Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 14, views: 5.122 •

Microsoft gaat vanaf oktober fabrikanten van beveiligingssoftware sneller informeren over beveiligingslekken in zijn software. Het bedrijf zal zijn Mapp-initiatief officieel op de Black Hat USA 2008-hackconferentie aankondigen.

Microsoft-logoMakers van beveiligingssoftware die zich aanmelden voor Mapp, kunnen al vr Microsofts maandelijkse 'Patch Tuesday' informatie krijgen over de beveiligingslekken die gedicht zullen worden. Het doel van het programma is de beveiligingsbedrijven te helpen met het vroegtijdig reproduceren van beveiligingslekken, het aanpassen van virusdefinities en het opsporen van virussen die gebruik maken van een nog te patchen exploit.

"De tijd tussen het bekendmaken van de Patch Tuesday-fixes en het opduiken van exploits wordt steeds korter en klanten hebben gevraagd om informatie om hier adequaat op te kunnen reageren. Wij willen met Mapp de mogelijkheden voor kwaadwillende hackers beperken", aldus Mike Reavey, hoofd van Microsofts beveiligingsafdeling. Soms weten hackers al binnen enkele uren na het vrijgegeven van de patches exploits uit te brengen. Microsoft heeft nog niet aangegeven hoe lang van tevoren patchinformatie zal worden vrijgegeven, maar volgens de Zero Day-blog op Zdnet zal dat waarschijnlijk 24 uur zijn.

Blackhat 2008 logoMicrosoft heeft wel een aantal criteria opgesteld waaraan makers van beveiligingssoftware moeten voldoen om aan het Mapp-initiatief mee te mogen doen. Zo moeten deelnemers effectieve beveiliging tegen netwerk- of host-based-aanvallen aan Microsoft-klanten leveren, moet de klantenkring voldoende groot zijn en mogen ze geen software verkopen waarmee aanvallen uitgevoerd kunnen worden.

Microsoft zal voortaan ook een 'Exploitability Index' publiceren. In deze lijst zal het bedrijf bijhouden wat de kans is dat bepaalde zwakke plekken in de beveiliging door hackers zullen worden benut. Aan de hand van die index kunnen systeembeheerders prioriteit geven aan patches, wat handig is voor bedrijven die patches eerst willen testen voordat ze op de computers in het netwerk worden losgelaten.

Reacties (14)

er werken mensen aan dus er zitten lekken in..... (of het nou windows of linux is)

voorlopig zal het ook zo blijven

van een andere kant gezien: als er geen lekken in zitten dan hebben hele hoop programmeurs geen werk meer......
Dan hebben een hele hoop programmeurs tijd voor nieuwe zaken te implementeren ja :p
die nieuwe zaken komen er pas als de business managers denken dat the general population er klaar voor is....
er geld nog altijd : je os is net zo veilig als de gebruiker. op een paar uitzonderingen daar gelaten dan
er geld nog altijd : je os is net zo veilig als de gebruiker. op een paar uitzonderingen daar gelaten dan
Onzin, de beheerder kan de gebruiker over het algemeen genoeg limiteren.
Dat is nog geen garantie... mijn moeder doet QA voor een bedrijf en heeft haar QA report documenten op een share staan waar blijkbaar iedereen met een PC in het bedrijf aan kan. Blijkbaar is daar geen systeembeheerder die de moeite neemt (of uberhaupt weet) om het zaakje dicht te timmeren.

Dit heeft verder niks van doen met de beveiliging van het OS, maar weerlegt je impliciete stelling dat systeembeheerders adequaat zijn om de veiligheid van je bedrijfsinformatie te waarborgen.

Daarbij is het in de meeste thuis-situaties zo dat er geen systeembeheerder is. Als pa een Aldi PC koopt, thuis neerzet en aan het internet knoopt dan is pa meestal ook de zwakste schakel in de beveiliging.


Om maar terug te komen op de stelling dat "het berhaupt nodig is om zoveel lekken te krijgen in je software", software maken, goede software maken, is lang niet altijd triviaal. Zeker niet als het om complexe systemen gaat (zoals een operating system) waar een gigantische berg legacy in zit waar alsmaar op voort borduurt wordt. Bij ons op het werk bouwen we ook op legacy code voort waar security nooit prioriteit heeft gehad, en de software die we op dit moment bakken is ook niet met security in het achterhoofd gebouwd. We maken demo en test software voor intern gebruik, dus zo'n probleem is het niet. We moeten dingen snel prototypen dus er is geen tijd of geld om veel aandacht te besteden aan security.
Maar als ooit iemand het handig vindt om deze software publiek toegankelijk te maken zal er geheid een potentieel security lek in zitten.

Ja, het zou fout zijn om deze software zo maar publiek toegankelijk te maken, maar vanuit commercieel standpunt uit begrijp ik heel goed dat het gemakkelijk en goedkoper is, of zelfs noodzakelijk met betrekking tot time to market, om het stuk software gewoon te recyclen, zo lek als het is.


In het kort, software security kost tijd om goed te implementeren, en dit creeert een spanningsveld tussen development en de commercie. En zolang security geen verkoopbare feature wordt zal de commercie het nooit enorm hoog op de wishlist hebben.
Dus, dames en heren consumenten, ben bereid om wat meer te betalen voor onze software, en wacht geduldig op onze software en laat de lekke software van onze concurenten de komende tijd links liggen, en we zorgen heel graag dat er geen lekken in zitten.

[Reactie gewijzigd door Structural op 6 augustus 2008 19:10]

Ik blijf het naar vinden dat je altijd op die Patch-Tuesday moet wachten voor het gefixed wordt... als je kijkt naar de snelheid van in het verleden verspreidde virii, wormen, ed.

of hebben ze ook emergency fixes door de weeks?
Het idee is dat op Patch Tuesday alle patches worden uitgebracht, zodat systeembeheerders maar 1x in de maand bezig moeten.

Dat werkt echter alleen als van te voren niet bekend is wat er wordt gepatched, dus de lekken nog niet openbaar zijn. Anders heeft het systeem maximaal 1 maand een groot bekend veiligheidslek.

In dat opzicht moet er, in mijn ogen, iedere keer dat er een lek bekend wordt z.s.m. worden gepatched. De systeembeheerder kan dan zelf beslissen of hij vasthoudt aan een vaste dag in de maand of de meest veilige optie kiest.
Kritische patches werden toch al buiten Patch Tuesday om vrijgegeven?
Inderdaad. Meestal binnen de 2 3dagen door al de testen die ze er op moeten draaien.
Ik snap het nut niet. Wat heb ik er nu aan dat mijn beveiliging software leveranciers (firewall, antivirus, etc) 24 uur voor dat er een patch uitkomt weten dat er een probleem met Windows is :?

Wat kan mijn softwareleverancier in die tijd doen waar ik dan ook nog wat aan heb. ?

En als die al wat kan doen, die 24 uur valt natuurlijk in het niet bij de meerdere maanden die Microsoft nodig heeft om de patch te maken. Al die tijd zijn mijn systemen ook al kwetsbaar.
Hoe lang heeft de mensheid er over gedaan coordat het wiel uitgevonden werd ? Maw, het kan nog heel lang duren voor er bullit proof systemen verschijnen en zolang misdaad loont blijven er ijverige bij'tjes op de aarde alles aanvallen.

De wereld staat voor makkelijke keuze's maar het logge regeerapparaat zorgt er voor dat simpele humanitaire zaken niet snel opgelost worden. Zo lang er voedselnood, oorlogen en verdrukking zijn maak ik me niet zo druk om een computer. Iedereen anno 2008 weet best wel wat kan en niet kan voor de veiligheid op de PC. Maarjah, als ik dan in de vuilcontainers kijk en zie hoeveel voedsel er weggegooid word dan vind ik dat een kwalijker zaak :)

Trek het 1 en ander wat uit zijn verband maar de PC is inmiddels ook wel een aardige melkkoe geworden. En dan te bedenken dat de PC er aan zou bijdragen dat er minder papier vebruikt zou worden, wat eigenlijk alleen maar is toegenomen.

Maar goed, MS is nog nooit snel geweest, eerst zien en dan pas geloven :)
En hoe komen ze achter een lek? toch ook doordat hij misbruikt wordt lijkt me?
Als mensen dan dus pas 29 dagen daarna een patch krijgen in geval van geen-kritische-patch vind ik aardig lang.

Blijkbaar zijn er dan dus wel behoorlijk veel kritische patches, want ik krijg regelmatig etjes bij afsluiten de melding dat mijn computer nog even gezellig blijft na brommen als ik in me bed lig omdat hij nog eventjes alleen wil zijn met zijn patch :P

Dan vraag ik me toch af, als er toch al af en toe een kritische patch doorheen wordt gelaten, kunnen ze daar toch gelijk de kleine patches tot dan toe ook bij stoppen? :S of denk ik nu te simpel? :P

Op dit item kan niet meer gereageerd worden.



Populair:Apple iPhone 6DestinyAssassin's Creed UnityFIFA 15Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox OneApple iOS 8

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013