Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Gates: 'geen perfecte code nodig voor hoge veiligheid'

In een interview met de site IT Business doet Bill Gates, directeur van de ontwikkel afdeling van Microsoft, een paar opmerkelijke uitspraken. Het interview is gehouden naar aanleiding van de Professional Developer Conference 2003 die afgelopen week door Microsoft is gehouden. Wellicht de meest opvallende uitspraak van de Microsoft-oprichter is de volgende: "You don't need perfect code to avoid security problems." Gates stelt dat veiligheid van een systeem niet direct afhangt van de kwaliteit van de broncode van de diverse applicaties en toepassingen. Volgens hem moet namelijk een belangrijk deel van de veiligheid van een computersysteem worden gerealiseerd door firewalls en virusscanners. De vele virussen en worms die gesignaleerd worden op Microsoft-systemen hadden kunnen worden tegengehouden door dit soort software te gebruiken, zo stelt Gates.

Verder stelt Bill Gates dat mensen ook veel problemen met betrekking tot worms en virussen hadden kunnen voorkomen door tijdig alle patches van Microsoft te installeren. "Patches zijn altijd eerder beschikbaar dan de exploits", zo stelt Gates. Op een vraag wat hij vindt van de vele vulnerabilities die in Microsoft producten zitten zegt hij dat dit de laatste maanden een stuk minder is geworden. Hij beperkt concrete cijfers echter alleen tot Windows Server 2003, waarin volgens hem in de afgelopen maanden twaalf problemen waren ontdekt.

Over het feit of dit beleid van Microsoft nou het ideale is valt ernstig te twijfelen. De algemene opvatting over veiligheid is niet helemaal overeenkomstig Bill Gates' opvattingen. Veel ontwikkelaars en systeembeheerders gaan er van uit dat een applicatie in principe veilig is, wat dus inhoudt dat de code kwalitatief goed is. Firewalls worden over het algemeen beschouwd als vangnet voor onbekende fouten en vulnerabilities in software en niet als belangrijkste blokkade voor hackers en andere kwaadwillende personen:

We've seen an order of magnitude less vulnerability in the code that's been through the new tools, and we need about another order of magnitude. We've had 12 things in about an eight month period in Windows Server 2003 and with the equivalent level of attack in the previous generation we would have had over 100. We had 43, but adjusting for the level of intensity it's a factor of 10 difference. If we can get another factor of 10, which would get you down to 1.2, plus the improvements in the patching and updating, that's what people want. That should be doable, but that’s the piece that doesn't happen overnight. It’s a matter of giving people the tools, it's people not understanding the design of APIs where you get vulnerabilities. Certainly there are whole classes of vulnerabilities like buffer overruns that are very well understood at this point, and the scanning tools are very good and the compiler switches are very good.
Vorig nieuwsartikel Volgend nieuwsartikel

Door

Nieuwsposter

Feedback • 01-11-2003 09:43 108

108 Linkedin Google+

Bron: IT Business

Lees meer

Microsoft presenteert antispywarestrategie 22 april 2004
Microsoft brengt vier nieuwe beveiligingspatches uit 15 april 2004
Microsoft betaalt veiligheidscontroles voor bedrijven 26 maart 2004
Microsoft wil systeembeheer makkelijker maken 17 maart 2004
Microsoft bouwt virusscanner-detector in Windows XP SP2 26 februari 2004
Microsoft werkt samen met RSA aan beveiliging Windows 25 februari 2004
'Enhanced Virus Protection' voor AMD64-processors 25 februari 2004
Microsoft waarschuwt voor veiligheidslek in Windows 11 februari 2004
Rechter heeft begrip voor hacker en legt milde straf op 22 januari 2004
Features AMD-chips ontwaken door update Windows XP 17 december 2003
Beveiligingsgat in rsync oorzaak recente open source-hacks 5 december 2003
Cisco en drie anti-virusbedrijven in de weer tegen wormen 20 november 2003
Eerste virus viert deze week twintigste verjaardag 12 november 2003
Prioriteiten in 2004 voor IT-wereld: beveiliging 11 november 2003
MS gaat hardwarematige beveiling K8 en Itanium gebruiken 4 november 2003
Windows XP SP2 krijgt deel Longhorn-features 15 oktober 2003
Nieuwe veiligheidsplannen Microsoft gepresenteerd 9 oktober 2003
Microsoft zal worden aangeklaagd voor beveiligingslekken 3 oktober 2003
Microsoft slaat nieuwe koers in op beveilingsgebied 2 oktober 2003
Ballmer: 'hackers zijn criminelen, geen innovators' 1 oktober 2003
NYT over Microsofts Security Response Center 30 september 2003
Kritiek op Microsoft kost onderzoeker zijn baan 26 september 2003
CCIA: "Microsoft vormt gevaar voor samenleving" 24 september 2003
Meer producten en artikelen (20)
Software

Reacties (108)

-Moderatie-faq
-11080105+185+226+33Ongemodereerd0
Wijzig sortering
+3 sphere
1 november 2003 10:11
"Patches zijn altijd eerder beschikbaar dan de exploits", zo stelt Gates.

Dit is natuurlijk gejokkebrok eersteklas. Let alleen al op de openstaande vulnerabilities in IE. Wat dichter bij de waarheid ligt is dat MS dingen gaat patchen zodra er echt grote golven van virusuitbraken (bijv.) te verwachten zijn. Deze houding wordt ondermeer veroorzaakt door het feit dat MS aanhanger is van de "security through obscurity" stroming.
+1 Johnny
@sphere1 november 2003 11:12
Het is niet alleen gelogen, maar ook nog eens onmogelijk, want je kan geen patch maken voor een exploit die nog niet bestaat.
+1 Major 7
@Johnny1 november 2003 11:35
Je maakt m.i. een patch voor een fout. Onafhankelijk of er (al) een exploit is die van die fout gebruik maakt.

on topic:
En wat veiligheid betreft, zoals al vaak gezegd zit de kern van de veiligheid in de manier van opbouw van het systeem.
De denk-manier van de ontwerper bepaald de veiligheid.
Dat er dan fouten komen in de code is vervelend en on vermijdbaar.
Voor wat ik er uit lees is Bill Gates van een andere mening hierover.
Maar dat gaat veranderen: straks mag de gebruiker niet meer alles en kan kwaadwillende code niet meer overal bij, alleen dan heeft heeft de TCPA-club het heft in handen en niet meer de beheerder van de PC.

@Andante_ : Dat TCPA stukje was cynisch bedoeld...
+2 Andante
@Major 71 november 2003 13:10
Wat betreft het niet echt nodig zijn van perfecte code voor hoge veiligheid ben ik het eens een keertje eens met Bill. Als je eens goed kijkt naar linux dan zal je zien dat in linux ook niet alles perfect is. Het grote punt bij hoge veiligheid is dat je actief moet werken aan het releasen van patches. Wat bij MS nog wel eens iets heeft van, we patchen pas als er een grote uitbraak voor de deur staat, plus als we een bug vinden die groot is, dan houden we onze mond maar zolang als mogelijk is dicht.

Nu waar het jou opmerking over TCPA betreft, je kan alles wel lekker weg stoppen achter een TCPA schermpje. Echter dat zal je in het geval van een blaster-achtige aanval nog weinig helpen. Een dergelijke aanval veroorzaakt een overflow binnen een service die door het TCPA gedoe al een hoeveelheid rechten heeft gekregen. Kijkende naar het huidige securitymodel van MS, zal onder TCPA een dergelijke service rechten hebben over het hele systeem. En dus gaat die aanval lekker z'n werk doen met toestemming van het TCPA systeem. Voordat ze een dergelijke aanval kunnen afslaan zullen ze toch echt de layout van hun OS drastisch moeten aanpassen.
+1 wvl|IA
@Johnny1 november 2003 11:20
Exploit is het misbruik maken van een beveiligingslek via een stukje software.

Wat je waarschijnlijk bedoelde is dat een patch niet uitgebracht kan worden voordat een beveiligingslek is ontdekt.
+1 Hakker
@wvl|IA1 november 2003 11:35
Wat Gates eigenlijk gewoon zegt is dat ze de exploit dus de bug allang wisten maar gewoon te lui zijn om het eerder te fixen dan dat zij dat nodig vinden. Zij weten tenslotte allang dat die exploit er is ;)
+2 Thorchar
1 november 2003 09:53
Ik ben het helemaal met Gates eens, het is bijna onmogelijk om een perfecte code te schrijven, laat staan de vele 3rd party applicaties die veel mensen draaien waardoor ook problemen ontstaan.

De veel genoemde Blaster worm was idd heel gemakkelijk te voorkomen door of de patch te installeren, of zo in te stellen dat die service niet de PC opnieuw laat starten of een firewall te installeren.

Maar door lamheid of ontwetendheid nemen mensen geen maatregelen. Ik vind dat Microsoft daar niet op aangekeken kan worden, ze hebben gedaan wat ze konden.

Natuurlijk beperkt meneer Gates zich met cijfers tot Windows Server 2003. Dat is immers hun huidige software, dat er in het verleden fouten zijn gemaakt is nu niets meer aan te doen.

Je krijgt toch op je examen ook geen slecht cijfer alleen omdat je in het verleden vaak slechte cijfers hebt gehaald? In het verleden behaalde resultaten bieden geen garantie voor de toekomst.

En ik vind dat Microsoft nog best netjes is om snel alle patches uit te brengen, kijk bijvoorbeeld naar het Nederlandse pakket Accountview wat heel erg veel wordt gebruikt in Nederland. Als je daar een fout van meld moet je geluk hebben dat je een patch kunt krijgen en 9 van de 10x zit de bug er in de volgende versie weer in.

Ook maakt Microsoft nog steeds ontzettend veel winst, dus je kan wel helemaal anti-microsoft en anti-Gates zijn. Maar in feite is het een geniale man die met z'n marketingskills multi-miljardair is geworden en een enorm bedrijf runt dat super veel winst maakt. En dat is een feit, geen mening.

Edit:

Ook is het zo dat Microsoft niet gemakkelijk anti-virus of een goede firewall in z'n OS kan zetten aangezien ze dan hetzelfde gelazer krijgen als met Netscape toen die zaten te zeuren dat IE in Windows was gebouwd om Netscape de kop in te drukken.... Bleek dat er toch iets meer voordelen aan zaten als alleen Netscape om zeep helpen.

Ik zeg: Laat Microsoft (eventueel met de hulp van Norton, macAfee en weet ik wie nog meer) een goede firewall en virusscanner in Windows bouwen, dan zijn we gelijk van een hoop gezeur af.
+3 boesOne
@Thorchar1 november 2003 10:00
Ik ben het helemaal met Gates eens, het is bijna onmogelijk om een perfecte code te schrijven, laat staan de vele 3rd party applicaties die veel mensen draaien waardoor ook problemen ontstaan.
Nee, maar je moet wel 'zo goed mogelijke' code schrijven. Aangezien Gates 'Chief Software Architect' is geeft hij richting aan de devvers bij MS. Lekkere boodschap is dit: Doe maar rustig aan jongens..
De veel genoemde Blaster worm was idd heel gemakkelijk te voorkomen door of de patch te installeren, of zo in te stellen dat die service niet de PC opnieuw laat starten of een firewall te installeren.
Je bent dus afhankelijk van 3rd party progs voor security ?
Lijkt me dat je een solide OS nodig hebt en daarbovenop een extra laag als een firewall.
Security is dus wel degelijk een zaak voor MS en niet alleen van de user..
Je krijgt toch op je examen ook geen slecht cijfer alleen omdat je in het verleden vaak slechte cijfers hebt gehaald? In het verleden behaalde resultaten bieden geen garantie voor de toekomst.
In het verleden behaalde resultaten bepalen wel je reputatie in het heden !
En ik vind dat Microsoft nog best netjes is om snel alle patches uit te brengen, kijk bijvoorbeeld naar het Nederlandse pakket Accountview wat heel erg veel wordt gebruikt in Nederland. Als je daar een fout van meld moet je geluk hebben dat je een patch kunt krijgen en 9 van de 10x zit de bug er in de volgende versie weer in.
Een OS is van heel andere orde dan een pakket als account view.
Van een server OS 2K3 mag je goede default security verwachten. Patchen == rebooten en dat is nou net niet de bedoeling met een produktie server..
Ook maakt Microsoft nog steeds ontzettend veel winst, dus je kan wel helemaal anti-microsoft en anti-Gates zijn. Maar in feite is het een geniale man die met z'n marketingskills multi-miljardair is geworden en een enorm bedrijf runt dat super veel winst maakt. En dat is een feit, geen mening.
Helemaal gelijk.. Geniale marketing man.. Maar van OS/software design cq security heeft ie weinig kaas gegeten..
+1 KRIS FRANSSENS
@boesOne1 november 2003 10:17
Op dit moment ben je afhankelijk van 3th party virusscanners. Enkele maanden geleden riep men moord en brand omdat MS een fabrikant opgekocht had en diens kens wou integreren in de volgende windowsversies.
Een OS maken dat voor 95% van de computergebruikers perfect is is denk ik niet mogelijk.
+1 The Noid
@KRIS FRANSSENS1 november 2003 10:59
Daarom moet je dat dus ook niet proberen. Maak verschillende windows distributies voor verschillende gebruikersgroepen. Gebeurt bij Linux ook.
+1 KRIS FRANSSENS
@KRIS FRANSSENS1 november 2003 11:48
[reactie op The Noid]
Doen ze dat dan niet? NT6 :
Windows XP Home
Windows XP Pro
Windows XP Tablet PC
Windows XP Media edition
Windows 2003 Server.
Ik heb nu een gratis trial van 2003 in gebruik. En ik vind het doodjammer dat de Pro niet even netjes is.
Als je XP Por op je pc gooit heb je meer er op staan dan XP Home. Waarom???? De Pro zou net een uitgeklede versie moeten zijn. Dat de zakelijke gebruiker er zijn software kan op zetten en niet meer.
Dat zou al een hele stap in de goede richting zijn. Broncode ter vrijgeven is mooi maar 80% van de gebruikers zal daar nooit iets mee doen. De andere 20% voor hetzelfde als wat MS zou moeten doen. Alles wat overbodig is er uit smijten.
[/reactie op The Noid]
0 DrWolffenstein
@KRIS FRANSSENS1 november 2003 13:52
Doen ze dat dan niet? NT6 :
Windows XP Home
Windows XP Pro
Windows XP Tablet PC
Windows XP Media edition
Windows 2003 Server.
Pardon maar de XP serie is NT 5.1 en 2003 NT 5.2. Dus longhorn zou NT 5.3 of NT 6 zijn. Maar wat jij zegt klopt dus niet.
+1 rbs
@boesOne3 november 2003 04:44
Helemaal gelijk.. Geniale marketing man.. Maar van OS/software design cq security heeft ie weinig kaas gegeten..
Das nou grappig zeg... toen Billy boy op school zat was hij een mainframe hackertje en werd juist vanwege zijn security skills ingehuurd door allerlei bedrijven.
+1 boesOne
@Leopard1231 november 2003 10:41
Wat een kansloze opmerking! Microsoft is een van de productiefste bedrijven ter wereld. Als je niet streeft naar 100% perfecte code betekend niet dat je nik ste doen hebt hoor. Functionaliteiten enzovoort moeten allemaal uitgedacht worden.
Als je niet streeft naar 100% foutvrije code dan ben je imho aan het prutsen.
Foutvrije code bestaat niet, maar dat betekend niet dat je er niet naar moet streven.

We hebben het niet over startknoppen. We hebben het over de security van Microsofts vlaggeschip windows 2003 server..
+1 KayJay
@Leopard1231 november 2003 21:11
Wat dacht je van de geniale uitvinding van de startknop? Zit tegenwoordig in elk besturingssysteem, ook in Linux.
Linux heeft geen startknop, linux is een kernel..
oh doel je op KDE? dat is geen startknop maar een KDE menu.

Bovendien zo spectaculair is zo'n startknop niet.. Ook absoluut geen uitvinding van MS.
0 LeoMekenkamp
@Leopard1231 november 2003 15:17
Wat een kansloze opmerking! Microsoft is een van de productiefste bedrijven ter wereld.

Wat is dan je definitie van 'productief' en op welke economische cijfers baseer je deze uitspraak?

Mag ik je eraan herinneren dat MS slechts met 2 producten winst maakt: Office en Windows. De rest draait verlies, break-even of minimale winst. En dit is na te lezen in de stukken die MS bij de FTC ingediend heeft.
+2 Pietervs
@Thorchar1 november 2003 12:43
\[off-topic]
Ook is het zo dat Microsoft niet gemakkelijk anti-virus of een goede firewall in z'n OS kan zetten aangezien ze dan hetzelfde gelazer krijgen als met Netscape toen die zaten te zeuren dat IE in Windows was gebouwd om Netscape de kop in te drukken.... Bleek dat er toch iets meer voordelen aan zaten als alleen Netscape om zeep helpen.
Denk dat je het boek "Microsoft vs. Netscape: de browser oorlog" toch maar eens moet gaan lezen. Microsoft heeft wel degelijk IE geintegreerd met als doel om andere browsers uit de markt te drukken (en dan met name Netscape, aangezien die op dat moment de grootste concurrent was).
\[/off-topic]

Maar Bill heeft ten dele gelijk: er ligt een groot deel van de verantwoordelijkheid bij de gebruikers zelf m.b.t. het up to date houden van de virusscanner.
Aan de andere kant: als jij een huis koopt, waar geen sloten op de voordeur zitten en de aannemer zegt tegen jou dat je zelf maar een stukje beveiliging in moet bouwen in de gang van je huis, dan wordt je toch ook niet helemaal vrolijk, of wel??? }>
+1 Not Pingu
@Pietervs1 november 2003 14:14
maar er is slechts een beperkt aantal manieren om zonder toestemming een huis binnen te komen. Sloten op je huis is een ding, wat als de inbrekers nieuwe manieren vinden, bijv. teleportatie waardoor je je muren moet bedekken met zilverfolie om de signalen tegen te houden? (overdrijven maakt de zaak duidelijk). In dat geval ga je toch ook niet bij de aannemer zeuren dat je huis ineens niet meer goed beveiligd is?

Windows bevat van zichzelf al een groot aantal beveiligingen tegen een hoop mogelijke lekken. helaas zijn er zeer veel mensen continu bezig met het vinden van lekken e.d.. Dat kun je gewoon niet tegenhouden. Wat ik echter wel vreemd vind is dat Microsoft de wind van voren krijgt, maar er niet eens wordt gekeken naar de hackers en virusschrijvers die er de eigenlijke oorzaak van zijn dat lekken uberhaupt een probleem vormen.
+1 Janoz
@Not Pingu3 november 2003 12:14
Dit is dus het aller grootste misverstand. Deze vergelijking slaat nergens op omdat het niet een nieuwe techniek van de inbrekers is, maar het ontdekken van een gat in je huis.

Een betere vergelijking zou zijn dat je schoorsteen een doorsnede van 0.5 meter heeft. Jij hebt geen ID en de huisbouwer vond het wel best, maar vervolgens bedenkt de inbreker dat ie, als hij ff niet traint en snoept, hierdoor naar binnen kan.

Punt is dat de mogenlijkheden er al vanaf dag 0 in zitten (of worden geintroduceerd door een aanpassing in de software) en pas naar buiten komen waneer iemand heeft ontdekt dat er misbruik van te maken is.

Over je tweede deel:

Dat er fouten in de software zitten is tot daar aan toe. Een bufferoverflow foutje is in principe zo gemaakt. Maar veel security problemen bij windows zitten er als het ware by design in. Vb script in html en vervolgens dezelfde html voor de mail client gebruiken zorgt natuurlijk voor problemen waneer er in vb script een filesystem object en/of mail/adresboek mogenlijkheden zitten. Ze voegen functionaliteit toe en achteraf gaan ze het nog eens proberen dicht te timmeren. Waneer er nu bij het bedenken van de functionaliteit ook eerst even aan de impact van dit soort dingen wordt gedacht, is een heel groot deel van de security problemen al opgelost.
+2 LeoMekenkamp
@Thorchar1 november 2003 15:25
Maar in feite is het een geniale man die met z'n marketingskills multi-miljardair is geworden en een enorm bedrijf runt dat super veel winst maakt.

Niet dat ik een communist ben, maar dit geeft wel een zwakke plek aan in het kapitalisme: Bill Gates is geniaal omdat hij multi-miljardair is geworden?

Newton was geniaal. Madame Curie was geniaal. Darwin was geniaal. Einstein was geniaal. Steven Hawking is geniaal. Een hoge pief van een bedrijf dat op een illegale manier gebruik maakt van z'n monopolie-positie (vergeet niet dat dit de bevindingen zijn van het VS juridisch' systeem) om veel geld te verdienen, is niet geniaal.

Als 'ie zo geniaal was had 'ie ook de tweede druk van z'n 'visionaire' boek niet hoeven aan te passen omdat het internet niet in de eerste druk genoemd werd.

Als de moeder van Bill Gates niet in de raad van commissarissen van IBM had gezeten toen IBM een OS nodig had voor de PC, had niemand van Bill gehoord.
+1 Saus
@Thorchar1 november 2003 09:59
Natuurlijk beperkt meneer Gates zich met cijfers tot Windows Server 2003. Dat is immers hun huidige software, dat er in het verleden fouten zijn gemaakt is nu niets meer aan te doen.
Ben het voor een groot deel met je eens, maar imho moet je WindowsXP als referentiepunt nemen. Windows2003 is nog relatief vrij kort op de markt, de massa gebruikt het niet.

Het is logisch dat Win2003 minder fouten bevat omdat het vooralsnog voor die hackertjes niet interessant is om dat te gaan hacken.
Mocht het ooit helemaal inburgeren dan zullen er wel veel meer fouten opduiken denk ik.
0 three2five
@Thorchar2 november 2003 15:30
"Je krijgt toch op je examen ook geen slecht cijfer alleen omdat je in het verleden vaak slechte cijfers hebt gehaald? In het verleden behaalde resultaten bieden geen garantie voor de toekomst."

Ha! Ik kreeg op mijn school altijd wel een naar beneden afgerond cijfer, omdat ik niet zo lief was... :P
+2 Jeroenn
1 november 2003 09:45
Dat is typerend voor de houding van Microsoft!
En precies waar het probleem zit. Geef de hacker zijn security holes en zeg dat het de schuld van de gebruiker is dat hij niet dagelijks de met pleisters opgelapte herziene code download als patch...
Pfff... |:(
+2 ..Koen..
@Jeroenn1 november 2003 09:51
Het is nu eenmaal, met de complexiteit van besturingssystemen, niet mogelijk om de perfecte code te maken.

Er zullen altijd wel hele kleine bugs gevonden worden, die dan weer uitgebuit zullen worden.

Neem nu bijvoorbeeld een virus....nu kan je je besturingssysteem nog zo perfect maken, het virus zal dan nog je pc overhoop gooien. Hier valt voor Mircosoft verder niet veel meer aan te doen en zal de gebruiker gebruik moeten maken van andere (niet-Microsoft) software...
+2 El_Muerte_[TDS]541
@..Koen..1 november 2003 10:00
Dat code nooit perfect zal zijn is logisch, maar met deze uitspraak laat Bill weten dat MS geen perfectie na streeft.
+3 mike_mike
@El_Muerte_[TDS]5411 november 2003 13:46
ipv bij voorbaat de standaardopmerking te maken "het is toch nooit goed wat MS doet" kan je beter inhoudelijk ingaan op wat hij allemaal zegt, het is namelijk onvoorstelbaar. NIEMAND beweert dat een OS foutloos kan zijn, wat iedereen irriteert aan MS is hun arrogante en lakse houding, enkel mogelijk in een monopolie.
Volgens hem moet namelijk een belangrijk deel van de veiligheid van een computersysteem worden gerealiseerd door firewalls en virusscanners.
Belachelijke uitspraak, dit is symptoombestrijding, geen structurele oplossing voor het onderliggende probleem, zelfs een ontkenning van het bestaan ervan.

Dat is hetzelfde als een dokter die zegt "als u elke dag hoofdpijn heeft neemt u toch gewoon elke dag een asprientje?" ipv de balk boven z'n bed weg te halen waar hij elke dag z'n hoofd tegen stoot wat de hoofdpijn veroorzaakt.

Om nog maar te zwijgen over dat virusscanners per definitie altijd achter de feiten aanlopen en wereldwijd allemaal installatie en update tijd kost. Net zoals het "had je maar moeten patchen" argument, reken voor de gein 'ns uit wat dat wereldwijd kost.
"Patches zijn altijd eerder beschikbaar dan de exploits",
Gates had beter kunnen zeggen "de lekken zijn altijd eerder beschikbaar dan de exploits"

Schitterend voorbeeld van hoe Gates de wereld ziet, de EXPLOITS zijn de problemen, die groeien en waren er daarvoor nog niet en onmogelijk te voorspellen en dus niet in de code op te lossen, het betreft dus geen beveiligingslek, nee het lek is gecreeerd door de exploit zelf. Het is natuurlijk andersom dat lek was er al maar wordt later pas ontdekt en dan meestal door hackers/crackers, MS weet altijd mooi te verdoezelen dat het hier doodgewone constructiefouten betreft.
+2 k7of9
@El_Muerte_[TDS]5411 november 2003 10:23
Dat is wat jij eruit haalt. Je hoort hem niet zeggen dat ze geen moeite doen om de perfecte code te schrijven. Hij geeft alleen maar aan dat hij eigenlijk weet dat perfecte code een illusie is. Heeft dus niets met laksheid te maken maar met realisme
+2 durkagain
@El_Muerte_[TDS]5411 november 2003 13:20
Sorry hoor, maar die 80/20 regel wordt juist veel door marketing- en salesafdelingen gehanteerd, deze regel mag nóóít in het hoofd van een ontwikkelaar opkomen.

Dat die 20% zoveel extra kost heeft veelal te maken met problemen op de volgende gebieden:
- architectuur
- standaardisatie
- communicatie
- politiek

Praktisch zou het makkelijk 95% kunnen worden.
+2 smokalot
@El_Muerte_[TDS]5411 november 2003 15:14
Elke linux-systeembeheerder installeert zowel een firewall als een virusscanner? Firewall ok (zit standaard in de kernel trouwens, niet eens nodig om te installeren), dat is nu eenmaal handig om te zorgen dat je netwerk overzichtelijk blijft, dat buitenstaanders er niet in mogen (zodat je je interne webserver niet over de hele wereld laat zien bv), en dat de gebruikers zelf slechts de dingen doen die ze horen te doen (dus niet msnen bv).

Maar virusscanners voor linux? Voor zover ik weet is er nog nooit een linuxvirus geweest wat de echte wereld ingetrokken is. Volgens mij zijn er wel virusscanners die onder linux werken, maar die zijn meer bedoeld voor servers, zodat de windows-clients veilig zijn.
+2 mike_mike
@El_Muerte_[TDS]5411 november 2003 21:25
Een exploit is wat anders dan een security hole. In het geval van Blaster bijvoorbeeld, was de patch (MS03-029) als maanden beschikbaar. Als de gebruiker/beheerder deze patches tijdig had geïnstalleerd, had het lek zich niet eens geopenbaard.
Heb je niet door dat jij net als MS dan over het feit heenstapt dat als het lek niet had bestaan het zich ook niet geopenbaard had? Natuurlijk is het in veel gevallen verstandig te patchen, maar dat betekent niet dat er daarna geen kritische vragen gesteld moeten worden over het lek zelf en dat elke verantwoordlijkheid van MS ophoudt? Iets dat in elke andere branche voor schandalen zorgt wordt hier van tafel geveegd met de opmerking "kom morgen maar banden halen die niet zomaar ontploffen op de snelweg"
't Is nu eenmaal een populair stuk software en dus een geweldige prooi voor hacker en virus-schrijvers. Je kunt er dus een major mayhem mee creeëren.
Als je vaker tweakers leest dan weet je dat op het gebied van internetservers dat helemaal niet waar is Apache heeft een veel groter marktaandeel dan IIS.
+1 Aetje
@El_Muerte_[TDS]5411 november 2003 11:12
"Patches zijn altijd eerder beschikbaar dan de exploits"
Da's verdomme gewoon een leugen.
+1 GruttePier
@El_Muerte_[TDS]5411 november 2003 12:21
ooit gehoord van de 80/20 regel?
de eerste 80% van volbrengen van een pakket gaat precies volgens plan, alleen die laatste 20% kosten meestal meer tijd en energie dan die 80%.
Veelal is het met software pakketten onmogelijk om het 100% waterdicht te maken, zeker in het tijdperk object georienteerd programmeren en vooral met de huidige 'eisen' dat elk pakket compatibel moet wezen met alles en iedereen...

Daarnaast, wel grappig, als Billy hier zou beweren dat ie WEL alles 100% dicht getimmerd zou hebben en dat ze daar meer geld in zouden blazen, dan zou hier EXACT dezelfde anti-MS reacties hebben gestaan... alleen dan had iedereen juist beweert dat het onmogelijk is om 100% waterdicht te programmeren, dat ie een leugenaar is yadayada...
Dus maakt niet zoveel uit WAT ie zegt, is voor sommigen nooit goed.

Let wel, elke systeembeheerder zal een firewall en virusscanner installeren (zelfs alle Linux/unix/Solaris fans), dus de afweging of een software pakket (en dan niet 1 pakket maar een hele lijn pakketten) niet geheel waterdicht te maken, kan ik mij voorstellen. Veelal is het onmogelijk om pakketten voor iedereen en voor alles veilig te maken.
Is hetzelfde als in de autobranche, je kunt een auto 'veilig' maken, maar tis nog steeds de bestuurder die uiteindelijk de auto rijdt.. en daar kun je niets voor maken/fixen/repareren.... blijft mensenwerk.
+1 L0k1
@El_Muerte_[TDS]5411 november 2003 14:35
Een exploit is wat anders dan een security hole. In het geval van Blaster bijvoorbeeld, was de patch (MS03-029) als maanden beschikbaar. Als de gebruiker/beheerder deze patches tijdig had geïnstalleerd, had het lek zich niet eens geopenbaard.

Ikzelf ben (over het algemeen) zeer te spreken over de ijver die MS steekt in het bewaken van zijn beveiligingslekken.

't Is nu eenmaal een populair stuk software en dus een geweldige prooi voor hacker en virus-schrijvers. Je kunt er dus een major mayhem mee creeëren.
+1 michell902
@El_Muerte_[TDS]5411 november 2003 15:31
Let wel, elke systeembeheerder zal een firewall en virusscanner installeren (zelfs alle Linux/unix/Solaris fans)
bullshit.

ik heb op mijn Ultra workstations GEEN firewall en geen virusscanner. Is ook nergens voor nodig. alle onnodige services staan uit en fuckmydisk.vbs doet helemaal niks (ookal klik ik er graag op uit principe)

Op mijn router zit een firewall om mijn WINDOWS machines te beschermen. De unix workstations hadden namelijk niks zinnigs om op in te hacken.

Op mijn fileserver heb ik een virusscanner om WINDOWS-executables en dll's enzo te scannen.
Al die so-called virussen en wormen hebben namelijk 0,0 effect op een unixmachine.

En natuurlijk is een firewall leuke extra bescherming voor het geval je iets vergeet op je workstation. natuurlijk is het een extra drempel voor eventuele kwaadwillenden. Maar het is hoofdzakelijk NODIG voor windowsmachines.

moraal vandit verhaal.
lul niet zo dom
+1 coverman
@El_Muerte_[TDS]5412 november 2003 12:10
Er vindt idd. niet zoveel activiteit plaats op het gebied van anti-virus software voor Linux en Unices. Ik geloof dat ik recentelijk nog ergens had gelezen dat er bijna 70.000 virussen voor Windows bekend zijn en iets van 50 voor Linux/Unix. Tsja, is dan ook niet echt een markt voor he :7

Die verhouding is tweeledig:
1. De Windows OS-en bezitten (volgens Google stats) 92 % van de computers. Linux maar 1 %
2. Focus van Microsoft ligt gewoon veel meer richting vernieuwing, inspringen op nieuwe markten, alle wegen bewandelen die geld op kunnen leveren. Dat dan concessies aan veiligheid worden gedaan is dan logisch. Linux loopt dan misschien de pionierende wegen van de commercielen uiteindelijk ook wel in, zijn dan niet de eersten, maar wel stabiel, robuust, degelijk en veilig.

Als laatste: als je (ja, als gebruiker) ervoor zorgt dat je OS altijd up-to-date is en ook je overige software, dan is een firewall en virusscanner amper nodig; een poortscan legt geen exploits bloot. Wat betreft de virusscanner ben ik wat gematigder: Natuurlijk moet je als gebruiker geen executables uit je emailattachments gaan openen, maar als je een reply van een bekende van je krijgt op een door jouw verzonden mail, met een leuke screensaver erbij, dan zullen aardig wat mensen daar toch intrappen denk ik (weet niet of dergelijke virussen al bestaan: hoop niet dat ik iemand op een idee heb gebracht :o ).
Hetzelfde geldt voor een gedownload programma van best wel betrouwbaar uitziende sites ... Het kan je een hoop ellende geven ! Dus een up-to-date AV is geen overbodige luxe !
+1 BarôZZa
@El_Muerte_[TDS]5413 november 2003 14:16
maar als je een reply van een bekende van je krijgt op een door jouw verzonden mail, met een leuke screensaver erbij, dan zullen aardig wat mensen daar toch intrappen denk ik (weet niet of dergelijke virussen al bestaan: hoop niet dat ik iemand op een idee heb gebracht ).
Bestaan al, 'k krijg vaak .scr bestanden toegestuurd. De scr-extensie wordt naast de screensavers natuurlijk ook gebruikt voor script files...
0 shorun
@El_Muerte_[TDS]5411 november 2003 22:22
een auto gaat naar links als je met je stuurt naar links draait, ms gaat naar rechts of valt stil als je naar links draait, dus auto vs ms in niet te vergelijken
+2 chippey
@..Koen..1 november 2003 12:02
Een viruszoeker is natuurlijk een soort workaround van het probleem. Het probleem dat een OS zo is gemaakt dat er programma's kunnen draaien waar ik geen toestemming voor geef is in feite het probleem.

Als een OS zo in elkaar zit dat een applicatie of service niet zonder toestemming van de gebruiker in het RAM kan komen, heb je natuurlijk de oorzaak van het probleem te pakken.

Een programma dat zonder toestemming ongewenste taken uitvoert is een ruime definitie van een virus.

Kan me voorstellen, dat tijdens installatie van een officieel gekocht programma, het gekochte programma, door de fabrikant &/of gebruiker gecertificeerde childprocessen mag opstarten in het RAM. Hoewel daar ook gevaren in schuilen.
+2 drm
@chippey1 november 2003 13:48
Als een OS zo in elkaar zit dat een applicatie of service niet zonder toestemming van de gebruiker in het RAM kan komen, heb je natuurlijk de oorzaak van het probleem te pakken.
Dat is natuurlijk niet helemaal waar :)

Als een virus "weet" hoe hij het OS moet laten denken dat de gebruiker er toestemming voor heeft gegeven, dan zit je weer met hetzelfde probleem.

Het grootste probleem met virussen is wat dat betreft dat de maker van het OS of de software altijd achter de feiten aanwandelt. Stik, daar zit een lek, Piet schrijf jij ff een patch om het maar op z'n janboerenfluitjes weer te geven. Dat is gewoon de praktijk, en daarom is het ook gewoon dikke vette kletslulkoek dat Gates zegt:
Patches zijn altijd eerder beschikbaar dan de exploits
In theorie is dat mogelijk ja, maar in de praktijk geloof ik daar helemaal niets van.

Overigens vind ik de strekking van zijn verhaal nog wel het meest frappant: Hij schuift de schuld op de gebruiker in plaats van dat hij zegt dat het niet de focus van zijn software betreft als het om veiligheid gaat. Want dat is in feite echt aan de hand.

Hij kan het zich namelijk helemaal niet permitteren om te zeggen dat MS zich focust op veiligheid, want dan krijgt hij de volledige publieke opinie over zich heen. Wat moet hij dus doen? Relativeren. Vind ik niet zo gek, opzich, want het is natuurlijk gewoon een spreekwoordelijk zeer been van Bill :)
+1 chippey
@chippey1 november 2003 14:03
Als een virus het OS weet te omleiden is er geen toestemming van de gebruiker. En blijft mijn stellling bestaan :

Bij jou stelling zit het virus al in het RAM :) En heeft de gebruiker toestemming verleend. De gebruiker is aansprakelijk in dit geval en niet de producent van het OS.

Een OS strak, modulair en conditioneel opzetten. Van mij part een soort cookies-systeem voor applicaties.
+1 Crazy D
@chippey1 november 2003 16:03
Als een OS zo in elkaar zit dat een applicatie of service niet zonder toestemming van de gebruiker in het RAM kan komen, heb je natuurlijk de oorzaak van het probleem te pakken.
En vervolgens vinden mensen het een ruk-OS want je krijgt iedere keer zo'n waarschuwing als je een programma opstart... En uiteindelijk wordt het een automatisme om op Ok te klikken, zonder te kijken wat er staat, et voila dan zijn we weer terug bij af..
Gebruiksvriendelijk, zoals Windows op zich wel is, gaat vaak maar lastig samen met veiligheid, simpelweg omdat eigenlijk alles wat je kunt doen om iets veilig te maken, niet gebruiksvriendelijk zijn.
(Even geredeneert voor de thuisgebruiker. In een kantoorsituatie, waarin je een aantal applicaties nodig hebt om je werk te kunnen doen, en voor de rest op zich geen andere apps hoeft op te starten, is dat uiteraard een compleet ander verhaal).
+1 vormpie
@chippey1 november 2003 20:20
Het probleem ligt denk ik bij mensen die bewust proberen een OS te hacken.. of fouten op te sporen.
Windows is een gewild doel...

Vooral omdat mensen het leuk vinden om tegen microsoft te zijn....

Ik vraag me af hoeveel mensen nu naar hum windows xp desktop zitten te kijken en vrolijk MS zitten af te kraken. puur voor de lol.

Ik denk niet dat je het probleem ''achter de feiten aanlopen'' kan noemen. Niks is namelijk perfect.

Vergelijk het maar met een luchthaven, hoe strak de security ook is... er zijn altijd mensen die er wat op vinden! Het is dan heel makkelijk.... en heel onterecht om te roepen dat ze er niks aan doen.
Terwijl ze alles proberen en controleren.

Als we overal op voorbedacht zouden kunnen zijn...
dan was ''ontwikkeling en vooruitgang'' al heeeeeeel lang geleden aan zijn eind gekomen!
+1 chippey
@chippey1 november 2003 22:56
Je krijgt bij elk programma/proces maar eenmalig de vraag om je toestemming. Daarna is het geautoriseerd.

Het heeft ook niks met gebruikersvriendelijkheid te maken dat er allerlei programma's draaien waar de gebruiker geen controle over heeft.
+1 chippey
@chippey2 november 2003 09:53
Ik gebruik Sygate Personal Firewall en deze software heeft de optie: dll-authentication.

D.w.z. elke dll die wordt aangeroepen door een programma moet eenmalig door de gebruiker worden geautoriseerd.

Je kunt de optie ook uitzetten.
0 shorun
@chippey1 november 2003 22:34
En vervolgens vinden mensen het een ruk-OS want je krijgt iedere keer zo'n waarschuwing als je een programma opstart... En uiteindelijk wordt het een automatisme om op Ok te klikken, zonder te kijken wat er staat, et voila dan zijn we weer terug bij af..

maar deze keer is het wel de gebruiker zijn fout.
0 chippey
@chippey1 november 2003 22:54
.dubbelpost.sorry.
+2 Deepeh
@..Koen..1 november 2003 16:11
Volgens mij ligt het niet alleen aan de complexiteit. Het is redelijkerwijs volgens mij best mogelijk om perfecte code te schrijven die niet te exploiteren is, maar dan zou je alle nieuwe ontwikkelingen, dus ook van third parties, in de vorm van drivers, snap-ins, etcetera, moeten bevriezen. Het éénmalig schrijven (of debuggen ;)) van perfecte code is niet zo'n probleem, het continu blijven bijwerken en implementeren volgens mij wel.
+2 chippey
@Jeroenn1 november 2003 10:35
Hij heeft wel degelijk gelijk. Ik werk o.a. als technical support en als je kijkt hoe gebruikers omgaan met hun veiligheid...laat dat best te wensen over.

Heb je XP en wil je een veilig OS kijk dan even hier : www.blackviper.com , o.a. disable alle services die je niet gebruikt, is niet alleen veiliger maar ook sneller.

Wat ik zelf doe is een ghost-image maken van een persoonlijke perfecte installatie van het OS met eventuele prog's.
Verder heb ik een batch-copy gemaakt, die mijn persoonlijke instellingen veilig wegzet, zoals favorieten, doc's etc:
xcopy C:\Docume~1\*.* d:\backup\Docume~1 /E /C /H /R /K

Weet ik nu niet zeker of een programma een trojan is /of heb ik vreemde verschijnselen zoals hardeschijven die zomaar actief zijn, dan run ik de batch. Test/gebruik eventueel het programma wat verdacht is. Als ik klaar ben zet ik de ghost terug en copieer alle persoonlijke instellingen terug :

xcopy D:\backup\Docume~1\*.* C:\Docume~1\ /E /C /H /R /K

Werkt perfect en kan ik echt aanbevelen.

Gebruik natuurlijk ook een vuurwal en een viruszoeker.
0 LeoMekenkamp
@chippey1 november 2003 12:34
Dat het perfect werkt wil ik zo van je aannemen. Maar is het niet van de zotte dat je dit allemaal moet doen? Jij bent duidelijk technisch onderlegt, maar hoe kan ik m'n moeder uitleggen dat ze moet doen wat jij gedaan hebt?
+1 chippey
@LeoMekenkamp1 november 2003 13:21
Mijn doelgroep hier op tweakers.net zijn geen moeders(hoewel ?, ik wil niemand buitensluiten ! :), maar alla.

Wat je kunt doen voor je moeder :

- zet op de desktop twee buttons "backup persoonlijk" & "restore persoonlijk" ( dit zijn twee batch-files die jij voor je moeder hebt gemaakt en die de betreffende map "C:\Docum*" op "D:\Backup" plaatst of terug zet.

- maak verder een opstartfloppy die volledig automatisch een ghost-image terug zet van d:\backup

Maak een mooie instructie-stappen-plan op 1 A-viertje en plastificeer deze.
+1 LeoMekenkamp
@LeoMekenkamp1 november 2003 14:19
Mijn punt is meer: dit hoort toch gewoon in het OS te zitten?
+1 Leopard123
@Jeroenn1 november 2003 10:25
Complexe besturingssystemen zijn onmogelijk perfect te maken. In Linux worden zelfs meer exploits gevonden dan in Windows. Het probleem is dat de scriptskiddies zich alleen op Windows besturingssystemen concentreren. Dan is het logisch dat de firewall en de virusscanner als wapen moeten worden ingezet.

Bovendien zijn ook de gebruikers fout bezig. Als de gebruiker (of de systeembeheerder) de beschikbare patches niet installeert....wie is er dan dom? Vaak zijn patches al maanden beschikbaar voordat een virus actief wordt.

Moraal van het verhaal: in deze tijd is het gewoon nodig om een firewall en virusscanner te draaien. Bovendien moeten de patches tijdig geinstalleerd worden. Misschien is het een idee om niet goed beveiligde/gepachte computers te weigeren bij het inloggen naar de provider. Dan is het probleem snel opgelost........
+1 horror
@Leopard1231 november 2003 10:59
" In Linux worden zelfs meer exploits gevonden dan in Windows."
Ja maar dat zijn geen exploits waarbij iemand controle krijgt over het hele systeem. Dat is appels met peren vergelijken. Bovendien zijn er meer exploits omdat bijvoorbeeld SuSE een DVD vol met applicaties levert. De exploits van deze extra programma's tel je dan mee.
Zullen we bij Windows ook een DVD vol met programmatuur installeren? En dan nog eens tellen?
+2 LeoMekenkamp
@horror1 november 2003 12:31
Leopard123: je hebt je feiten niet op orde: ga naar securityfocus.com, klik op 'vulnerabilities', 'by vendor', en vul dan microsoft en windows 2000 professional in: lange lijst.

Ga dan naar 'by title', kies linux en dan 'debian' als vendor. Niet alleen is deze lijst korter, het gaat hier ook nog eens over kernel + apps.
+1 RSpliet
@horror2 november 2003 11:56
\[klein-beetje-offtopic]
Ehm, dat is toch juist het probleem met Windows, zie Windows XP. Er zit teveel gebundelde software bij, die je niet mag deinstalleren (MSN Messenger, Outlook Express, Windows Media Player, Internet Explorer etc.). De installer van bijv. Redhat laat mij zelf kiezen wat ik erbij wil hebben, en nog veel belangrijker: wat niet.
\[/klein-beetje-offtopic]

Natuurlijk is die uitspraak van Gates dom, zo geeft hij alleen maar toe aan de luiheid van de OS-coders, of wekt de persoon in kwestie in ieder geval het idee dat ze schijt hebben aan security. Een OS van dik 200 euri behoort gewoon veilig te zijn. Dat wil zeggen, er zitten weinig tot geen bugs bij gebundeld. Dat er wat insluipt ok, maar dat ze er niet naar streven dit te controleren voor dat ze het OS uitbrengen (testen?), daar heb ik gewoon geen woorden voor (laat ik het maar 'the Microsoft way' noemen dan). Dat ik dan een firewall en virusscanner moet aanschaffen (wat al gauw op zo'n 80 euri uitkomt) naast een OS van 200 euri, vind ik schandalig.
Dat patches eerder aanwezig zijn dan de exploits, is niet zo verwonderlijk. Menig virus-schrijver weet dat men te 'lui' is om te patchen(en zo stom is geweest automatic updating uit te schakelen, alhoewel ik dat ook niet toesta) en onderzoekt daarom maar een willekeurige patch. HIj kijkt wat t probleem was en schrijft daar het virus voor. Zo ook MSBlast. Dit is LANG NIET altijd het geval, en dat geeft weer aan dat Ms alleen patcht als er klachten zijn, de so-called on-demand wereld :+
Daarnaast worden vervelende en onbenullige bugs volledig genegeerd (Windows 9x crashed als je C:\nul\nul probeert te benaderen, zelfs remote kan je de boel nog in de soep laten lopen). Dat geeft des te meer aan dat de instelling van Ms fout is, bugs moeten serieus genomen worden, al gaat het erom dat explorer crashed als je een zoekactie opvraagt. Na zo'n nieuwsbericht weet ik dus zeker dat ik niet zomaar meer Windows boot op m'n pc. Ik MSN wel vrolijk door met Gaim, terwijl ik aan t scripten ben met gedit om Apache mijn scripts te laten verwerken die ik dan controleer met Mozilla Firebird op m'n Redhat Linux distro.
0 PolarWolf
@Leopard1231 november 2003 12:06
Cijfers? Bronvermelding?

Volgens mij zit je aardig uit je nek te lullen.
0 Leopard123
@PolarWolf1 november 2003 18:04
Ik heb dit in een onderzoek gelezen wat ik zo snel niet kan terug vinden (als ik het gevonden heb post ik een link).

Ik heb persoonlijk niks tegen Linux, maar het is gewoon triest dat bepaalde mensen uit die hoek alles wat van Microsoft komt af lopen te zeiken.

Maar dit gaat allemaal behoorlijk off topic :7
+1 TTIelu
@Jeroenn1 november 2003 11:02
Enerzijds heeft hij wel gelijk maar om dat dan nog te roepen? Ik weetniet .. de meeste virusinfecties zijn toch idd de schuld van de gebruiker (mailzooi, open porn lalalala).

Maar over dat die fixes er zijn voor de exploits? Dat kan wel mooi wezen maar de gebruiker word niet enorm hard geinformeert .. als er in Unix-like een grote hole gevonden is lees je dat op securityfocus maar voor windows, soms ..?

Een unix-like systeem kan toch ook kapot .. daar gaan ze er enkel van uit dat de gebruiker intelligent genoeg is om niet als root enzo op het web te gaan en zo de grote gevaren tegengaat. Ongelijk kun je gates dus niet geven! (alhoewel hij zich slecht verwoord heeft mja, een nerd he :))
+1 TGEN
@Jeroenn3 november 2003 12:29
Niemand kan perfecte code schrijven, en normale gebruikers hebben ook niet het niveau van beveiliging nodig die bijvoorbeeld het leger nodig heeft. Jij hebt thuis toch ook geen driedubbele luchtsluis als voordeur? Buiten dat is de efficientie ook veel lager als je programmeurs echt tot het perfecte toe wil laten programmeren. Hoe dichter je bij perfectie komt, hoe langer het duurt voor ze een gat gevonden hebben. Dit loont de moeite en de kosten echter niet. Het is gewoon zo dat gebruikers veel toelaten, virussen komen echt niet allemaal door de achterdeur binnen hoor...

Je kan dan nog wel komen met argumenten dat andere desktopbesturingssystemen veel minder last hebben van virussen, maar dat komt alleen door het gebrek aan populariteit van dat OS en dus 'performance' van een virus. Als Linux gemeengoed wordt gaat dat net zo hard en net zo vaak op zn bek als Windows nu.
+2 Remy
1 november 2003 18:43
Op een vraag wat hij vindt van de vele vulnerabilities die in Microsoft producten zitten zegt hij dat dit de laatste maanden een stuk minder is geworden. Hij beperkt concrete cijfers echter alleen tot Windows Server 2003, waarin volgens hem in de afgelopen maanden twaalf problemen waren ontdekt.
Euhhh right. Dit is 100% Microsoft stijl: "Don't use our old products, their inferior! Instead, use this new and shiny Windows 2003 Server! It's good!". Zo werkt Microsoft al jaren, dus hier is niks nieuws aan?

Dat er zo weinig vulnerabilities in win2003 server zijn ontdekt, heeft meer te maken met de erbarmelijke staat waarin voorgaande OSen in verkeerden qua veiligheid, dan met Microsofts security policy.

Het is wel eerder gemeld dat Microsoft zich meer ging toeleggen op beveiliging, maar is dat niet een beetje laat? Er zijn al verschillende argeloze thuisgebruikers en bedrijven de dupe geworden van hack-attacks, virii en dergelijke foute zaken. Zelfs al had men actie ondernomen om de beveiliging in orde te maken. Dit kwam door lekken in IE, Outlook Express, en MSN Messenger. Deze 3 programma's van MS hebben voor meer dan driekwart van de problemen gezorgd met haar OSen. Niet eens de Windows versies zelf, want die werden redelijk beschermd door de firewall en anti-virus software.

Hopelijk is men niet Microsofts actie om in Outlook (Express) gewoon bepaalde bestandstypen te blocken, ipv er een echte oplossing voor te bieden nog niet vergeten, want deze manier van werken stuit menigeen nog steeds tegen de borst.
+1 Interstice
@Remy1 november 2003 22:14
Punt blijft:

ER IS GEEN ALTERNATIEF!

We hebben windows waar miljoenen mensen mee om kunnen gaan en dagelijks mee werken.

En we hebben linux unix etc ook leuk voor een heleboel mensen maar nog stees niet geschikt voor de thuisgebruiker!

Dus je kan zeuren wat je wilt, zolang der geen beter alternatief is is het allemaal gezwam in de ruimte!
+1 Meneer Dik
@Interstice2 november 2003 00:42
[quote]Dus je kan zeuren wat je wilt, zolang der geen beter alternatief is is het allemaal gezwam in de ruimte![quote]

Omdat Microsoft zijn macht misbruikt om alternatieven te dwarsbomen, en zelfs de politiek alleen maar machteloos toekijkt, willen mensen Linux nog steeds geen alternatief noemen.

Triest. :'(

En dat alleen maar omdat je niet alle Word documenten perfect kan openen, en omdat je sommige 'Optimized for IE' websites niet kan openen, en omdat... nouja, het is gewoon triest.
+2 Meneer Dik
1 november 2003 14:54
Gates zei ook ooit dat het factoreren van grote priemgetallen een van de grootste uitdagingen van de hedendaagse wetenschap is. :D

Billy doet kennelijk nogal eens onnozele uitspraken over dingen waar hij niets van weet.
+1 rbs
@Meneer Dik3 november 2003 05:22
Ik weet niet of jij helemaal begrijpt waar je het over heb, daar is je reactie te kort voor, maar hij had gelijk. Bijna alle security (edit: ik bedoel encryptie) staat of valt met het factoren van grote priemgetallen.
+2 Parody
1 november 2003 09:54
Meneer Gates heeft gedeeltelijk gelijk. Om veiligheid te bereiken hoeft inderdaad niet het hele systeem veilig te zijn, maar alleen de gedeeltes die met veiligheid te maken hebben. Het probleem ligt meer bij het identificeren van die delen die veilig moeten zijn. Als je in die delen investeerd en ervoor zorgt dat die delen geen beveiligingslekken bevatten is de kwaliteit van de rest van de code minder relevant.

Firewalls, patches en virusscanners blijven lapmiddelen waar we niet aan ontkomen, omdat foutloze software domweg niet bestaat. En om een veilig systeem te bouwen moet je dat vanaf de grond doen, en dat is bij Windows bij mijn weten nooit gebeurd.
0 LeoMekenkamp
@Parody1 november 2003 14:27
(...) maar alleen de gedeeltes die met veiligheid te maken hebben (...)

Mooi in theorie, maar in de windows praktijk maakt dat dus niet uit. De gemiddelde windows gebruiker logt als administrator in op z'n systeem; iedere exploit in ieder programma wat door de admin gerunt wordt heeft de potentie om het hele systeem te compromitteren.

Zolang Microsoft niet op de *NIX gewoonte overstapt dat je zo weinig mogelijk als superuser ingelogd zit maakt het niet uit waar de vulnerability zit.
+2 wvl|IA
1 november 2003 10:27
Sorry, maar bij Microsoft's software lijken de meeste fouten te zitten in DESIGN. Natuurlijk maken de ontwikkelaars van Microsoft fouten, maar die zijn op te vangen door je systeem goed te ontwerpen en veel aandacht te besteden aan de componenten die gevoelig kunnen zijn voor misbruik. Na enkele jaren werk worden deze componenten steeds minder vatbaar voor misbruik. Dit zie ik nou niet gebeuren bij Microsoft. En dat is het probleem: continu met nieuwe technologieen komen, maar nooit de oude verbeteren.

Voor degene die zeggen dat men per se een virusscanner nodig heeft omdat er nou eenmaal fouten kunnen zitten in code: onzin. Microsoft heeft door zijn DESIGN een prachtig platform ontwikkeld voor virussen.

Wat Bill Gates hier zegt is ronduit belachelijk en dat doet 'ie alleen om zijn bedrijf te dekken. Dit heeft verder niks te maken met hoe ontwikkelaars hun software moeten programmeren of hoe gebruikers met computers is het algemeen moeten omgaan. Dit advies is dan ook alleen bedoelt voor Windows gebruikers, omdat dit de houding is van de leverancier van hun OS.
+2 Ximinez
1 november 2003 10:29
Ik ben het helemaal met Gates eens, het is bijna onmogelijk om een perfecte code te schrijven
Perfecte code is inderdaad een illusie maar het is zeker niet onmogelijk goede code te schrijven. Ik heb veelal gezien dat het kwaliteits niveau van software engineers gewoon te laag is.

Daarnaast is het zeker niet onmogelijk om wiskundig gevalideerde code te ontwikkelen maar dat kost veel geld en daar wil de commerciele software industrie niet aan.

Bovendien zit er een redenatie fout in Gates zijn bewering om firewalls en virusscanners aan te merken als een belangrijk deel van het beveiligingsconcept. Firewalls en virusscannners zijn immers ook software toepassingen en daarmee zegt Gates impliciet dat deze niet veilig zijn. Of zegt hij daarmee dat de makers van firewalls en virusscanners wel "perfecte" code kunnen afleveren. Kortom Gates zijn beweringen zijn zoals veel van zijn uitspraken a load of rubbish so to speak.

Gates is een zakenman en geen software engineer wie commercie hoger in het vaandel heeft staan dan datgene wat noodzakelijk is om goede software af te leveren.

Het miljardair zijn, zoals Thorchar dat schetst, betekend nog lang niet dat mijnheer Gates goede dingen doet. Er zou wat meer van die financiele resources besteed moeten worden aan verbetering van kwaliteit in plaats van een positie op de Forbes 500.

Het is opvallend dat keer op keer MS niet de hand in eigen boezem steekt.
+2 Squeeky
1 november 2003 12:27
Het feit dat de meeste personen in deze thread de zin foutief interpreteren zegt al genoeg. Als je iets al niet foutloos kunt lezen, hoe kun je het dan foutloos schrijven?
Je hebt inderdaad geen perfecte code nodig om veilige OS-en of applicaties te maken, dáár is namelijk foutloze code voor nodig. Perfecte code bevat geen fouten en funktioneert optimaal, hetgeen evenals foutloze code alleen theoretisch mogelijk lijkt.

Frappant is dat Gates zichzelf meteen tegenspreekt in de volgende alinea door te stellen dat externe tools een systeem moeten beveiligen. De grote denkfout die hij hierbij maakt is dat deze externe tools fouten/gaten/gebreken van een OS opvangen en zodoende een systeem beveiligen. Zeg nou zelf, hoeveel security patches heeft MS de laatste wel niet uitgebracht op virus besmettingen zoals Blaster te voorkomen. Als het bewuste lek in eerste instantie niet aanwezig was geweest, was Blaster naar alle waarschijnlijkheid ook nooit gemaakt.
+2 pinobot
1 november 2003 16:35
"Inderdaad meneer, de remmen van ons nieuwste model zijn niet zo best maar daar hebben we tegenwoordig geweldige airbags voor in de plaats gekregen". :+
1 2 3 4

Op dit item kan niet meer gereageerd worden.

Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S9 Google Pixel 2 Far Cry 5 Microsoft Xbox One X Apple iPhone 8

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V. © 1998 - 2018 Hosting door True

*