ook niet, maar nu je de hint geeft...
Het is inderdaad niet zo'n spannende discussie.
Okee, als jij RedHat diverse bedrijven wil noemen heb je gelijk. Volgens mij is RedHat één bedrijf en niet meerdere. Maar goed, dat kan je vast aantoonbaar weerleggen.
En reageren uit hormonen... Is dat je nieuwe stopwoordje?
Oh ja, aantoonbaar bewijs voor Fedora vergeten.
Whois: Fedoraproject.org
ID:D101496757-LROR
Name:FEDORAPROJECT.ORG
Registrant
Red Hat, Inc.
1801 Varsity Drive
Raleigh (NC)
geweldig je hebt gevonden dat fedora en red hat dezelfde erfenis delen en verder ga je niet in op het werkelijke probleem daar.
maar als jij daardoor het idee hebt dat OSS volledig veilig is dan gun ik je dat gevoel van harte ;)
Jij had het over een inbraak bij meerdere ontwikkelteams toch? Ik wijs er alleen op dat Red Hat en Fedora het zelfde ontwikkelteam is. Dus blijft over, één inbraak die geen noemenswaardige schade heeft aangericht.
En ja, het was vervelend dat daar ingebroken is. Maar er wordt op zoveel plaatsen wel eens ingebroken. Moet ik alle bedrijven links laten liggen waar ooit eens is ingebroken?
Het enige wat je hiermee aantoont is dat het wel eens mis kan gaan, maar ontken ik dat? Ik reageer alleen op de door jouw verzonnen 'meerdere ontwikkelteams'.
Beveiliging door obscuriteit werkt niet.
Precies. Kijk maar het debacle rond de OV chipkaart.
Nu ik hier toch ben:
Hoe moet je die beveiligingspatch eigenlijk ophalen? Met de Internet Exploder? ;-))
Als dat maar goed gaat dan...
Onzin. Microsoft reageert alleen en alleen dan indien zo'n exploit in het nieuws komt en MS er negatief door wordt neergezet. Het openbaar maken van een exploit als deze is gevonden zal ervoor zorgen dat MS in aktie -moet- komen.
Het model dat binnen Linux wordt gehanteerd is in dat opzicht stukken beter dan de methodes die MS hanteert. Het zorgt er daar namelijk voor dat kritische problemen sneller door meerdere mensen kan en zal worden opgepakt en opgelost. Gaat soms niet altijd even goed maar het is wel de methode die het beste is: dat er fouten in software zit is een gegeven, dat er exploits zijn is een gegeven. Het gaat erom hoe lang zo'n exploit aanwezig is voordat deze opgelost is.
Het geheim houden van een exploit zorgt ervoor dat anderen deze ook kunnen ontdekken. En des te langer dat een exploit geheim blijft des te langer kan de oplossing volgens MS wachten (want 'niemand' weet er van af (denkt men)).
Ik denk dat dat niet alleen voor MS geld, Closed Source bied deze mogelijkheid door het karakter er van, Adobe was er bijvoorbeeld ook niet als de kippen bij toen de Reader en Flash gevaarlijk waren.
Ik wil niet zeggen dat OS-OSS hiervan gevrijwaard is, maar de (sociale) controle is wel veel groter. Nu met het verlies en diefstal van gegevens is de definitie van "gevaarlijk lek" misschien ook wel anders en komen prioriteiten in beveiliging ook anders te liggen.
Dat er over veiligheid, lekken, features, diefstal e.d. beter nagedacht moet worden en er eventueel strenge(re) regels met straffen op naleving moet komen lijkt mij duidelijk.
Closed Source bied deze mogelijkheid door het karakter er van
Wat heeft dat er in godsnaam mee te maken ?
Een OSS applicatie als Firefox houdt ook gewoon alle kritische bug in hun 'publieke' bug tracking database verborgen. Niks openheid dus.
Zelfs jij zal moeten toegeven dat Closed Source zich beter leent voor security through obscurity dan Open Source. Volgens mij heb je dat zelfs al een paar keer aangegrepen als kritiek op Open Source.
Closed Source zich beter leent voor security through obscurity dan Open Source
Ik denk dat het inmiddels niet veel meer uitmaakt.
Exploits worden ook niet geschreven op basis van source code maar op basis van decompile en debug tooling die de zwakheden in de binary blootlegt.
Experts kunnen inmiddels met hun tooling makkelijker een exploit bouwen door de twee binaries van voor en na een patch te vergelijken dan door de verschillen in de source code te analyseren.
Je reageert niet op Peter Koopman, hij zegt dat obscurity gekoppeld is aan closed source, dat klopt gewoon, open source kan nooit obscurity als security model gebruiken.
Daarbij, de ene keer zeg je dat criminelen te dom zijn om ongezien door het Internet te bewegen, en de dag erna zeg je dat ze experts zijn die makkelijk het functioneren middels decompileren van twee binaries kunnen vergelijken.
Daarbij, de ene keer zeg je dat criminelen te dom zijn om ongezien door het Internet te bewegen, en de dag erna zeg je dat ze experts zijn die makkelijk het functioneren middels decompileren van twee binaries kunnen vergelijken.
Waar zeg ik dan dat criminelen dat doen ?
Volgens mij wordt dat soort dingen tegenwoordig gedaan door 'security researchers' die vervolgens de boel publiceren waarna door criminelen ingehuude hackertjes met een stapeltje jack tooling daar daar dan malware van bakken.
Het zijn dus vaak gewoon betaalde security experts die dit soort zaken zitten uit te zoeken.
De hackertjes plukken de zooi gewoon van 'security' sites of 'research' sites als metasploit.
Zeg je nu eigenlijk dat 'security researchers' hoofdzakelijk (hopelijk onbedoeld) werken voor criminelen? En dat criminele zelf te dom zijn om gaten te vinden? Als dat zo is, waar komen dan zo nu en dan die Zero-day exploits vandaan? Nog even en je gaat beweren dat black-hat hackers een verzinsel zijn.
En dat criminele zelf te dom zijn om gaten te vinden?
Het is niet een kwestie van domheid maar van slimheid. Waarom zou je zelf het moeilijke werk doen als je de exploits gewoon kan inkopen of zelfs gratis van het internet kan kopieren.
Experts kunnen inmiddels met hun tooling makkelijker een exploit bouwen door de twee binaries van voor en na een patch te vergelijken dan door de verschillen in de source code te analyseren.
En dit kunnen dan geen criminele expert zijn? Of een expert die betaald wordt door criminelen doet legaal werk? De hacktools zoals ze vrijelijk te koop zijn, ook voor exploits, kunnen alleen bedient worden door een expert?
Nu vraag ik mezelf af wat voor jouw de definitie van expert is.
En dit kunnen dan geen criminele expert zijn?
Dat kan wel maar waarom ?
Als de info ook op andere manieren te krijgen is.
Of een expert die betaald wordt door criminelen doet legaal werk?
Het kan wel en misschien zijn die er ook wel maar het inhuren van dergelijke expertise is momenteel voor het verkrijgen van bruikbare exploits geen noodzaak.
De hacktools zoals ze vrijelijk te koop zijn, ook voor exploits, kunnen alleen bedient worden door een expert?
Nee, die kunnen de meeste scriptkiddies ook nog wel gebruiken.
Dus je reactie uit een andere draad over criminelen die dom zijn is niet geheel accuraat of hier in deze draad praat je onzin.
Het is in deze wereld gewoon mogelijk om en crimineel te zijn én om expert te zijn, een "scriptkidy", een relatief domme crimineel, kan met "expert" tools dus ook "expert" misdaden plegen.
En dan moet ik je als serieuze discussie partner zien. Dat is dan moeilijk hAl.
Maar dan zouden al de security experts ook gewoon kunnen stoppen met zoeken, dan worden er nooit meer lekken gevonden die uitgebuit kunnen worden, want alleen security experts kunnen die lekken vinden. Een briljante oplossing, als het waar was.
Ik zelf denk dat het eerder een soort van wapenwedloop is. De experts liggen gelukkig redelijk voor, maar de black-hatters liggen niet ver achter.
Zoals NoChrome ook al aangeeft, dat is niet wat ik zeg. Dat security through obscurity niet werkt weet ik, maar dat het bij OSS nog minder werkt dan bij CS zal je toch hoop ik wel met me eens zijn?
Bij CS kunnen alleen (fictieve) slimme criminelen het kunnen vinden, maar bij OSS zouden zelfs de (Bassie en Adriaan) domme criminelen het kunnen vinden. Dus hopen dat je Open Source software veilig is, omdat het gat toch lastig te vinden is, is niet zo slim.
Bij CS kunnen alleen (fictieve) slimme criminelen het kunnen vinden, maar bij OSS zouden zelfs de (Bassie en Adriaan) domme criminelen het kunnen vinden
Wat ik dus bedoel is dat als een OSS bedrijf een patch uitrolt er helemaal geen noodzaak meer is om in de source code te kijken omdat de gepatchte binaire code genoeg informatie verschaft en bovendien nodig is om een zinvolle exploit te maken.
Ik denk niet dat het ontbreken van source code momenteel nog een significant veiligheidsvoordeel oplevert voor closed source applicaties.
Je blijft mijn vraag hardnekkig ontwijken. Dat security through obscurity niet werkt weet ik, maar dat het bij OSS nog minder werkt dan bij CS zal je toch hoop ik wel met me eens zijn?
Het is een waarheid als een koe, beste Peter, je hebt gewoon gelijk. Het is te simpel voor woorden.
Dat er twee mensen zijn die in paniek beginnen te draaien om een dergelijke simpele waarheid toe te geven, ik weet wel waar het probleem zit, jij ook, en iedereen weet het.
Ik heb je vraag al beantwoord.
Ik denk dat het het ontbreken van de source daarop geen invloed heeft omdat je tegenwoordig ook zonder de source kan prima kan zien welke security wijzigingen in een software pakket zijn aangebracht.
Security door obscurity zit meer in de omgang met security issues en de informatieverstrekking daarover en dat is niet echt gerelateerd aan het oss of cs model.
Je kan best een open source project zijn en toch maar heel weinig informatie verstekken over security issues en je kan best closed source zijn en uitgebreide details verstrekken.
...en je kan best closed source zijn en uitgebreide details verstrekken.
Daar zeg je het goed hal. Verstrekken. Van OSS staat de code gewoonlijk online en is er niets te verstrekken of achter te houden. Klein verschil wat grote gevolgen kan hebben.
Als de code online staat is er niets achter te houden. Als niemand de code leest en de bug niet bekend wordt is een ander verhaal. Controle is mogelijk. Bij CSS is dat niet het geval. Er is niets mis mee hoor, maar het is wel een verschil.
Het is niet een garantie dat er geen fouten inzitten, maar dat is met alle software zo.
Uit de praktijk blijkt dat ook in open source exploits zitten die bekend zijn aan een of een beperkt aantal mensen. Dat blijkt bijv uit de nog vrij recente inbraak bij diverse Linux distros. RED Hat en Fedora gekraakt
Pas nadat er misbruik is vastgesteld ( en die hangt een black hatter niet aan de grote klok) kan men het gat opsporen. OSS op zich is geen garantie dat er geen onbekende exploits kunnen bestaan. Slechts de theoretische kans dat ze gevonden worden door bestudering van de code is groter. Dat laatste is ook simple, CSS geeft geen code vrij wat echter niet wil zeggen dat het daardoor onveiliger is geworden. Die laatste conclusie is wel vaak getrokken maar slechts een kwestie van visie op een probleem.
Een prachtig verhaal maar ook dit gaat weer voorbij aan mijn verhaal. Ik beweer niet dat OSS of CS wel of niet gebruik maakt van security through obscurity. Noch beweer ik dat security through obscurity niet voorkomt bij OSS. Noch dat OSS een garantie is tegen security through obscurity.
Dat security through obscurity niet werkt weet ik, maar dat het bij OSS nog minder werkt dan bij CS zal je toch hoop ik wel met me eens zijn?
Was het maar zo simpel.
In een wereld waar er mensen zijn die geld over hebben voor dit soort informatie zullen er altijd mensen de moeite doen om die informatie verstrekken
Als dat een bewijs is dat het "gat" bekend was omdat het OS-OSS is lust ik er nog meer.
Gaten in elke vorm van software of Operating System worden of gevonden door "kwaden" en direct misbruikt of door "derden" die ze opgeven en laten oplossen, pas ná deze bekendheid gaan de kwaden aan het werk.
Maar het sluit niet uit dat een door "derden" gevonden gat tijdens de oplossende periode óók gevonden worden door "kwaden", en hier zit dan de kwinkslag, hoe snel moet dat gat dicht, we hebben immers de "kwaden" op een idee gebracht, er zit een gat, ik zeg niet welk maar wel dat deze veel kwaad kan, hij zit in TCP/IP en voor elk OS. Denk je nu dat mensen denken "hee joh ze weten dat het er zit, laten we maar niet zoeken" neen, ik denk dat ze net zo hard zoeken, het is maar de vraag wie het eerst is.
Experts kunnen inmiddels met hun tooling makkelijker een exploit bouwen door de twee binaries van voor en na een patch te vergelijken dan door de verschillen in de source code te analyseren.
Lol.. Dus jij zegt dat het gemakkelijker is om door wat opcodes heen te tracen dan een diffje met goed leesbare code door te lezen?
Ik weet niet of je wat ervaring hebt met decompilen en door instructies heen tracen, maar ik vind toch altijd de code een stuk leesbaarder dan het binaire of gedecompilede spul.
Het is in code makkelijker om het verschil te lezen. In een decompiler is het effect van de aanpassing beter te beoordelen en die heb je uiteindelijk toch wel nodig als je een exploit ga ontwikkelen
Het is in code makkelijker om het verschil te lezen. In een decompiler is het effect van de aanpassing beter te beoordelen en die heb je uiteindelijk toch wel nodig als je een exploit ga ontwikkelen
Het effect van een aanpassing in code is een decompiler helemaal niet makkelijk te beoordelen. Tien regels code kunnen al 2000 regels decompiler-instructies opleveren met adresaanduidingen in plaats van zinvolle veraibele of functienamen.
Zie bijvoorbeeld:
http://www.backerstreet.com/rec/rec.htm
Exploits worden ook niet geschreven op basis van source code maar op basis van decompile en debug tooling die de zwakheden in de binary blootlegt.
Experts kunnen inmiddels met hun tooling makkelijker een exploit bouwen door de twee binaries van voor en na een patch te vergelijken dan door de verschillen in de source code te analyseren.
Er is hier 1 woord van toepassing: wanbegrip.
Extra vreemd als je hAl's geclaimde VMS-achtergrond meeneemt. Toen ik twintig jaar geleden voor het eerst kennis maakte met VMS-DCL kwam ik het DIFFERENCE-commando tegen, dat maakte het toen al kinderlijk eenvoudig om verschillen in broncode boven water te krijgen.
Ik moet er niet aan denken om aan storingsanalyse te doen zonder broncode van de betrokken software. Dat hAl binary-vergelijking serieus oppert voor de analyse van software wekt hevige verwondering bij mij op.
Ik denk dat hAl hier op doelde:
http://erratasec.blogspot.com/2008/04/automatic-patch-based-exploit.html
Verder veel "formica fello" wat een nieuwe hobby lijkt van sommigen hier. Jammer.
hAl haalt decompilatie-code-analyse aan om te ondersteunen dat security-through-obscurity in een OSS-omgeving van een vergelijkbare waarschijnlijkheid is als in een CSS-omgeving.
Op grond van jarenlange ervaring met storingsanalyse zeg ik dat dat kul is. Broncode-analyse is veel doelmatiger dan analyse van binaries, en als ik de keus heb zal ik zonder aarzelen voor broncode-analyse kiezen. Het blote feit dat iemand een andere mening aanhangt duidt er wat mij betreft op dat die persoon niet uit de programmeerwereld komt, of er niets te zoeken heeft. hAl lijkt me een beheerder. Jij klinkt als een verkoper.
dat dat kul is.
of er niets te zoeken heeft
hAl lijkt me een beheerder.
Jij klinkt als een verkoper.
fijn om met je te discussiëren. Maar zoals altijd blijf ik netjes en laat het beledigen aan anderen over.
Succes ermee, je goede voornemens voor 2009 mag je weer verder uitbreiden ;)
Dat je de woorden 'verkoper' en 'beheerder' als belediging opvat is jouw probleem, ik gebruik ze nooit zo. In het geval dat één van de twee werkelijk op jou van toepassing is, kan ik je aanraden zo snel mogelijk ander werk te zoeken. Of, als je enkel een verschrikkelijk minderwaardigheidscomplex hebt, therapie.
Als een programmeur denkt dat het even simpel is om probleemanalyse aan de hand van decompilatie te doen als aan de hand van de broncode, dan is die programmeur:
- dronken
- of nog in opleiding
- of dringend toe aan ander werk
Of een combinatie van die drie.
Beste hAl, zonder "divine intervention" , genoeg geduld heb gehad om je deze draad te laten en met het risico weer de schuld te krijgen van het anti MS/hAl/calimero gedrag wil ik toch even je vraag beantwoorden omdat er in de vreemde navolgende discussie niet beantwoord is geworden.
In closed source worden alleen de "publiekelijk" gevonden bugs openlijk geventileerd. Dit heeft niets met het oplossen te maken, we hebben het over vinden. De enigste die dit kan weerleggen is de maker van deze CS software zelf.
Closed Source bied deze mogelijkheid door het karakter er van
Dit is het karakter van CS, een bedrijf waar elke regel code schrijven gewoon geld kost, waar patches, up-dates, bug-tracking enz. gewoon een financiële overwegingen zijn.
Als er in de maatschappij een ding als een paal boven water staat is het geld niet direct een maatstaf is voor eerlijk gedrag.
In Open Source is alle code voor iedereen in te zien, als jouw Ff voorbeeld genomen wordt kan inderdaad één persoon zich stil houden over een lek dat hij of zij vind, dan zijn er in en buiten deze community altijd nog personen die datzelfde lek kunnen ontdekken. Het enigste gewin dat deze persoon kan hebben is het voorkomen van gezichtsverlies als hij of zij het lek zelf veroorzaakt heeft. Het stilhouden kan hij of zij alleen volhouden als deze persoon ook zelf de oplossing (snel) wil brengen om zijn vermeende gezichtsverlies te voorkomen.
Het leuke is dat de Open Source community ook zijn hAl, SED, pol528, en andere figuren kent, immers is het voor sommige mensen altijd leuk om iemand zijn fouten in te wrijven, of vreemde redenen aan willen voeren of gewoon met gerede twijfel willen discussiëren.
Dit maakt dat "geheimhouding" een zeer moeilijk vol te houden bezigheid is. En dat geld voor alle Open Source.
Nu weer het bedrijf waar men mij antipathie tegen verwijt, (maar Adobe had ik ook expres in mijn voorbeeld genoemd omdat het voor elk CS bedrijf geld) omdat het de grootste is en de laatste tijd zeker de voorbeelden geeft is het het makkelijkst.
Men weet dat er statistisch gezien een X aantal fouten per X aantal regels code is, geen enkel CS pakket schijn aan dat aantal te voldoen, CS schijnt tegen de statistieken in véél beter te presteren.
De enigste reden die ik daar voor zou kunnen bedenken is Beta testen, ik ga niet over de kwaliteit van programmeurs discussiëren want elk van de groepen heeft zijn goeden en slechten. Nemen we Vista, bij uitbrengen waren er veel te weinig drivers, was er te weinig programma ondersteuning, waren er nog veel bugs, dit staat allemaal vast, hier is dus geen discussie. Maar WTF hebben ze dan getest? (retorisch) Met het licht op deze problemen moeten er bugs, security issues, en aanverwanten in zitten. Welnu, dat is CS, de maker ventileert wat hij/zij wil, maakt de balans tussen kosten en baten en niet tussen klantvriendelijkheid en veiligheid.
Voorbeelden? (retorisch) Vista, Vista capable, IE enz. tot in de hardware die ze maken aan toe.
Onzin. Microsoft reageert alleen en alleen dan indien zo'n exploit in het nieuws komt en MS er negatief door wordt neergezet. Het openbaar maken van een exploit als deze is gevonden zal ervoor zorgen dat MS in aktie -moet- komen
Een pure flauwekul opmerking.
Microsoft patch vrijwel elke maand kritische lekken die niet in de openbbaarheid zijn gekomen. Volgens jou onzin theorie zou dat helemaal niet kunnen.
hAl, je bent een vreemde discussie partner, ik probeer me er van weg te houden maar maakt dat veel te moeilijk.
Je doet een reactie af als pure flauwekul, daarvoor haal je "in gods naam" er bij terwijl het gewoon legitieme opmerkingen zijn.
Als je niet écht wil discussiëren maar gewoon wilt ventileren ben je op fok of consorten beter thuis.
Het zijn geen legitieme opmerking omdat evident elekemaand bezewezen wordt dat het niet waar is. Maandelijks worden er zaken gepatched waarvan geen exploit in het nieuws is en dus is de stelling dat MS alleen iets doet als er een exploit in het nieuws is gewoon flauwekul.
Het zijn geen legitieme opmerking omdat evident elekemaand bezewezen wordt dat het niet waar is.
Ik weet niet wat je schrijft, ik ben bang dat je weer op de verkeerde zit te typen.
Het laatste deel van je reactie is ook vreemd daar over die stelling gewoon verschillende meningen mogen zijn, omdat noch MS noch de gemeenschap met bewijzen (kan) komen. Dat MS de schijn tegen heeft en hier het nadeel van de twijfel heeft moge logisch en duidelijk zijn, maar het lijkt er op dat als het jouw mening niets is je woorden mag gebruiken die je bij een ander als trol aanmerkt en tactieken volgen waar een ander stalker toegeworpen krijgt.
Microsoft patch vrijwel elke maand kritische lekken die niet in de openbbaarheid zijn gekomen.
Hiermee wordt erkend dat security-rapporten die bugs in Firefox en IE vergelijken op drijfzand zijn gebaseerd, want MS fixed meer bugs dan het openbaar maakt. Nu weten we dat allemaal allang, maar om dat een MS fanboy te horen zeggen is altijd een opstekertje.
MS heeft juist de laatste tijd een prima trackrecord als het gaa tom patchen van problemen. dat ondanks de gigantische berg werk aan regressietesten en mogelijke gevolgen van een patch die gezien de brede inzet van MS moet plaatsvinden.
je kunt niet zomaar even een patchje uitbrengen zonder grote risicos, daar moet heel wat afgetest worden en dat kost gewoonweg tijd.
Als je kijkt naar maatwerk op bestaande producten dan zie je vaak dat een patch reeds bekend is maar nog niet ingezet kan worden omdat er eerst gekeken moet worden naar de gevolgen voor het maatwerk. De gevolgen van een foute MS patch zijn gigantisch. Tot die tijd is mi nu bewezen, stilte over de exploit het beste.
Leuke stelling, maar het is toch genuanceerden dan dat, wat is de draagtijd van een openstaand lek? Hoelang moet/mag een aangever wachten met openbaring van details?
Het probleem is groter dan alleen MS, de hele sector heeft ermee te maken. De (noem het even zo) criminelen zijn er bij gebaat dat het lang duurt, des te meer tijd hebben zij voor misbruik, programmeurs hebben tijd nodig voor een goede oplossing, de een sluit de ander niet uit.
Hoelang moet/mag een aangever wachten met openbaring van details?
Totdat de informatie geen schade meer kan aanrichten. Als dat lang duurt is het vervelend voor 1 persoon. Voortijdige publicatie schaadt vaak vele duizenden personen.
Hoelang moet/mag een aangever wachten met openbaring van details?
0 secondes. Omdat de tijd voordat deze exploit is gevonden tijd is waarin een ander misbruik kan maken van die exploit. En omdat als die exploit bekend is dan an een consument er rekening mee houden door bepaalde handelingen (tijdelijk) niet uit te voeren of extra extra alert te zijn tijdens het uitvoeren van die handelingen.
En dit was echt geen fout hoor. Dit is een bewuste aktie waarvan men of de impact niet van wist OF men wist wel de impact en wilde een oplossing forceren.
Het een sluit het ander echt niet uit, soms is het kompleet openbaar maken de methode en soms kompleet over zwijgen en alleen doorgeven. Het is in het laatste geval weer de discussie wie bepaalt hoe ernstig het is, degene die het vind kan het heel belangrijk vinden terwijl de programmeur het als een kleinigheidje of feature afschildert. Dan heb je als vinder eigenlijk geen keus meer en maak je het geheel of gedeeltelijk openbaar waardoor je weer andere problemen creëert.
Je kunt een groep opstellen die deze bepaling neerzet en de leverancier op de hoogte stelt met de daarbij opgegeven criteria. Bij OS-OSS is de community al deels deze groep, maar bij CS is dit moeilijker, je hebt met bedrijven te maken en daar is de kosten baten analyse vaak belangrijker.
Het is nu in ieder geval bewezen dat het in de openbaarheid brengen van exploits voordat de fabrikant een oplossing heeft zeer ongewenst is.
Dat heeft de openbaarmaker zelf ook al toegegeven. Het was een fout.
Ik heb daar mijn twijfels over.
Het is opvallend hoe publiciteitsgeil bepaalde 'security' bedrijven zijn.
Inmiddels worden de meeste malware programma's gebouwd op basis van informatie verstrekt door security onderzoekers. Traditionele hackertjes hebben er niks meer mee te maken. Daarmee is dus eigenlijk de security sector zich zelf in stand aan het houden.
Het feit alleen al dat er een vaste dag in de week is voor het uitgeven van updates doet mij de haren in mijn nek rechtop staan. Uiteraard moeten er updates komen, vooral voor kritieke lekken. Maar wekelijkse updates??? Zoiets legt toch wel de zwakke plek van een OS bloot. En dan ook nog durven beweren dat Windows beter is dan Linux of OS X??? *Proest*
Hij vindt dat er gepatched moet worden als er gepatched kan worden.
Dus als op woensdag een patch bekend is moet deze die woensdag of donderdag er uit en niet 6 dagen later omdat het dan toevallig patch-dinsdag is.
Stel ik heb op woensdag problemen vanwege deze patch en kan deze alleen oplossen als mijn leverancier die patch beschikbaar stelt terwijl de oplossing op die woensdag bekend is. Dat begrijp ik niet. Moest ik eens doen met onze software... dan kon ik op onbetaald verlof...
Ik vind dat onvoldoende.
Patches komen op allerlei momenten beschikbaar. Zelfs linux distro's bundelen hun patches om niet continu te blijven patchen.
Ik zit niet te wacht op 150 patchmomenten van Microsoft omdat ze toevallig 150 windows en office patches in een jaar uitrollen en als ik dan al mijn andere software reken dan gaat het misschien wel over 1000 patches per jaar. Dat is gewoon niet te doen.
Bundelen van patches is dus prima en iedereen in de softwareindustrie doet dat.
Er is niemand die standaard bij elke nieuwe patch een nieuwe versie over de muur gooit. Dat zou kosten inefficient zijn en de klanten zouden er gek van worden.
Bundelen van patches is niets mis mee. Het is wel zo dat wanneer er b.v. 20 patches gebundeld zijn je toch ook 20 keer moet testen. Het is maar net wat voor software je gebruikt. Snel patchen is goed. Voor degenen die het willen dan wel nodig zijn kun je dan alsnog een keer in de maand een gebundelde patch uitgeven. Is dat nou zo moeilijk?
Snel patchen is goed. Voor degenen die het willen dan wel nodig zijn kun je dan alsnog een keer in de maand een gebundelde patch uitgeven.
Nee, dat is juist slecht.
Meest exploits worden in de laatste jaren ontdekt naar aanleiding van een patch. Meestal is er na de release van een patch binnen enkele dagen een exploit. Het is dus volstrekt ongewenst dat je een tweeslachtig beleid voert waarbij sommigen snel patch en anderen de patch opsparen.
Zodra er gepatched wordt zijn de vunerabilities te vinden en de exploiteren nemen de risico's ten aanzien van de (gepatchte) onveiligheden astronomisch toe en zijn daardoor ongepatchte computer veel kwetsbaarder. Je moet dus zorgen dat iedereen zo snel mogelijk patched. Een strategie om dat te doen is door patches in te plannen en daarmee te realiseren dat iedereen dan voorbereid is en zeer snel kan overgaan op het daadwerkelijke patchen.
Nee, dat is juist slecht.
Meest exploits worden in de laatste jaren ontdekt naar aanleiding van een patch. Meestal is er na de release van een patch binnen enkele dagen een exploit.
Is het dan niet zo dat de exploit juist misbruikt wordt op ongepatchte systemen?
Het is niet naar aanleiding van een patch. Het is naar aanleiding van het bekend worden van een patch voor een bepaald exploit dat te misbruiken is door nu juist de patch voor die exploit niet te installeren. Maar goed, jij zult wel gelijk hebben.
Mainstream distros zoals ubuntu, redhat en suse (en ook want minder mainstream zoals archlinux) bundelen hun patches helemaal niet. Die dingen zijn beschikbaar zodra het kan. (over andere distro's kan ik niets zeggen, want die gebruik ik niet).
Natuurlijk zit je wel met je dependencies; bv. Zodra er een patch voor een library zal een applicatie die daarmee gemoeid is pas geupdate worden zodra die library ook geupdate kan worden, want anders zegt je app 'boem'.
Natuurlijk zie je als gebruiker pas je patches als je je updatemanager refreshed. Ja, dan kunnen er meer staan, ja. Dat ligt niet aan de distributeur maar aan de regelmaat waarmee je op patches controlleert.
Natuurlijk zit je wel met je dependencies
Ik heb wel eens gehoord dat die jongens ook wel eens testen, vooral die van de debian achtigen waartoe Ubuntu ook behoort.
Het is wel een goed punt hoor, maar je bent er niet met aleen de test van de packages. Als je er systemen mee hebt draaien, dan zul je ook moeten regressietesten. Dat wil zeggen testen of alles het na de wijziging blijft doen.
Je moeet sowieso een beetje uitkijken met patchen en niet zo maar blind elke patch doorvoeren, zeker niet die van Microsoft. Het is daarom ook best wel kwalijk dat die alle patches bundelen, je gaat daardoor als het ware automatisch patchen zonder te testen. Bijkomend probleem met Microsoft is dat de systemen er op termijn instabieler van worden.
Waarom zou je een systeem patchen op functionaliteit die je niet gebruikt als dat ding veilig achter een firewall op een intern netwerk staat?
In deze tijd van virtualisatie is de wereld toch al heel anders, het uitrollen van een nieuwe verise van hetzelfde systeem is een fluitje van een cent. Configuratie en dat eroverheen en klaar is kees.
Tjonge, jonge, uit de bijdrage van Jeordy is duidelijk op te maken dat hij van mening is, dat er gepatcht moet worden, op het moment dat die patch beschikbaar is. In de praktijk zal dit dus betekenen dat er vaker gepatcht moet worden.
En wat is daar mis mee dan? Bedrijven die alle patches eerst testen hebben automatische updates toch al uit staan. Het zijn de honderden miljoenen thuisgebruikers die het vaakst, al dan niet onwetend, 'foute' sites bezoeken die iedere keer de klos zijn.
Die zelfde thuisgebruikers hebben over het algemeen de standaard instellingen van Windows aan laten staan en die krijgen de patch dan dus wel meteen binnen en zijn daardoor eerder weer relatief veiliger.
Ik ben voor het snel patchen dus en vindt dat er een cultuuromslag moet komen binnen Microsoft. Op deze manier speel je alleen de fabrikanten van beveiligingssoftware in de kaart en kost het de thuisgebruiker iedere keer veel moeite en misschien geld om de pc te (laten) repareren.
De out of band patch bewijst dat het wel kan, als er maar genoeg druk achter zit.
Wie hem niet wil of tijdelijk een andere browser gebruikt kan de patch installeren wanneer die wil. Wat is er toch mis met snel patchen vraag ik me dan af.
Hier komt weer het onbegrip om de hoek kijken dat bestaat bij OSS fans die vanuit vooral hobbyachtergrond naar bedrijfsmatige toepassingen kijken. Als bedrijf wil je niet dagelijks nieuwe patches moeten testen of installeren. Dat doe je na controle en testen en op vooraf bekende tijden. Daar speelt o.a MS ook op in. beter iets later maar goed geregeld dan snel en slordig.
Ik had ook aangegeven dat degene die eerst wil testen dat altijd kan doen. Dat is voor bedrijven een noodzakelijke keuze. Het is nog steeds geen argument om een patch niet beschikbaar te stellen als die al klaar is. Bedrijven die van testen afhankelijk zijn en die automatische updates aan hebben staan en dus op een ongewenst moment een patch binnen krijgen hebben er geen benul van waar ze mee bezig zijn. Dat heeft helemaal niets met OSS te maken. Ook daar kun je gewoon kiezen. Standaard staat in ieder geval bij Linux alleen een waarschuwing aan en je kunt het installeren of testen wanneer je wilt.
Als een patch eerder beschikbaar is kan een bedrijf ook eerder beginnen met testen als ze willen wat in mijn ogen alleen maar voordelen biedt.
Hoe sneller een onwetende thuisgebruiker een gerepareerd stuk software weer veilig kan gebruiken hoe beter.
Hier komt weer het onbegrip om de hoek kijken dat bestaat bij OSS fans die vanuit vooral hobbyachtergrond naar bedrijfsmatige toepassingen kijken.
Er is geen relatie tussen wat prikkebeen zeg en OSS, dat maak jij ervan. Windows wordt net als OSS ook in de hobbysfeer gebruikt, en waarschijnlijk honderd keer zoveel.
mijn reactie sloeg ook meer op iGNUtius en was feitelijk zelfs een ondersteuning voor prikkebeen.
dat Windows 100x meer gebruikt wordt bij hobbyisten zegt meer over het totaal aantal gebruikers dan over het toepassingsgebied ;)
dat Windows 100x meer gebruikt wordt bij hobbyisten zegt meer over het totaal aantal gebruikers dan over het toepassingsgebied ;)
dat klopt, en wat wil dat zeggen?
Windows wordt net als OSS ook in de hobbysfeer gebruikt, en waarschijnlijk honderd keer zoveel.
geen idee, was jouw tekst ;)
dus een open uitnodiging om ofwel beter te formuleren ofwel dit uit te leggen. Ik wacht beide opties wel even af .
Ah, dat zegt al weer een hoop.
Ik kreeg het eerste enge gevoel al bij zijn reactie van 12:05 waarin in een klassieke herkenbare verdraaistijl mij uitspraken in de mond werden gelegd die toch echt oorsponkelijk niet zo door mij gedaan waren.
edjez 17-12-2008 15:52
Ook ik had dat gevoel.....het is trouwens een bugmenot-account.
Ken er nog een.. weet men meteen waarom je zo'n bescherm engel bent.
Username edjez
Password edjez1234
Other
Stats 50% success rate (14 votes)
Did this login work out for you?
Ken er nog een..
Dat is een vals account. het werkt niet. Boze tongen beweren dat het door ene Theodoor is aangemaakt om een bepaalde discussiant hier te pesten. Of dat waar is weet ik niet.
Vreemd als je de naam dan blijft gebruiken, vraag je om twijfels over je reactie/bedoeling.
Maar oké als het niet zo is, excuses edjez, voor de bugmenot opmerking.
Ik heb al eerder (meerdere keren) zelf gemeld dat direct na het vertrek van een zekere medereageerder mijn nick ineens op bugmenot verschenen was. Met enige regelmaat kijk ik daar als ik weer een nieuwe nick zie verschijnen. In het verleden zijn er een aantal reageerders druk geweest met die accounts (ik noem een Fjodor, Mod(x), KalePiet, HenkjeDeisje). En in ene stond mijn nick erbij, met nog een successrate ook.
Toen ik ineens NoChrome hier op ww zag en ik ging kijken stond dat account er ineens ook.
Ik kan je garanderen (voor wat het waard is) dat mijn nick nooit met het genoemde wachtwoord gewerkt heeft.
Dan heb ik oprecht spijt van mijn opmerking, het bewijst dat er toch personen zijn die een ziekelijker gedrag vertonen dan ik voor mogelijk hield.
Opnieuw oprecht mijn excuses.
Bij een dusdanig brak systeem als windows zou één keer per week reeel zijn denk ik.
Dan weet ook iedereen, "ow het is dindag, éérst ff die bak opkrikken".
En heb je niet meer het probleem dat er een pleister weken lang op de plank blijft liggen.
Dat is wel een vreemde opmerking, elk besturingssysteem en elk software pakket heeft zijn fixes en up-dates nodig, in alle situaties kun je nu kiezen om ze te installeren wanneer je zelf wil, bedrijven kunnen testen voor het uitrollen, particulieren kunnen weer kiezen of ze het direct laten toepassen of afwachten hoe deze ontvangen wordt.
Dat Windows als besturing systeem met ingebakken Explorer gevoeliger kan zijn ben ik wel met je eens, maar brak is wat anders.
De ego's zijn weer flink bezig.
Eerlijk gezegd zal het me een worst zijn, Windows gebruik ik op mijn werk, het is een stuk gereedschap geleverd door de werkgever, daar ben ik gelukkig een gebruiker, hoef me totaal geen zorgen te maken over dit soort vraagstukken.
Goh, wat kan het leven toch mooi zijn.
Door de verdraaiingen en afleiding manoeuvres glijd het steeds verder van het directe onderwerp van het artikel:
IE patch en veiligheid.
Wat er niemand verbaasd, schijnbaar normaal gevonden wordt, is bij het "uitschakelen" van IE in programma toegang, er altijd wel een IE functie mee huppelt.
Bij sommige acties wordt deze gewoon gestart alsof ik geen keuze gemaakt heb (hoewel MS aangeeft haar sites Ff compatibel te hebben).
Bij up-dates (nu ook weer) krijg je die van IE gewoon mee, alhoewel je aangeeft IE niet te willen.
Dan mag dit gelijk twijfels oproepen bij het gebruik van alternatieve browsers, ben ik nu onveiliger omdat IE toch gewoon blijft draaien ondanks het gebruik van een veiligere browser?
Word bij tellingen en rapporten de ongebruikte IE, die schijnbaar toch meedraait, ook meegeteld?
Hoe je het ook wendt of keert, IE blijft een vreselijke wending in de MS geschiedenis.
Als je hierboven leest, schijnbaar niet, en als er niets over te zeggen valt is het een duidelijke statement.
Dan mag dit gelijk twijfels oproepen bij het gebruik van alternatieve browsers, ben ik nu onveiliger omdat IE toch gewoon blijft draaien ondanks het gebruik van een veiligere browser?
Word bij tellingen en rapporten de ongebruikte IE, die schijnbaar toch meedraait, ook meegeteld?
Legitieme vragen waar je een antwoord op kan gokken maar geen zekerheid over hebt die op zich ook weer vragen oproepen, maar wel in de stellingen als absoluut worden gebruikt bij voor en tegen hangers van OS-OSS CS MS MAC ...Xen, alles.
Wat ik beweerde, is dat deze vraag misschien al 10 jaar speelt. Ik ben daarover zo langzamerhand wel suf gel*lt. Als jij de discussie weer uit de sloot wil trekken? Have fun.
Ik trek de discussie niet uit de sloot. Elke daarop volgende discussie, zoals hier boven, komt nu eenmaal uit diezelfde sloot.
Ik heb geprobeerd om een groot gedeelte algemeen te houden, maar sommigen blijven zelf god, koningshuis, MS, Ff, Open Source, Closed Source, trollen en feeën uit die sloot trekken.
Er word door hun anderen beticht van het gedrag dat ze zelf tentoonspreiden, er worden anderen van gedraai beticht nadat ze zelf gedraaid zijn.
Je wilt je van hun reacties vrij houden en toch zoeken ze je weer op. Soms is hun reactie zo vreemd dat het ontzettend moeilijk is om niet te reageren waarbij het soms zelfs heel moeilijk is om beleefd te blijven.
Natuurlijk is het het beste om ze gewoon te negeren, maar je wil beleefd hun vraag toch beantwoorden terwijl je in de wetenschap leeft dat ze zelf gewoon wegblijven uit een draad en onbeleefd jouw vraag niet willen beantwoorden.
Jaren volg je de discussies en zie je het ze doen, je komt door omstandigheden meer in de reacties en je krijgt ze op je brood, je doet een draad niet echt mee en ze lijken een ander slachtoffer te zoeken.
Vreemde discussie partners, ja je doet er niets aan dan gewoon opnieuw proberen te negeren.
en als er niets over te zeggen valt is het een duidelijke statement.
zo kun je inderdaad wel ""nieuws"" maken ..
Ik heb gezien dat je nog niks gezegd hebt over het koningshuis, je bent dus een republikein.
Zo komen we in een discussie niet echt verder. ;)
Niemand weet of dat waar is, behalve de maker zelf. Feit is wel dat iedereen automatisch aan Theodoor denkt, dat kan een sluw persoon voorzien hebben.
Ik heb een bugmenot-plugin in mijn webbrowser. Ik blokkeer alle advertenties in mijn webbrowser, ik draag ook een alu-hoedje.
Waarom?
Omdat ik gesteld ben op mijn privacy. Iedereen moet het zelf weten, maar ik doe niet mee aan het spelletje persoonsgegevens vergaren.
Ik wil niet dat bedrijven als Google en Microsoft en allerlei vage allianties complexe gegevensbanken opbouwen en uitwisselen.
Ik wil niet dat ik ooit op een functioneringsgesprek wordt geconfronteerd met een prive-mening geventileerd op een of ander forum.
Dat is nu (nog) niet aan de orde, maar over vijf jaar?
Wie durft daar gif op in te nemen?
Ik begrijp, en ik zie het ook gebeuren dat verschillende mensen reageren als kippen die schrikken en opfladderen van iemand die "boe" roept.
Dat is jammer, vooral voor die mensen. Maar dat is niet mijn bedoeling.
Laat ik afsluiten met:
Elke gelijkenis met bestaande personen berust op toeval.
En verder, wens ik jullie allemaal veel discussie-plezier en wijsheid toe.
Vraag je maar eens af waarom je zo schrikt, aan een kip kun je dat niet vragen, maar aan verstandige mensen wel.
Vraag je maar eens af waarom je zo schrikt, aan een kip kun je dat niet vragen, maar aan verstandige mensen wel.
Als het er uitziet als een kip en kakelt als een kip, denken veel mensen dat ze te maken hebben met een kip.
Het "Heintje Davids" talent van Theodoor is legendarisch, evenals zijn talent om (ongetwijfeld onbedoeld) chaos te scheppen.
Om te kunnen reageren, dient u ingelogd te zijn.
Unified communications biedt vele voordelen, maar heeft ook specifieke uitdagingen en niet ieder project levert het verwachte ROI op.
Downloaden
1 jaar geleden: 26 mei 2011
2 jaar geleden: 26 mei 2010
14 jaar geleden: 26 mei 1998
IDG Nederland is uitgever van: AppFish
, CIO, Computer!Totaal, Computerworld, Jobworld, MacWorld, SHUTR fotomagazine, TechFish, Tips & Trucs, Webwereld en Zoom.nlMeer informatie: IDG Nederland, IDG.com, Privacy-statement, Cookie-statement Hosting by Terremark.
