Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 71 reacties

Microsoft stopt met het publiekelijk bekendmaken van details over lekken en bugs die het bedrijf fixt in Windows op de maandelijkse Patch Tuesday. In plaats daarvan vallen de details voortaan onder een betaaldienst van het bedrijf.

Wie de informatie wil ontvangen, moet Premier-klant zijn, zegt Microsoft. Het softwarebedrijf zegt de stap te hebben genomen, omdat veel bedrijven geen behoefte meer zouden hebben aan die informatie. Microsoft publiceerde tot nu toe elke maand bij Patch Tuesday een post over welke bugs zijn gefixt en welke beveiligingslekken zijn opgelost.

Premier-klanten krijgen de informatie niet automatisch, maar zij moeten zelf zeggen dat ze die willen ontvangen. Er is ook een manier voor bedrijven om gratis bepaalde info te krijgen via MyBulletins, waarbij ze de patches kunnen zien voor toepassingen die het bedrijf zelf heeft aangegeven te gebruiken. Patch Tuesday is de vaste dinsdag in de maand waarop Microsoft updates uitbrengt voor zijn Windows-besturingssysteem. De vaste dag voor de patches bestaat sinds tien jaar.

Moderatie-faq Wijzig weergave

Reacties (71)

Volgens mij is dit artikel iets te kort door de bocht...

In het bronbericht heeft Microsoft het over de Advance Notifications, dus het vantevoren informeren over welke lekken gedicht gaan worden, voor de patches er zijn. Dat betekent niet dat als de patches daadwerkelijk komen, dat het een verrassing is wat ze doen.. dat zal zeker wel beschreven zijn.

Verder zegt Microsoft in dit bericht dat ze My Bulletins aanbieden als vervanging voor bedrijven zonder Premier status:
"For customers without a Premier support contract, we recommend taking advantage of myBulletins, which enables customers to tailor security bulletin information based on only those applications running in their environment."
Dit is een gratis dienst
Inderdaad een heel gekleurd artikel dat mij in eerste instantie ook op het verkeerde been heeft gezet. Bedankt voor deze reactie, waardoor ik naar het originele bronbericht ben gaan kijken.

Voor zover ik begrijp gaat deze wijziging gaat dus enkel over het op voorhand publiceren van gedichte veiligheidslekken, zodat systeembeheerders kunnen kiezen hoe en wanneer ze hun systemen updaten. Uit marktonderzoek blijkt dat de meesten wachten op een automatische update, van de Server Update Service gebruik maken of wachten op Patch Tuesday, waarop de informatie in de toekomst nog steeds zal worden gepubliceerd.

Klanten die de informatie toch op voorhand willen hebben, kunnen nu ofwel een Premium account nemen, ofwel gebruik maken van myBulletins. Bij die laatste kunnen ze ook nog eens zelf gericht instellen in welke producten ze geïnteresseerd zijn.

Dit lijkt mij gewoon een logische van MS volgens de behoeften van hun klanten. Helemaal niets mis mee.
Hoe is dit precies logisch volgens de behoefte van de klanten?
Wel, voor zover ik versta uit het artikel blijkt dat klanten steeds minder gebruik maken van de Advanced Notifications en steeds meer van andere diesnten om hun update-beleid te bepalen. Dan is toch het logisch dat MS stopt met het aanbieden van Advanced Notifications en zich focust op die andere diensten?
Dan nog he. "those applications running in their environment" - hoeveel bedrijven gebruiken custom/eigen software ?

Het is een vreemde beslissing en werkelijk niemand word hier wijzer van, behalve microsoft.
Ze doelen daar meer op welke applicaties die je draait, niet zo zeer eigen bouwsels (denk aan, SQL server, sharepoint...) Als je geen SQL server draait, waarom zou je dan info willen over die updates? ;)
Om dat je misschien SQL server gaat draaien tussen dat er een lek bekend is en een patch vrijgegeven wordt? Het is sowieso idioot om informatie die eerst vrij beschikbaar was achter een paywall te stoppen onder het mom van 'gemak voor de afnemer'. Dat is onzin, het is gewoon geldklopperij voor een dienst die eerst vrij beschikbaar en gratis was. Daarnaast is er nu ook geen 'overvloed' aan informatie, je kan nog steeds zelf beslissen wat je wel of niet gaat lezen.
Dan nog he. "those applications running in their environment" - hoeveel bedrijven gebruiken custom/eigen software ?
Microsoft OSen en programmatuur zijn geen applications? Of bedoel je dat MS security bullitins moet uitbrengen voor custom software? :?
Het is een vreemde beslissing en werkelijk niemand word hier wijzer van, behalve microsoft.
Wat heb jij liever als systeembeheerder? Een complete lijst met alle patches die op Patch Tuesday uit komen, of een lijstje met alleen de patches die relevant zijn voor jou? Met andere woorden: als je Windows 7 en Server 2013, dan heb je natuurlijk er niets aan om te weten dat er net een lek in Windows 8.1 is gedicht.

[Reactie gewijzigd door the_shadow op 9 januari 2015 10:48]

Correct, ik wil een list van alle patches.
Per OS-en is vanzelfsprekend.

Microsoft weet verder niet wat ik wel of niet draai (en hierbij doel ik op custom/eigen software).
Wat een bagger copy/paste weer van Tweakers. Dit is al de 3e vandaag. Jammer. ;(
Niet alleen kort door de bocht, het geeft een wel heel negatief beeld van wat er nou eigenlijk aan de hand is. Toen ik de titel las (en ik zal vast niet de enige zijn) dacht ik dat ze voortaan security updates uit gingen brengen als een soort black box update: "installeer dit want het is goed voor je, maar we vertellen niet waarom". Dat zou genoeg reden zijn om voortaan alle security updates lekker uit te zetten, je weet namelijk niet eens wat er in zit. Mijn eerste reactie was dus "nou dit is weer typisch iets voor MS", terwijl dat eigenlijk ongegrond was. Beetje stemmingmakend artikel imho. Bedankt voor de extra toelichting :)
als we in die trant doorgaan kan je ook denken ze zeggen daar wel wat deze security update doet maar is het ook zo?
Mijn eerste reactie was dus "nou dit is weer typisch iets voor MS", terwijl dat eigenlijk ongegrond was.
Niet echt ongegrond. Weer een rondje "feature slashing" bij Microsoft, maar deze keer verstoppen ze het achter een paywall ipv helemaal de prullenbak in. Als je geen behoefte had aan het op voorhand weten van deze info, niets aan de hand. Had je wel die behoefte, lekker afdokken die euro's jongens.
(Overigens hun goed recht om zoiets te beslissen, en ikzelf ben door deze beslissing helemaal niet geraakt, maar dat maakt het er nu niet echt beter op)
Heb vooral het gevoel dat de informatie waar het hier om gaat door Tweakers niet goed geïnterpreteerd wordt.. Uit het bronbericht haal ik namelijk naar voren dat er bepaalde / details niet langer gedeeld worden maar niet dat er nu blanco-updates worden gepubliceerd. Dat zou overigens ook nergens op slaan omdat bij lange na niet alle bedrijven zo'n abonnement hebben.

Kortom : Er mist volgens mij stuk interpretatie.
Op zich een goede keuze, op deze manier kunnen hackers ook niet zien hoe ze outdated systemen kunnen hacken.

Wel jammer dat bedrijven nu een premier klant moeten zijn, dat zal de kosten voor die bedrijven verhogen.
Dus je denkt dat hackers niet aan deze informatie kunnen komen? De patchnotes zijn tegen betaling beschikbaar, dat betekent dat een bedrijf dat deze notes wel ontvangt bijvoorbeeld de patchnotes kan lekken of zelf gehackt kan worden waardoor de notes alsnog gestolen kunnen worden. Kortom, ik verwacht dat deze informatie gewoon openbaar wordt en dat er voor hackers vrijwel niets verandert.

[Reactie gewijzigd door Greveldinges op 9 januari 2015 10:13]

kan lekken of zelf gehackt kan worden
Het sleutelwoord hier is kan, het is dus een extra drempel.
Helaas is die drempel dus voor beide kanten geldig.
Hoe kan je je verdedigen tegen een hacker?
Minimise the attack surface and maximise the workload. Om de exacte details te weten te komen moeten ze dus extra werkt uitvoeren. Prima keuze dus.
Iets met security through obscurity.....
Bovendien kan je hacker, zeker degene(n) met een aardig budget gewoon een bedrijf hacken wat premier klant is en zo de update details ophalen, het scriptkiddie welke je pc bestookt met SSH meuk komt zoiezo niet zo ver, ook met de update details voor zijn neus, denk niet dat dit een hacker echt tegen gaat houden...
Ook vind ik de gedachtegang erg, opmerkelijk, een aantal bedrijven hoeven het niet dus niemand meer? Misschien die bedrijven aan raden het niet te lezen dan? Nu zijn de updates dus: installeren want het is beter, waarom weet je niet maar doe maar updaten...
Helemaal leuk als een update iets sloopt, kan je niet even opzoeken welke update aan netwerkinstellingen zit te rommelen en die eruit halen...
Nee ik begrijp niet zo goed wat hier het idee van is...
Ah.. dus jij zet ook altijd alle application version banners aan op server-software die je beheert? Want uitzetten van die voor hackers interessante informatie is toch enkel security by obscurity?

Obscurity is, na de eerste lijn van actief patch-beleid, een uitstekende second line of defense; ieder bedrijf die zichzelf serieus neemt doet daarnaast natuurlijk aan degelijke beveiliging in de zin van firewalls/IDS/profiling/antivirus/netwerksegmentering en wat dies meer zij. Maar op 1 staat mijns inziens toch echt 'verschaf niet meer informatie aan buitenstaanders dan noodzakelijk voor je bedrijfsvoering'
Tuurlijk deel je geen mappen uit met je systeemconfigratie aan elke bezoeker, maar obscrity kan je onmogelijk beveiliging noemen. Zolang je niet vertelt dat je nog Server 2003 draait is het beveiligd?...
Waarom er dan weer zo zwart-wit gedacht moet worden, dat ik mijn systeem niet van stiekem doen laat afhangen moet dan maar betekenen dat ik alles uitdeel?
Omdat jij suggereert dat je zelf zo zwart-wit denkt dat microsoft hiermee security-by-obscurity als veilig ziet. Ik zie dat beleid als niet meer dan 'hackers niet wijzer maken dan ze al zijn, zodat de tijd tussen publicatie van de fix en massale exploits zo lang mogelijk duurt om systeembeheerders de tijd te geven patches uit te rollen voor ze in grote mate misbruikt worden'... een goede second line of defense dus (of third als je 'normale, applicatie-agnostische, netwerk-beveiliging' als de first line ziet; die zie ik als een gegeven. Actief patch-beleid en moeilijk verkrijgbaar maken van installatie-configuratie zie ik als de applicatie-specifieke beveiligingslijnen, waarbij naar mijn oordeel het OS ook 'gewoon' een applicatie is die draait op je infrastructuur)
Als je dan even kijkt waar ik op reageer ipv denken dat alle individuele reacties hier direct op het artikel reageren, het is een reactie op iemand die stelt dat Microsoft dit uit beveiligings oogpunt doet, en daarop reageer ik dat dat dan geen goede beveiliging is, ik leg nergens Microsoft woorden in de mond.
En nogmaals, een hacker, of eigenlijk groep hackers, die de echt grote exploits maken zullen echt wel wat meer kunnen dan alleen op internet een lijstje van Microsoft lezen, als Microsoft ze het niet meer zelf verteld zijn zij slim genoeg die informatie zelf te achterhalen door bijv. zo'n contract af te nemen of een bestaand bedrijf wat dat heeft te hacken.
Een scriptkiddie die nu niet meer kan lezen dat IE6 een Java kwetsbaarheid heeft kan je sowieso niet als echte dreiging zien ;)
Alsof je de gekende exploits niet gewoon kunt uitproberen zonder het versienummer te kennen.

Obscurity is een leuk extra'tje maar het als deel zien van je beveiligingsbeleid is toch weer te ver gezocht.
Nee, want dan zul je vele applicaties en versies moeten brute-forcen voor je erlangs bent en heb je in no-time een hit van het IDS systeem (uitgezonderd die 'lucky hit on first try natuurlijk). Als je daarentegen weet dat versie X van applicatie Y op de poort luistert is de kans een stuk groter dat je de zero-day exploit van exact die versie van die applicatie onopgemerkt langs de IDS glipt.
Ik weet dat hackers er inderdaad gebruik van maken, maar er zijn betere plekken waar je als hacker de informatie ook kunt halen, omdat er dan meer uitleg wordt gegeven ;)
Sucurity through obscurity.
Ik weet niet of dat op de lange termijn de boel veiliger maakt.
Zeker niet, als 'de slechten' nog wel exploits kunnen opvragen die gefixt worden door de updates.
Dit heeft niets te maken met security through obscurity...
Hoezo? Dit is voor kwaadwillende weer een extra drempel om exploits te gebruiken.
Vanuit security oogpunt is het heel misschien nog verdedigbaar dat je de precieze patches niet meldt, om aanvallers niet in de kaarten te spelen, maar het grote publiek onnozel houden lijkt mij geen goede zet (aanvallers komen toch wel aan de betaalde bugfix informatie als zij dat willen weten).

Zou dit een reactie zijn op Google, die vorige week vrijdag een 0-day exploit in Windows openbaarde, met als reden/excuus dat Microsoft het niet binnen 90 dagen gefixed had?

@nul07: dit is inderdaad geen obscurity, aangezien deze info gewoon op te vragen is (en daarna te delen is met derden)
maar het grote publiek onnozel houden lijkt mij geen goede zet
Het grote publiek is toch al onnozel wat betreft computersecurity en mensen die hier informatie aan hebben zijn maar een kleine groep in de maatschapij.
Loop eens een supermarkt in en vraag wat random mensen of ze wel eens een microsoft security bullitin hebben gelezen...
Met "grote publiek" bedoelde ik eerder het leger aan systeembeheerders dat onze ICT-wereld draaiende houdt, waarvan enkele, soms nieuwsgierig zijn naar fixes.

(sinds wij een iso 27000 certificaat hebben, volgen wij de grotere lekken die het nieuws halen, en daarvoor zijn wij voor een groot deel afhankelijk van wat bedrijven op hun website publiceren: deze router is niet meer kwetsbaar voor hartbleed sinds patch X, etc.)
Dan zullen we die informatie voortaan wel op diverse websites en blogs terugvinden.
Sterker nog, MS geeft zelf aan dat het gebruik van myBullitins de voorkeur heeft gekregen. De mededelingen worden op een andere manier aangeboden, namelijk meer gericht op de klant.
Al enkele keren heeft een update mijn systeem om zeep geholpen,
als ze nu ook al niet meer gaan vertellen wat de update doet....

'Installeer deze patch maar, is handig....'

jammer.
Systeembeheerders krijgen door deze verandering geen ANS mededeling meer, maar kunnen nog steeds gebruik maken van myBullitins om update mededelingen vantevoren binnen te krijgen. Update beschrijvingen blijven nog gewoon bestaan. Zie ook het bronartikel. Dit Tweakers artikel is niet zozeer kort door de bocht, het mist de bocht volledig.
Natuurlijk, als mensen echt willen, dan komen ze het wel te weten, maar feit is wel dat de drempel net even wat hoger is om aan de gegevens te komen dan dat het was. Ook al stop je hier een paar hackers mee, dan is dat mooi meegenomen. Want serieus; hoe vaak lees je precies wat er in updates zit? Ik niet in ieder geval. Alleen in de situaties dat er problemen zijn is het vervelend dat je zou moeten betalen.
Wat is nou precies het motief; kostenbesparing, klantvriendelijkheid, commercie of security?
Ik ga voor antwoord: C ;)
Voor privégebruik kan ik me wel in deze beslissing vinden. Zakelijk is het een ander verhaal. Dat ze het niet vrijgeven tenzij je betaald snap ik niet. Ik vind dat elke update moet kunnen nagaan wat de veranderingen zijn. Dat je het zelf op moet vragen is geen probleem maar wel dat dit hier nu voor moet betalen.

Nu heeft het bedrijf waar ik voor werk gelukkig een Premier contract. Voordat we systemen in de productieomgeving gaan updaten gebeurd dit vaak eerst op de testomgeving. Het is al meer dan eens voorgekomen dat bepaalde (meestal iets oudere) software toch bepaalde issues gaf na het installeren van Windows patches. Het is dan handig om te weten welke updates er eventueel mee te maken zouden kunnen hebben.
Kun je ook onderbouwen waarom je je voor privégebruik wel in deze beslissing kan vinden?
Omdat ik privé niet echt kritische software draai die altijd beschikbaar moet zijn :) Op mijn werk is dat wel het geval dus dan is het handig als je weet wat er gebeurd op de systemen.
Heeft er verder niks mee te maken. Wat je nu eigenlijk komt te zeggen is dat het ok is dat je bij privé pc's geen behoefte hebt aan het kennen van exploits (er even voor het gemak van uitgaande dat MS helemaal geen gratis info meer geeft, wat momenteel -nog- niet helemaal het geval is) tenzij je er voor afdokt. "Ok."

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True