Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 81 reacties

Google heeft deze week een kwetsbaarheid in Windows 8.1 openbaar gemaakt, omdat Microsoft te laat was met het patchen van de bug. De fout werd ontdekt door een team beveiligingsonderzoekers dat onder de naam Project Zero opereert.

Windows 8De bug maakt het voor reguliere Windows 8.1-gebruikers mogelijk om zonder toestemming administrator-rechten te verkrijgen. Hierdoor krijgen zij toegang tot functionaliteiten waar zij normaal niet bij horen te kunnen. Wel moeten de gebruikers daarvoor beschikken over geldige login-gegevens en bovendien fysiek bij het bewuste apparaat kunnen, zegt Microsoft tegen Engadget.

Beveiligingsonderzoekers van Google kwamen de fout in september op het spoor. Zij maken deel uit van Project Zero, dat vorig jaar werd gestart en het internet veiliger zou moeten maken. De onderzoekers pogen met het onderzoeksproject het aantal 'zero day'-beveiligingsproblemen te doen afnemen. Daarbij nemen zij ook de software van andere bedrijven onder de loep.

Google heeft de kwetsbaarheid deze week openbaar gemaakt. De internetgigant stelde Microsoft naar eigen zeggen in september al op de hoogte, maar die softwarefabrikant verzuimde om de bug binnen de gestelde termijn van negentig dagen te pletten. Volgens Google zou dit daarom het publiek maken van de bug - inclusief relevante informatie en een proof-of-concept - rechtvaardigen.

De vraag is in hoeverre Google er goed aan doet een kwetsbaarheid openbaar te maken. Daarover is nu namelijk een levendige discussie ontstaan. Sommigen menen dat publicatie de veiligheid niet ten goede komt. Google verweert zich echter door te zeggen dat computergebruikers ernaar kunnen handelen zodra ze van het bestaan van de bug weten. Microsoft zegt aan een patch te werken.

Moderatie-faq Wijzig weergave

Reacties (81)

Ik verwacht dat de patch een heel stuk meer spoed krijgt, intern bij Microsoft, ná deze publicatie. Dus in die zin: goed gehandeld in het publiek belang van Google. Ik vraag me bij dit soort dingen altijd wel af of er meer belangen spelen dan alleen maar het publieke belang..
Er is hier niet goed gehandeld. 90 dagen is een kort termijn voor volledig te testen dat een patch geen schade zou berokkenen. Laat staan als de feestdagen binnen die 90 dagen vallen. 90 dagen is bar weinig. Je mag niet vergeten dat Microsoft moet testen voor miljoenen verschillende configuraties van software en hardware, laat staan de compexiteit van het probleem, om ook nog maar te zwijgen over de prioriteit. Deze bug vereist fysieke toegang tot het systeem en werd niet misbruikt, het zal dus zeer zeker geen voorrang krijgen op een lek dat van afstand misbruikt wordt in het publiek. En als je het dan toch perse openbaar maakt, steek er dan geen werkende code bij, dat is niet de definitie van handelen in het publiek belang. Want wat hebben ze nu bereikt? Ze geven criminelen de middelen om computers te misbruiken. En verder?

[Reactie gewijzigd door Loller1 op 3 januari 2015 00:28]

90 dagen is een kort termijn voor volledig te testen dat een patch geen schade zou berokkenen. Laat staan als de feestdagen binnen die 90 dagen vallen. 90 dagen is bar weinig. Je mag niet vergeten dat Microsoft moet testen voor miljoenen verschillende configuraties van software en hardware, laat staan de compexiteit van het probleem, om ook nog maar te zwijgen over de prioriteit.
Ze bestuderen het probleem, bedenken een oplossing, implementeren die, testen (handmatig) een paar configuraties uit... en starten dan het proces dat (ik mag toch hopen geautomatiseerd) "alle" configuraties test. Da's gewoon een job die je over de feestdagen heen kunt laten lopen, want een mens is pas weer nodig om de uiteindelijke resultaten te beoordelen.
Deze bug (..) werd niet misbruikt
Dat is een interessante aanname, maar eentje die helaas niet te testen is. Dat het gat niet gevonden is door het bestuderen van bestaande malware, betekent niet dat er geen malware bestaat die deze bug gebruikt!
Want wat hebben ze nu bereikt?
Dat MS de bug opeens alsnog wél gaat oplossen.


Ik ga me niet wagen aan een zwart-of-wit oordeel over "hebben ze goed gehandeld?", want dat is een veel te complexe zaak; voor beide valt iets te zeggen. Wel vind ik dat je twee dingen over het hoofd ziet:

1) Als MS aan 90 dagen niet genoeg heeft, dan is er niks dat ze tegenhoudt om dat Google team een mailtje te sturen "Bedankt voor de tip, we zijn er mee bezig, maar de 90-dagen deadline halen we niet. Kunnen we even overleggen over een paar weken uitstel?" (ik neem aan dat MS wel een verontwaardigde reactie zou geven als dit wel gebeurd was (maar genegeerd door Google), dus voorlopig neem ik even aan dat ze dat gewoon niet gedaan hebben).

2) Dat team van Google heeft niet als taak beveiligingsproblemen op te sporen, hun missie is om beveiligingsproblemen opgelost te krijgen. Dat is een streven waar ik helemaal achter sta. Op het moment dat MS verzaakt een patch uit te brengen, dan is het hun schuld dat ze Google in een onmogelijke positie duwen; een zero-day publiceren of een bekend lek voor onbekende tijd open laten staan.
Het is makkelijk om Google de schuld te geven dat ze de verkeerde kiezen uit twee kwaden, maar waarom geven we MS niet de schuld dat ze Google dwingen om überhaupt een keuze te moeten maken?

[Reactie gewijzigd door robvanwijk op 3 januari 2015 02:40]

Microsoft had vast beter kunnen handelen, maar Google is volgens mij per definitie verkeerd bezig. En al helemaal omdat ze niet eens navraag deden voordat ze een exploit van een concurrerent online hebben gezegd. Alle voor en nadelen ten spijt, je hebt zeker een paar goede punten, is dat voor mij diep droevig.
Ze bestuderen het probleem, bedenken een oplossing, implementeren die, testen (handmatig) een paar configuraties uit... en starten dan het proces dat (ik mag toch hopen geautomatiseerd) "alle" configuraties test. Da's gewoon een job die je over de feestdagen heen kunt laten lopen, want een mens is pas weer nodig om de uiteindelijke resultaten te beoordelen.
Dit 'probleem' gaat nogal diep. Na XP is Windows niet meer net als elk ander OS, waar je een gebruiker of administrator hebt. Je hebt er een 'fake' admin tussen zitten, die veel (voornamelijk antieke) admin requests en dergelijke af vangt. Zoals BV de systeem registry virtualizeren, of system32/syswow64 mappen virtualizeren voor applicaties en daarbinnen de applicatie soort van 'admin' rechten geven zoals het zou verwachten als je programmeert alsof het nog 9x/XP is. Dit is echt een log monster en kan ENORM veel beinvloeden wat niet via test farmpje na te gaan is.

Dit lijkt met deze exploit misbruikt te worden, en is al zodanig 'beveiligt' dat fysieke toegang nodig is. Daarnaast is dit simpel tegen te houden en word het door alle grote virus scanners al enige tijd tegen gegaan.

[Reactie gewijzigd door batjes op 3 januari 2015 14:26]

Er is hier niet goed gehandeld. 90 dagen is een kort termijn voor volledig te testen dat een patch geen schade zou berokkenen.
Dat is een beetje te kort door de bocht.

90 dagen is inderdaad te weinig om alles volledig te testen, echter:
  • 1 jaar is ook te weinig. En 10 jaar ook. Volledige zekerheid dat een patch geen schade berokkent, of code in het algemeen, is er nooit. Het is in de praktijk altijd onmogelijk om alles volledig te testen.
  • Met de tijd neemt alleen de kans op een bug af. 90 dagen moet in principe voldoende zijn om de kans op problemen aanvaardbaar laag te maken
  • Een belangrijke security bug moet, en kan vaak zelfs binnen een week goed gepatcht worden, mits de ontwikkelaar er moeite voor doet. Een maand moet dus al voldoende zijn voor de meeste bugs, en 3 maanden - dat is dan bijna een eeuwigheid.
  • Er is wellicht geen bewijs dat de patch reeds misbruikt wordt. Echter, in tegenstelling tot de gebruikelijke populair-wetenschappelijke denkfout, is afwezigheid van bewijs niet hetzelfde als bewijs van afwezigheid.
    Wat computerveiligheid betreft, is de enige veilige handelswijze, om aan te nemen dat een bekend lek, ook al reeds ergens, door mensen, misbruikt wordt.
  • Bugs fixen kost softwareontwikkelaars meestal redelijk wat geld. De kosten voor het uitbrengen van een nieuwe (gepatchte) versie zijn vaak een belangrijk deel daarvan. Het is dus in hun belang om zo weinig mogelijk bugs te fixen, en om zo lang mogelijk te wachten met het uitbrengen van een gepatchte versie.
    De enige manier om de ontwikkelaars te dwingen om toch op kortere termijn bugs te fixen en patches uit te brengen, is om de bugs openbaar te maken. 90 dagen is daarbij een redelijk compromis, zodat er voldoende tijd is om de bugs te fixen, en tevens de gebruikers niet te lang in het onwetende gelaten worden, en zo kwetsbaar blijven.
  • Regels moeten gehandhaafd worden, anders zijn ze niet geloofwaardig. Zo ook de 90-dagen regel (volgens mij is het trouwens geen regel, maar een afspraak). Als Google voor één bedrijf een uitzondering maakt, zeker voor een groot bedrijf als Microsoft, dat beslist voldoende middelen heeft om patches tijdig uit te brengen, dan geven ze daarmee de boodschap af dat zij de gebruikers niet serieus nemen, en dat de belangen van die gebruikers minder belangrijk zijn, dan de belangen van (grote) ontwikkelaars.
Deze bug vereist fysieke toegang tot het systeem en werd niet misbruikt
Ik heb het artikel niet gelezen, maar dat is beslist een ongefundeerde uitspraak. Niemand kan bewezen hebben dat een bug niet misbruikt wordt. Dat is niet te bewijzen.

[Reactie gewijzigd door RJG-223 op 3 januari 2015 03:06]

Er is hier niet goed gehandeld. 90 dagen is een kort termijn voor volledig te testen dat een patch geen schade zou berokkenen.
Deze bewering mist iedere substantie en verdient daarom enige discussie. Hier is wat het project Zero team zelf te zeggen heeft over de discussie omtrent de 90-dagen deadline:
It's the result of many years of careful consideration and industry-wide discussions about vulnerability remediation. Security researchers have been using roughly the same disclosure principles for the past 13 years (since the introduction of "Responsible Disclosure" in 2001) [...] With that said, we're going to be monitoring the affects of this policy very closely - we want our decisions here to be data driven, and we're constantly seeking improvements that will benefit user security. We're happy to say that initial results have shown that the majority of the bugs that we have reported under the disclosure deadline get fixed under deadline, which is a testament to the hard work of the vendors.
Je vervolgt met:
Je mag niet vergeten dat Microsoft moet testen voor miljoenen verschillende configuraties van software en hardware, laat staan de compexiteit van het probleem, om ook nog maar te zwijgen over de prioriteit.
Dit lijkt een aardig argument voor de leek, maar het houdt in de praktijk geen stand. Software testen is (gelukkig) een proces dat in hoge mate geautomatiseerd is. De duur of complexiteit schaalt niet lineair mee met de hoeveelheid configuraties. Hierbij laat ik buiten beschouwing dat Microsoft ook over navenant meer middelen beschikt dat de software ontwikkelaar om de hoek.

Voor Microsoft is het een kwestie van het alloceren van de middelen en voldoende prioriteit geven.
Want wat hebben ze nu bereikt? Ze geven criminelen de middelen om computers te misbruiken. En verder?
Dit is een goede vraag! Gelijk de reden dat deze disclosure policy zo effectief is gebleken in de laatste jaren. Het is meestal onmogelijk zeker te weten of de kwetsbaarheid "in het wild" wordt gebruikt. Dat geldt hier ook, hoe stellig jij ook beweert dat dit hier niet het geval was. Sterker nog, je moet ervan uit gaan dat als jij de kwetsbaarheid kan vinden, een kwaadwillende dit ook kan. Vandaar dus de openbaring na redelijke termijn. Het alternatief: security through obscurity is geen succes gebleken.

Hiermee biedt je de kans voor de eindgebruiker om zich te wapenen tegen de kwetsbaarheid. Bovendien kan men druk zetten op de leverancier om met een oplossing te komen. In de woorden van het team:
By removing the ability of a vendor to withhold the details of security issues indefinitely, we give users the opportunity to react to vulnerabilities in a timely manner, and to exercise their power as a customer to request an expedited vendor response.
Tot slot verdient het gezegd te worden dat je als leverancier zeer blij moet zijn met dergelijke grondige bugmeldingen. Al helemaal als je binnen het kader van deze policy worden gedaan. Helemaal goud.

Microsoft lijkt het nog niet helemaal te snappen, maar ik hoop dat Google ze dit vergeeft en met ze doorgaat. Beste voor alle partijen.

Hoop dat dit het duidelijker voor je heeft gemaakt.
Of er komt nu een paniek-patch die de compabiliteit met iets anders breekt. Immers jij neemt impliciet aan dat Microsoft express op hun gat heeft gezeten en dit niet gefixt. Misschien is er wele en complexe zaak deze te repareren zonder of een ander lek elders te maken, of compabiliteitsproblemen te veroorzaken.

Nu ben ik het er ergens wel mee eens dat 3 maanden lang is, maar Google maakt 2 hele grote fouten:
1) te releasen op 2 januari. Dat had ook op 6 januari gekund. Realiteit is dat ook de meeste tweakers vandaag een vrije dag hebben of vooral bezig zijn met elkaar gelukkig nieuwjaar wensen.
2) even een telefoontje te plegen om te vragen wat de status is. Welicht waren er goede reden om nog niets te releasen. Google heeft inmiddels toegegeven geen contact hebben gezocht na initiele melding.

Immers het kan ook zijn dat men wél al een fix klaar had, welke gepland staat voor patch Tuesday. Dan had het Google bijzonder gesierd tot die dag te wachten.
Google heeft geen grote fouten gemaakt, Microsoft had ook zelf contact kunnen opnemen. En daarnaast hadden ze ook eerder met een patch kunnen komen zodat deze bijzondere week geen invloed had. De termijn is gewoon in alle gevallen 90 dagen, niet de ene keer 88 en de andere keer 94 dagen. Als ze al wat klaar hadden staan dan had die oplossing gewoon uitgebracht moeten worden en moeten ze niet wachten op een speciale dag.
Dit lijkt me verschuiven van het probleem.
1) Het is de verantwoordelijkheid van microsoft om te voorkomen dat het probleem ooit kon ontstaan;
2) Als er een termijn van 90 dagen is voor het verhelpen van een security probleem, betekent dat 90 dagen kwetsbaar zijn voor de klanten - dat vind ik als gebruiker behoorlijk lang. In die 90 dagen kunnen er zat anderen zijn die het probleem ontdekken, met minder nobele en meer egoistische doelstellingen;
3) Het is niet aan google om te informeren wat de status is. Google bewees Microsoft en de consumenten een dienst door het te vermelden. Het zou beleefd zijnj geweest van Microsoft om Google op de hoogte te stellen. Als je verwacht dat Google naar de voortgang informeert, ga je Google een soort projectleiders taak bij Microsoft toeschuiven;
4) Ja, natuurlijk had Google op 6 januari dit kunnen melden. Maar dat betekent weer 4 dagen meer risico voor alle gebruiukers.
5) Je kunt even goed stellen dat Microsoft geen 90 dagen hoeft te wachten. Ze kunnen het ook binnen een paar dagen oplossen. Ja, ik weet best dat er miljoenen configuraties mogeijk zijn. Maar ze kunnen hun testen ook volledig automatisch laten draaien, op vele machines tegelijk.
Wie is Google om te bepalen hoe Microsoft om moet gaan met bugs!?
Wat weten zijn van de situatie bij Microsoft over: de status van de bug, onderzoek naar evt voorkomen van exploits in het wild, de impact van het fixen van de bug, etc. Het is arrogant en gevaarlijk om op deze manier met gevonden bugs om te gaan.

Het structureel zoeken naar exploits is een goede zaak, maar dan moet er toch echt beter omgegaan worden met de afhandeling daarvan. Een van de grootste problemen die ik hierbij heb is toch echt de neiging van deze onderzoekers (niet alleen nu bij Google) om hun gevonden exploits zo belangrijk te vinden dat ze via een publieke vorm van chantage het fixen van 'hun' bug af gaan dwingen als het volgens hen te lang heeft geduurd.

Microsoft had het eerder kunnen, en misschien moeten fixen, maar niemand hier en niemand bij Google heeft enig idee wat de achtergrond is. En ja, als Google recepten gaat uitschrijven om window te hacken, dan hebben ze natuurlijk de plicht om eerst naar de status te informeren. Dat lijkt me niet meer dan logisch.
Is het aan Microsoft om te bepalen hoe Google de gevonden bugs afhandelt?
Er is niets dat Google verbiedt om de gevonden bugs de volgende dag op het internet te knallen.
Ik vind het ook nogal raar om eisen te stellen aan wat te doen bij gevonden gebreken. Bij gebreken aan de auto, accepteer je ook niet dat de garage even 90 dagen wacht met oplossen. Als Microsoft zo veel problemen heeft met het maken van fixes, moeten ze eens goed kijken of ze hun zaakjes op orde hebben.
Er is niets dat Google verbiedt om de gevonden bugs de volgende dag op het internet te knallen.

Het is alleen onfatsoenlijk. Google vind dat zelf gelukkig ook, en wacht daarom 90 dagen.

Echter nu blijkt die 90 dagen einddag te vallen op een semi-vakantiedag. Dus wat doe je?

a) eerst belllen met je Microsoft collegae en dan pas een beslissing maken.
b) gewoon publiceren

Fatsoen zegt (a), Google deed (b).
Er is wel wat kritiek op het openbaar maken van deze vulnerability. Ook daar heeft google op gereageerd blijkbaar:

https://code.google.com/p.../issues/detail?id=118#c25
Zij maken deel uit van Project Zero, dat eerder dit jaar werd gestart en het internet veiliger zou moeten maken.
Wel moeten de gebruikers daarvoor beschikken over geldige logingegevens en bovendien fysiek bij het bewuste apparaat kunnen
Als ik dat zo lees vraag ik me af in hoeverre het bekend maken van deze bug Google te doen was om de veiligheid. Ik bedoel, als je als project specifiek op zoek bent naar dingen om het internet veiliger mee te maken, waarom ga je dan fysiek lopen sleutelen aan een OS?

Edit: lichte verduidelijking

[Reactie gewijzigd door LankHoar op 2 januari 2015 20:28]

Fysiek staat niet in het Google of Microsoft document; beiden praten over "logon locally" en het resultaat dat bepaalde SID's worden mismatcht en de verkeerde SID incorrecte permissies krijgt over de 8.1 client.

Logischerwijs moet je dus fysiek toegang hebben tot de client maar "log on locally" kan ook worden opgevat als inloggen met een non-domain user. Gezien het feit dat ik nog geen corresponderend MSE kan vinden, is de mogelijke impact op een AD DS enabled domain onbekend.

Een omweg zou kunnen zijn, voorlopig, om LocalSystem, het bijbehorende Cobputer-object en de local admins onder te brengen in een zeer strikt delegated OU met beperkte AD permissies zodat een domain in ieder geval niet in gevaar komt.

Verder vraag ik me af of je niet met NAP, BitLocker en een extra GPO voor local groups, het gevaar van een compromised client kan verminderen door deze direct op een apart VLAN te laten komen voor inspectie/reinstall door een (werkplek)beheerder.
Omdat kwaadwillenden mogelijk ook fysiek toegang tot een PC kunnen verkrijgen.
Omdat onwetende mensen die een openbare computer(werk, school, kind op computer thuis) gebruiken een programma zouden kunnen downloaden wat zonder admin-rechten niet echt gevaarlijk is maar zodra het programma admin-rechten krijgt veel dingen kan doen om de hele computer overhoop te halen. Ideaal voor virussen, omdat het dan ook op andere user accounts zou kunnen geinstalleerd worden.
Meeste grote virus scanners vangen al enige tijd op en blokkeren dit.
En in een (fatsoenlijk) bedrijfsnetwerk krijg je dit nooit uitgevoerd.
Dit is een relatief onschuldige bug als ik andermans expertise mag geloven. Ik denk dat dit een bewuste keuze van google was, om een onschuldige bug bekend te maken, om de reacties te peilen.
Dit is een relatief onschuldige bug als ik andermans expertise mag geloven.

UAC een tandje hopger zetten dan default voorkomt het bijvoorbeeld reeds.

1) Start task manager (of andere UAC process)
2) Klik niet op Ja of Nee, maar op het blauwe hyperlinkje eronder waar je de popup kunt configureren
3) Slider één tandje hoger naar "always notify" / "altijd melden".
Een ding begrijp ik toch niet, in het artikel staat dat deze groep 'project Zero' het internet veiliger wil maken. Maar deze bug is alleen van toepassing als iemand fysiek toegang heeft tot het apparaat. En heeft dus niets met internettoegang te maken.

Het lijkt me dan toch een soort van MS bs.

Wat Geertdo hierboven ook zegt. Het kan goed zijn dat de bug een dusdanige aanpassing vergt aan het systeem dat er gewoon heel veel werk in zit. Waarom dan meteen dit online zetten? Misschien stond deze bug niet bovenaan de patch list omdat het niet om een dreiging via internet gaat. Een dreiging waarbij fysieke toegang tot een apparaat nodig is kun je natuurlijk niet goedpraten maar laten we wel wezen, misbruik hiervan kan op veel kleinere schaal dan iets dat via internet toegankelijk is.
Het internet veiliger maken is een missie die verder gaat dan alleen per intenet transporteerbare malware aanpakken.

Ook een exploit die je met een USB stick op een computer moet zetten, draagt soms bij aan een systeembrede onveiligheid. In dit geval ongewenste root toegang, mogelijke corruptie van browsers, en dus een onveilig internet voor alle gebruikers van die PC. Of: de computer krijgt een rol in een botnet en draagt daarmee bij aan de onveiligheid van andere computers.
Ik kan mij heel goed voorstellen dat op de lijst van openstaande bugs deze erg ver onderaan wordt gezet. Iedereen met beperkte resources zal dat wel kunnen begrijpen, denk ik.

Enige slechte bedoelingen van Google zijn toch niet te bewijzen, dus daar ga ik niet over discusseren, maar ik denk dat dit soort situaties staan of vallen met communicatie. Is dat niet in de meeste gevallen het achterliggende probleem? Het kan zijn dat Microsoft reageerde met "We're looking into it" en er gelijk een team op gezet heeft die bepaald hebben wat de impact is en dat de fix voor Q1 2015 gepland wordt. Maar als Google alleen dat mailtje leest en 90 later nog niets gezien of gehoord heeft over een fix, dan kunnen ze dat interpreteren als 'we worden niet serieus genomen'. Wat in deze situatie gedaan is en wat de andere partij denkt dat gedaan is zijn dan twee heel verschillende dingen.
Realiseer u ook dat er minstens 90 dagen al misbruik kon van gemaakt worden.
Ok het is geen remote exploit maar voor school netwerken is dit de hel...
Bij veel bedrijven en schoolnetwerken is zo'n schimmige geheime hack niet nodig, want updates lopen hopeloos achter onder het mom van "het werkt toch en het zou zomaar iets stuk kunnen maken".
Realiseer u ook dat er minstens 90 dagen al misbruik kon van gemaakt worden.
Dit lek was onbekend, dus nee, er werd geen misbruik van gemaakt.
dus als jij de lek misbruikt ga je dat netjes door geven of hoe weet je het anders dat die lek niet misbruikt woord?
Bij jou onbekend, bij mij ook, bij Google 90 dagen geleden nog, bij MS misschien 90 dagen geleden ook nog, maar hoe weet jij bij wie het verder al-dan-niet onbekend was? Ben benieuwd naar de redenatie daarachter.
Als Google het kon vinden, konden hackers dat ook.
Voor school netwerken is dit irrelevant.

Als je een leerling op school hebt zitten die dit kan doen en uitbuiten dan heeft die een zwaar verkeerde schoolkeuze gemaakt.
Dat snap ik niet, kun je dat uitleggen?
Op een "andere" school is het niet veel anders hoor.
Dus stel ik doe de opleiding Network Security of IT Forensics.
Dan heb ik de verkeerde schoolkeuze gemaakt als ik dit exploit? :P
(Al dan niet om een punt te maken dat de school beter moet opletten.)

Vreemde redenatie. :)
Voor scholen is dit niet heel erg, want de IT techniek op de meeste scholen is niet goed, vaak zijn er niet veel updates geïsntalleerd en word het systeem niet goed bijgehouden e.d.... De meeste zitten op Windows 7, en daarop werkt de exploit niet(heb ik getest).

Maar voor bedrijven wel ja.
Voor iedereen eigenlijk, ik bedoel ik kan naar een ingelogde computer zonder administratorechten toelopen en dan kun je de harde schijf formatteren. Dat is een grote exploit.
Als scholieren via een local user in command prompt kunnen komen op een school netwerk, is deze exploit niet je enige (of zelfs grootste) probleem.
Waarom wordt deze bug (en ook voorgaande t.a.v. UAC) niet binnen 90 dagen opgelost?
Is het risico (kans x gevolg) te klein? Of juist te groot (door gevolgen van een aanpassing)?

Het is wel raar eigenlijk dat een security bug openbaar gemaakt wordt (van welk systeem dan ook) als aangegeven wordt dat er aan een patch wordt gewerkt. We weten natuurlijk niet of er onderling contact geweest is, maar als dat wel het geval was en het wordt na negentig dagen willens en wetens gepubliceerd, dan ben je wel fout bezig vind ik.

Google:
There was some confusion yesterday about whether we had contacted Msft about this issue, so we posted an update (below).
Dat klinkt niet goed...

Edit: als ik deze thread lees wordt ik misselijk van dit onverantwoordelijk gedrag.
https://code.google.com/p...arch/issues/detail?id=118

[Reactie gewijzigd door geertdo op 2 januari 2015 20:30]

Er was verwarring bij buitenstaanders die behoorlijk boos reageerden op het publiek maken. Als je alleen goed kijkt dan zie je op de betreffende pagina staan dat er op 1 oktober een MSRC id aan is gekoppeld en dus het bekend bij Microsoft moet zijn geweest.

Microsoft heeft gewoon verzaakt om op tijd de patch te releasen. Het wordt hoog tijd om bedrijven te dwingen hun zaakjes op orde te krijgen en de enige manier waarop is als het pijn doet wanneer je het verprutst.
Microsoft heeft gewoon verzaakt om op tijd de patch te releasen

Maar niemandweet waarom, en Google verzuimde even te vragen ...

Wellicht was de patch al klaar en stond gepland voor komende Patch Tuesday ...

Verder had het ook kunnen wachten tot volgende week. 2 januari is nu eenmaal een semi-feestdag in de westerse wereld.
google of microsoft heeft het verzuimde?
google gaf hun een deadline als ze die niet halen dan moet Microsoft een reden geven niet google...
als Microsoft laks heeft aan beveiliging gaten die google vind dan is het google de schuldige?
Dus Google bepaalt de dealines van Microsoft?
ja en nee uiteindelijk bepaald microsoft dat zelf want ze kunnen terug bellen van dat ze het niet halen.
of wil je dat ze pas mee aankomen wanneer jou info online komt?
http://tweakers.net/nieuw...belgen-op-eigen-site.html
Als Google echt mijn veiligheid op internet voor ogen had dan hadden ze het niet moeten publiceren.
Het is gewoon een publiciteitsstunt over de rug van een andere fabrikant.
De Play store bevat malware en Android is er ook hartstikke vatbaar voor beetje pot verwijt de ketel dus.
Andersom kennelijk ook, er worden over dat soort dingen gewoon afspraken gemaakt.
Dat ze deze exploit icm POC publiek vrijgeven, is zeer strategisch. Namelijk, er is veel nieuws dat 'de cloud' onveilig is! Dit terwijl niemand meer vreemd opkijkt als Microsoft voor Windows weer aan groot aantal patches uitrolt.

Google heeft er baat bij als er zoveel mogelijk mensen van het platform gebruikmaken. Google Docs, GMail, Drive, Chrome en de Chromebook als grootste concurrentie van Windows.

Met alle moeite, lees resources, die ze steken in beveiliging, kunnen ze heel makkelijk een tweede, strategisch, doel bereiken, namelijk het naar beneden halen van Microsoft. Door de publiciteit die dit oplevert wordt de naam Google en alle diensten die ze aanbieden in de media weer eens genoemd, wat goed is voor Google.

Door het strategisch inzetten van beveiligingsonderzoek zie je dus dat dit op hoger niveau, strategisch, heel erg effectief is. Het enige wat nodig is om te slagen is een goed 'excuus', namelijk dat dit 'beter is voor de community'. Als er een POC openbaar gemaakt wordt, terwijl Microsoft bezig is met een fix, weegt dit natuurlijk nooit op tegen de positieve kant.

Wat ik mee wil geven, is dat je deze nieuwsartikelen over een specifieke gebeurtenis eigenlijk beter moet analyseren om het grote plaatje te doorgronden.
Nja hoewel jij dit zeer zeker kunt denken, is er uiteraard een deel eigen gewin. Of dit nu te maken heeft met marketing, eigen 'brand' versterken, up-to-date blijven of puur je eigen kennis vergroten maakt dan eigenlijk niet uit. Hoogstwaarschijnlijk is het een mix van allerlei zaken.
Google is altijd bezig geweest om allerlei markten aan te boren, en als tech-gigant ben je natuurlijk ook wel enigszins verantwoordelijk om één van de sterkere partijen te zijn. Google maakt zelf ook gebruik van Windows, en vele van hun klanten ook. Naast het checken van hun eigen producten zoals beide partijen overigens doen (http://www.google.com/about/appsecurity/reward-program/ en http://technet.microsoft.com/en-us/library/dn425036.aspx) is het dan handig om boven alles te staan en niet afhankelijk te zijn van een 3e partij. Het is niet zomaar dat ze "iets" met Windows doen, want Google is ook actief om bijv Linux distro's te "helpen" c.q er invloed in te hebben ;)


Overigens nog om te relativeren, met "Windows gebruiken" doel ik niet direct op al hun workstations of servers, maar meer gewoon dat er van alles gebruikt wordt door iedereen ;)

[Reactie gewijzigd door Douweegbertje op 2 januari 2015 22:47]

Douweegbertje, als ik je reactie lees lijk ik het juist met je eens te zijn. Ik herken wat je zegt over de mix van allerlei zaken.

Over dat ze zelf ook Windows gebruiken; dit maakt het interessanter omdat hier een conflict ontstaat tot het vrijgeven van een Proof of Concept, waardoor er binnen een aantal uur een werkende exploit geschreven is, die 'weaponized' kan worden, in de vorm van een plugin voor Metasploit oid. Dit werkt zeer effectief voor het doel van Microsoft als bedrijf aanvallen, eigen platforms omhooghalen, whatever. Aan de andere kant gebruiken ze zelf ook Windows, en zullen ze zelf erop aangevallen worden!

Ook al hebben ze zelf waarschijnlijk al een patch, dit wil nog niet zeggen dat ze aanvallen tegen élke machine binnen Google nu effectief kunnen beschermen.

Btw, ik hoorde iemand noemen dat Google zelf nooit effectief is aangevallen. Mocht iemand die dat interessant vindt deze reactie lezen, dan heb ik een interessante link: http://www.salon.com/2014...y_and_the_security_state/. Dit is een interssante longread over het feit dat Google succesvol aangevallen is, en hierna in het geheim een deal heeft gemaakt met de NSA. Door deze deal krijgt Google meer inzicht in aanvalsvectoren, en krijgt de NSA toegang tot de data van Google. Op dit moment natuurlijk erg actueel!
Tja op deze manier kan ook elke hacker voortaan zeggen onder het mom van "proof of concept" dat als sites hun beveiliging niet binnen 90 dagen op orde hebben ze gaan uitleggen hoe de site gehacked moet worden. Een vreemde manier van rechtvaardiging, alhoewel ik de insteek van Google ook wel kan begrijpen, totdat het bij Google een keer voorkomt.
Je kan een bouwer van een groot OS niet vergelijken met een beheerder van een website. Vooral niet een kleinere website. Een grote website of met veel privacy gevoelige info is een ander verhaal.
Als er een exploit maar één dag bekend is, wilt dit niet per definitie zeggen dat het voor iedereen maar één dag bekend is. Er bestaat namelijk gewoon een reële kans dat er partij is die deze exploit al maanden heeft uitgebuit en het uiteraard dan niet naar buiten brengt. 90 dagen is een fatsoenlijke tijd, eigenlijk zelf in "internet tijd" een zeer lange tijd!
Of het nu arrogant is, of dat men een statement willen maken: ik ben altijd voorstander om dingen zo snel mogelijk publiekelijk te hebben. Helaas is het namelijk zo bij vele bedrijven (en dan heb ik nu niet direct over MS) dat men weinig haast heeft als "niemand" (lees:het grote publiek) van iets af weet.

Het is, en het zal altijd een moeilijk afweging zijn, maar alles los gelaten geeft een dergelijke 'release' in het einde de veiligste en beste oplossing. Laten we ook even eerlijk zijn, dat zo'n exploit geen vergaande gevolgen heeft als het nu public is. Zo'n exploit is juist gevaarlijk als het onbekend is, en over een langere periode zich kan ontwikkelen.

Daarbij gezien levert deze groep van Google al een tijd puik werk. Om bezig te blijven bij je leest wil je niet afhankelijk zijn van een 3e partij. Moet men dan maar tijd en energie gaan stoppen in bedrijven die hun middelvinger opsteken, en dan maar afwachten dat het ooit gefixed gaat worden? Een duidelijk maar zeer zeker rechtvaardig statement: 90 dagen en soit, is dan prima. Overigens is het absoluut -geen- deadline! Mocht een bedrijf aangeven dat ze meer tijd nodig hebben, dan zal Google heus niet de kleuter zijn om voor een aankomende release het al public te maken.
Ik heb me zojuist een klein beetje ingelezen en het blijkt inderdaad dat MS niet eens gereageerd heeft. Nu kan ik dat niet controleren natuurlijk maar blijkbaar hebben zij ook niet om extra tijd gevraagd. Het kan dus niet zo zijn dat ze er mee bezig waren en te weinig tijd hadden. Zoals jij zegt zijn bedrijven dus ogenschijnlijk laks wanneer het gaat over bugs die niet bij het grote publiek bekend zijn.
Waar komt die gestelde termein van 90 dagen vandaan? Is dat iets dat Google heeft verzonnen, normaal doet, of een soort algemene manier van handelen?
Het is een redelijke manier van handelen dat al een jaar of 10 gebruikt wordt. Het forceert vendors om te patchen, maar maakt hun leven niet onredelijk door het gelijk publiek te maken. Dit is een respons op de oudere jaren waar vulns soms jaren lang niet gepatched werden "omdat toch niemand anders ze vind". Het heeft de meeste voordelen van het "full disclosure" principe zonder de nadelen.

Google heeft in hun initiële rapport aan Microsoft ook aangegeven dat ze het na 90 dagen publiek maken. Of Microsoft om extra tijd gevraagd heeft weten we niet; meestal handelen researchers vrij aardig met dat soort verzoeken, indien redelijk bebouwd.

90 dagen is overigens vrij lang, de meeste researchers hanteren periodes van 30 tot 60 dagen. Het klopt dat het een redelijk drukke 90 dagen was, maar dat is amper een geldig excuus te noemen met zo'n lange periode.
Betreft? Okay, bebouwd inplaats van onderbouwd (in het bericht waarop je reageert) snap ik nog wel, dus daar zou je me normaal niet over horen (maar nu is het gewoon grappig, een soort one-up van jouw kant)... Maar wat bedoel je met betreft??

Haha, thanks, duidelijk. Er zijn hele websites met autocorrect-faalacties dus dat had ik kunnen bedenken :)

[Reactie gewijzigd door mae-t.net op 4 januari 2015 17:03]

Hij bedoelt bestraft denk ik als ik het zo lees.
Klopt, verrekte auto correct :-)
Lol, als het strafbaar wordt gaan bedrijven helemaal laks om met dit soort zaken.

Het is wel grappig. Aan de ene kant hoor je mensen roepen "Snowden was een klokkenluider, klokkenluiders moeten bescherming hebben!"
Of "White hat hackers moeten straffeloos problemen kunnen aantonen, zolang ze geen misbruik maken van het lek en de vendor op de hoogte stellen moet het straffeloos zijn!"

... Maar nu opeens niet meer, als het gaat om een bedrijf als Microsoft? :P
JUIST dit soort bedrijven moet je onder druk kunnen zetten.
Maffia? Dan noem je die hele beveiligings industrie maffia, want zo gaat het er hier dagelijks aan toe.

Microsoft dient zich ook gewoon aan de regeltjes van Responsible Disclosure te houden, en krijgt geen uitzondering. Kleine bedrijfjes enzo, open source projecten; daar hoor je niemand over als de deadline verstrijkt en een bug gewoon gepubliceerd wordt; maar als Google het bij Microsoft doet is de wereld opeens te klein omdat men gewoon altijd wat te zeuren wil hebben over Google?

Stel hypocrieten.
Wees maar heel blij dat er vele hackers, en ja: ook Google, er voor zorgt dat je nog veilig achter je computertje kan zitten zonder om de paar minuten gehacked te worden zonder dat je het zelf doorhebt.
Sinds wanneer is google beveiliger?
Sinds ze een project gestart zijn om het aantal 0days te reduceren die verhandeld worden, door deze zelf op te sporen en de bedrijven te waarschuwen.
En daar mag je dankbaar voor zijn, want het houdt ook jou veilig.
Moeten ze hun eigen android shit maar eens beveiligen over hypocriet gesproken.
Dat heeft helemaal niets te maken met het probleem bij Microsoft, dus is compleet irrelevant.
Daarnaast is Android prima beveiligd.
Je google liefde gaat me net iets te ver.
Je Google haat en hypocrisie gaat me net iets te ver. ;)
Ja, want doordat het openbaar is gemaakt:
1.) Kan je jezelf er tegen bewapenen, voorheen kon dat niet en was je dus kwetsbaar zonder dat je het zelf wist
2.) Systeem beheerders kunnen stappen ondernemen (bij bedrijven)
3.) Microsoft moet van hun luie reet afkomen en het probleem oplossen.
4.) Kunnen andere experts mogelijk zelf een OS patch ontwikkelen, of kunnen anti-virus/firewall software bedrijven bijvoorbeeld hun definities updaten om het probleem tegen te gaan
5.) Android wordt wel geupdate, dat fabrikanten die updates niet doorgeven aan hun klanten is niet de schuld van Google.

Blind door Google haat lijkt me.
Wat een flauwe kul. Ik moet dit nu allemaal doen omdat google het zo nodig vindt het lek te openbaren. De schade kan verhaald worden op googles adres.
Fout. Je moet dit doen om jezelf te beveiligen tegen hackers die waarschijnlijk de 0day al veel langer in bezit hadden dan Google.

De schade kan nooit verhaald worden op Google.
Dan moet je bij de gene zijn die het lek misbruikt.
En android is zo lek als een mandje. De ondersteuning van google is bagger ook voor oudere versies. Kan google nog wat van microsoft leren.
Onzin, Android is totaal niet lek.
Nee hoor, ik heb gewoon gelijk; dus daar heb ik verder geen overtuiging meer voor nodig...

Maar goed, jij beweert dat ik onzin praat.
Bewijs het tegendeel eens? :)

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True