Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 79 reacties
Bron: Reuters

Microsoft Update / Veiligheid / BeveiligingMicrosoft gaat later dit jaar de Amerikaanse overheid voorrang geven bij het repareren van beveiligingslekken in Windows en andere software van het bedrijf. Deze informatie werd afgelopen vrijdag bekend en is afkomstig van medewerkers van Microsoft en de Amerikaanse overheid. De U.S. Air Force zal een maand eerder over patches beschikken dan andere klanten. De patches zullen worden verspreid door het ministerie van Homeland Security.

Moderatie-faq Wijzig weergave

Reacties (79)

Het mooie hieraan is dat MS toegeeft dat die patches dus een maand lang worden onthouden van de rest van de klanten. De vraag is dan ook: zou de overheid zich vereerd moeten voelen, of de rest van de klanten zichzelf zwaar genaaid?
Dus de Amerikaanse defensie hoort een maand vantevoren welke bugs er in zitten, en hoe ze die bij andere regeringen kunnen misbruiken... Goede hint aan alle andere regeringen ter wereld om niet Microsoft producten te gebruiken.

Edit: Hmm, dat geldt natuurlijk ook voor bedrijven, aangezien de VS nooit zo voor eerlijke concurrentie zijn geweest wanneer het ging om Amerikaanse tegen buitenlandse bedrijven.
of we reageren paranoide als het de Amerikaanse overheid betreft. En dus dubbel-paranoide als die twee gaan samenwerken.
Ik zou het niet paranoide noemen,het zou niet de eerste keer zijn dat de iemand zo misbruik maakt van zijn of haar positie:
http://news.bbc.co.uk/1/hi/business/3241288.stm

De V.S. hebben de beschikking over een enorme hoeveelheid mensen en materieel om informatie te verzamelen. Het lijkt me juist naief te denken dat ze hier nu al geen (mis-)gebruik van maken. En op deze manier vergroot je alleen maar het aantal mensen die misbruik kunnen maken van hun voorkennis.
Of de luchtmacht zal zich als testobject voelen en not amused meer zijn als blijkt dat een probleem niet goed gepatched is of als het meer doet dan alleen het probleem verhelpen zoals weleens het geval is met patches :+

Goed van MS dat ze hun lab hebben verlegd, krijgen ze tenminste niet de hele wereld over zich heen.
Hmm, er zijn genoeg redenen te verzinnen waarom nou juist hierdoor de patches veel beter zullen worden.
Namelijk, de US luchtmacht is echt een partij die MS niet verkeerd mag behandelen, anders gooien die gewoon een paar bommen op Redmont: "Oww,sorry, software foutje,..."
:P
de rest voelt zeer weer genaaid... hoeveel geld zal dit gaan kosten?
ik denk dat de amerikaanse staat bij Microsoft heeft aangeklopt en aangegeven dat bij iedere release van patches een hoop hackers sneller van de gepubliceerde gegevens gebruikmaakt dan de beheerders van de systemen van de amerikaanse staat. Door alleen aan hen de patches een maand eerder te geven hopen ze alle systemen gepatched te hebben voor bekend is wat er dan ook openstond.
Wat een onzin. Dan moeten de systeembeheerders aldaar beter hun werk doen. Ik vind het echt belachelijk dat niet iedereen gewoon asap de beschikking krijgt over patches. Met name veiligheidspatches.
En alleen de amerikaanse luchtmacht is hiervoor belangrijk genoeg.
Als ze dit nou aan alle regeringen aanboden. Desnoods de bevriende alleen..
* 786562 MajorDit geheel los van het feit dat ze het dus een maand achter houden. MS is een bedrijf en ze mogen zelf weten wanneer ze wat uitbrengen, en ook zelf weten hoe de klanten daarover denken.
Ja leuk, ik hoop dat ze het dan op dat soort patches houden. Kritieke patches zijn niet voor niets kritiek. En nog ben ik niet voor dit hele systeem, moeten ze maar zorgen voor een infrastructuur waar patches elke keer uitgevoerd worden, het kan zelfs zo dat wanneer een patch aangeboden word dat deze direct word geinstalleerd. Als men niet tevreden is over dat systeem dan dienen ze maar een afspraak te maken, met microsoft, over een beter systeem. Het moet niet gekker worden!
ik denk dat het kwestie van 1 maand is voor de eerste systeembeheerder van Homeland S. de patches stiekum op internet zet voor de rest van de wereld.. Tenzij die patches zo geprogrammeerd worden dat ze alleen te draaien zijn op de systemen van de overheid..
wat dacht je dat het ook kwestie van tijd is of een admin van de USAF gaat moedwillig de bugs misbruiken voor eigen winst?
een maand eerder weten dat er specifieke fouten in programmatuur zitten is natuurlijk wel de kat imo op het spek binden
Lijkt me stug dat consumenten een critical patch krijgen terwijl die al een maand oud is.
Misschien krijgt de Amerikaanse regering wel een soort van Beta patch,
en het lijkt mij nou juist weer onmogelijk dat defensie / homeland security genoegen neemt met beta quality patches.

denk aan het volgende scenario:

[ senator ] waarom is er niets gedaan met de aanwijzingen die er waren over een nieuwe terroristische aanval gericht op het pentagon?


[ homeland security big-shot ] tja, we hadden een Beta patch van MS geinstalleerd ivm een security bulletin, en die hielp de hele SAN onderuit... hierdoor konden analysten niet bij de gegevens en dus ook niet signalen geven naar de instanties die de aanval hadden kunnen voorkomen.
Nou zijn er 2 mogelijkheden

1) De amerikaanse overheid wordt gebruikt als beta-test voor de patches.
2) MS houdt willens en wetens patches voor bekende security holes achter, terwijl ze ze wel af hebben.

Lijkt me beiden niet echt een goeie situatie.
Het tweede is al een feit. MS brengt nog 1 maal per maand patches uit. Of het moet al om een serieus risico gaan. Maar zelfs gaten die door externe bedrijven als kritiek gelabeld worden moeten nu al wachten tot de eerste dinsdag van de maand.

De reden waarom MS deze deal met Homeland Security heeft gemaakt is simpel. Als er een gat gedicht word dat nog niet bekend is bij het publiek dan is bij hun het gat gedicht voor dat een hacker er gebruik van kan maken. En de $$$ zullen ook wel meespelen.

Ik keur deze actie af. MS heeft het laatste jaar de nadruk gelegd op de veiligheid van zijn systeem maar begint nu toch enorm te blunderen met hun updates. Het is een bedrijf op 2 snelheden aan het worden.
Of... MS doet deze deal om te voorkomen dat de Amerikaanse overheid nog meer gebruik gaat maken van open source software...
Ik gok op het eerste. Als MS expres volledig geteste patches zou achterhouden dan zouden ze door vele bedrijven in de VS worden aangeklaagd.
Reken maar daar een zooi van die "windowsbugs" gewoon achterdeurtjes zijn voor geheime diensten.
Net zoiets als toen met die chips in printers ed.
Word alleen vervelend als hackers erachter komen.
check jij ook al je meubilair elke avond als je thuiskomt, op zoek naar verborgen spycams, microfonen, ed.? :+
Ik wel. Ik doe ook weleens alsof me mobiel afgaat en dan begin ik tegen mezelf te praten over hoe leerzaam het was op de trainingskamp. (In case they are listening...)
Aangeklaagd op grond van wat? :?
misschien omdat ze een product verkopen en als daar dingen niet van in orde zijn moet de verkoper dat herstellen.

Ik heb totaal geen rechten gestuurd oid maar het lijkt me dat er zoiets is als in gebreke stellen?

het zou ook vervelend zijn als er binnen die testmaand een vervelende worm uit zou komen. Probeer dan maar eens uit te leggen aan de pers en klanten,tja sorry, de patch was er al lang,maar niet voor jullie.
Daar verzinnen ze wel een reden voor, daar zijn ze in amerika goed in.
deze hele beredenatie snap ik dus niet is MS uberhaupt verplicht binnen een bepaalde tijd patches uit te brengen staat dat ergens geschreven dan ofzo.
Er is nog een derde mogelijkheid, namelijk: de overheid verbied een release voor het publiek tot n maand na een release voor henzelf.
Dan zou dat ook in de voorwaarden naar alle andere (nieuwe) klanten moeten staan. En volgens mij staat dat er niet :z
op je punt 1.
De mensen bij MS hebben echt wel hun eigen beta-lab ofzo hoor. ze gebruiken echt niet zon grote klant als beta-dummie, dat kan gewoon niet joh.
En 2. Zolang niet iedereen weet dat er security holes zijn, kunnen ze die informatie best wel even achterhouden hoor.. Voor beta-testing bijvoorbeeld.

En @ SirBlade (
Ik gok op het eerste. Als MS expres volledig geteste patches zou achterhouden dan zouden ze door vele bedrijven in de VS worden aangeklaagd.
) : voor het achterhouden van patches worden ze echt niet aangeklaagd. Wat is nou precies 'achterhouden'? Het zal vast wel niet zo zijn dat ze zon patch in een hoekje gooien onder de mom van 'dat kan later wel' of 'laat ze maar wachten'.

Ze hebben natuurlijk tijd nodig om de patches beschikbaar te stellen aan het publiek, en ik kan me voorstellen dat als MS weet hoe de systemen van de overheid in elkaar steken, ze voorrang kunnen krijgen omdat de patches doelgerichter kunnen worden gereleased (zie het als; spelletjes die voor 1 console uitkomen, draaien veel mooier dan als het spel er voor de pc was. omdat de software specifiek voor n systeem geoptimaliseerd is). Natuurlijk zeg ik niet dat dt de voornaamste reden waarom hun voorrang krijgen. Er zit natuurlijk altijd ten 1ste geld achter.
voor het achterhouden van patches worden ze echt niet aangeklaagd.

Ik weet het niet.... Als een bedrijf schade heeft omdat ze een bep. patch niet op tijd ontvangen hebben als die wel tijdig bestond kan ik mij voorstellen dat dit volgens de Amerikaanse wetten aan te vechten is. 1 moet de eerste zijn......
Nee, er zijn 3 mogelijkheden. En de twee die jij noemt zijn niet juist.

Microsoft moet een gigantische hoeveelheid verschilende systeem configuraties testen voor elke patch.
Daarom zijn patches altijd al een tijdje intern beschikbaar voordat ze publiekelijk vrijgegeven worden.

Mensen met premier contracten kunnen in bepaalde situatie ook patches krijgen die nog niet publiekelijk vrijgegeven zijn. Daar zit dan een wat groter risico aan, omdat ze nog niet op alle configuraties getest zijn. (Zo is een hotfix in eerste instantie alleen getest op de configuratie van de klant waarvoor de hotfix gemaakt is).

Met dit in je achterhoofd wordt de derde mogelijkheid heel simpel:
Microsoft heeft X aantal configuraties te testen. Dat kost de nodige tijd. Microsoft zet nu gewoon de configuraties die de luchtmacht gebruikt vooraan in de rij. En daardoor kunnen die dan al eerder over een patch beschikken.
Dit is nieuws van 11maart:
http://www.msfn.org/comments.php?shownews=12245

Ondertussen is er op 12maart het volgende gepost:
http://www.msfn.org/comments.php?shownews=12245

"The U.S. government will not get a head start on other Windows users when it comes to Microsoft security updates, the company said Friday in response to news report that suggested otherwise. The Wall Street Journal reported that the U.S. Air Force will receive early versions of software patches through Microsoft's Update Validation Program (SUVP) and those fixes will be forwarded to other agencies through the Department of Homeland Security.

But according to Microsoft, officials from the Redmond, Wash., software giant and the Air Force have met in recent weeks with officials from the Office of Management and Budget (OMB) and the DHS to discuss the best practices established by the Air Force after a recent five-year $500-million deal inked in November."

Maw: rumours die al ontkracht waren voor ze op tweakers komen?
Oftewel, MicroSoft probeert het weer in de doofpot te stoppen??? Ik denk niet dat Gates hier blij mee is. Misschien daarom een extra nieuwsbericht?
Mja, als ze zeggen dat het waar is dan is iedereen boos, zeggen ze dat het niet waar is dan proberen ze het in de doofpot te stoppen. Is er ook een manier waarop Microsoft niet de zwarte piet krijgt van zo'n leugen? :o
Daar staan wij dan als 2e rangs klanten....

Er staat overigens \\\\\\\'up to a month\\\\\\\'
Wij krijgen de patches op een bepaalde dag in de maand. USAF krijgt ze per direct.
Dat is dus 1 tot 30 dagen eerder.

Voorheen kreeg iedereen de patches per direct.
Later werd dat 1x per maand.
Nu gaat MS een deal sluiten met USAF om het oude systeem weer in te voeren.
Een MAAND eerder? M.a.w. er is een gat, er is een oplossing, en Microsoft houdt deze nog een maand geheim voor het gros van de wereld? Lijkt me echt volslagen belachelijk.

Het lijkt me ook dat andere bedrijven nu kunnen gaan aanklagen omdat Microsoft willens en wetens security patches achterhoudt. Alle schade die daardoor veroozaakt wordt kunnen ze dan ook gaan verhalen.
En waar gaat MS de schade op verhalen van een patch die niet goed genoeg getest is?

Het testen van een patch kost nou eenmaal tijd. En als je software op zo gigantisch veel verschillende configuraties gebruikt wordt, als bij MS het geval is, dan kost het VEEL tijd!
Nou Nou Nou, wel een hele maand. het gaat hier niet om de mega fouten hoor. Dit versprijden ze echt meteen. maar kleine foutjes daar kan je echt wel een maand mee wachten. Wat een gezeik op MS weer omdat nu een paar mensen horen dat ze een maand moeten wachten. Als je dit nooit had gelezen had je er waarscheinlijk niks van gemerkt en ook niet zitten zeuren.
Tja,... klopt helemaal wat je zegt. Als je iets niet weet kun je er niet over zeuren.

Stel je voor zeg,.. je koopt een auto en twee maanden later komt er een monteur langs die zegt... "Ik kom uw remmen even maken. Ze werken niet altijd zoals het moet en we dachten dat het beter was dat u dat niet wist. We hebben dus maar even gewacht tot het ons uit kwam om ze te repareren. Die van uw buurman hebben we vorige maand gedaan, maar hij is dan ook een grote klant en begon moeilijk te doen."

Overigens ben ik een redelijk tevreden MS gebruiker, dit is echter niet slim aangepakt.
Ik zal je maar even uit je droom helpen, want bij die remmen gebeurd precies hetzelfde.

Van het moment dat een bedrijf weet dat de remmen van een bepaald model een gebrek hebben, tot het moment dat het publiek hoort van een grote terugroep actie, verstrijkt er flink wat tijd.
Wat is er aan de hand: Microsoft heeft een policy dat 1 keer in de maand patches beschikbaar worden gesteld. Die dag wordt door sommigen wel Patch Tuesday genoemd. De Amerikaanse overheid vindt dat een veiligheidsrisico en wil de patches ogenblikkelijk beschikbaar hebben. MS is daar accoord mee gegaan en levert overheidsdiensten nu de patches op het moment dat ze af zijn. Daarom staat er ook in het bericht van Reuters "Microsoft will give the U.S. Air Force versions of software "patches" to fix serious security vulnerabilities UP TO a month before they are available to others". Dus niet een maand eerder, maar maximaal een maand eerder!

Gewone klanten krijgen de patchesnog steeds op dezefde dag dat MS ze nu ook al beschikbaar stelt, namelijk de tweede dinsdag van de maand. Alleen wordt daar voor bepaalde klanten een uitzondering voor gemaakt. Ik neem overigens aan dat de Amerikaanse overheid niet de enige uitzondering op de regel zal zijn. Grote belangrijke klanten zullen bij elk normaal bedrijf een streepje voor krijgen, daar betalen ze tenslotte ook voor.
En de reden hiervan is?

Blijkbaar stelt MS sommige klanten boven andere klanten, wat is dat voor onzin? Kan iemand hier een verklaring hiervoor geven?
Wanneer er iemand in dit netwerk in zou breken zijn de gevolgen voor de nationale veiligheid in het geding. Dit lijkt mij persoonlijk van groter belang dan economische belangen. Het kan ook eventuele terroristen afschrikken omdat deze kunnen denken dat het toch al gefixed is.

Wie zegt alleen dat niet alleen de overheid, maar ook andere bedrijven dergelijke informatie niet toegespeeld krijgen? Ik weet niet in hoeverre het mogelijk is, maar netwerken van concurrerende bedrijven buiten de VS lijken mij kwetsbaarder en een link met Echelon-Boeing-Airbus lijkt mij snel gelegd. Anderzijds is dit natuurlijk problemen zoeken, want wanneer iets dergelijks uitlekt is Microsoft instantaan al zijn klanten buiten de VS kwijt.
Kan natuurlijk ook zo zijn dat de overheid heeft bepaald dat ze voorrang moeten krijgen en daardoor een release voor het publiek verbieden tot n maand na de release voor henzelf.

M.a.w.: dat het niet van MS afkomt deze regeling, maar van de overheid.
Vreemd genoeg waren er deze maand nog geen patches op Windows Update.

Dit verklaart natuurlijk alles |:(
Niet waar, of is het misschien z onbegrijpelijk dat MS eens geen patches uitbrengt?
http://www.microsoft.com/technet/security/bulletin/advance.mspx
Hier staat duidelijk dat deze maand geen patches gereleast worden, eenvoudigweg omdat er nu geen veiligheidslekken (openbaar) gevonden werden.
En iedereen die zegt dat ze langer moeten wachten op hun patches kan ook fout zijn: ooit al eens gedacht dat MS geen patches langer achterhoudt voor klanten, maar ze (al dan niet afgewerkt) eerder uitbrengt aan de Amerikaanse overheid. Dat is wel degelijk een verschil! Wie dus zegt dat hij zijn patches (ng) een maand later krijgt, moet eens twee keer nadenken.
Als ik me niet vergis is dit al sinds begin vorig jaar het geval. Nog slechts 1 maal per maand komen er patches uit. Officieel om het werk van systeemadmins te vereenvoudigen.
Gelijk aanklagen, zou me niks verbazen als dat nog mogelijk zou zijn ook, in Amerika dan. Zeker als je toevallig weet wat er gepatched wordt en met zekerheid kunt zeggen dat er in die maand iets fout gegaan is door het probleem wat verholpen had kunnen worden. Volgens mij niet een goed idee dit om het bekent te maken, komt vast gedonder van!
De informatie is naar de buitenwereld gelekt. MS zal het bericht morgen (op zondag werken ze er niet) proberen te ontkrachten, maar daartegen is de schade al lang gebeurd.
Nee ho... wacht... lees ik dit nu goed... "De U.S. Air Force zal een maand eerder over patches beschikken dan andere klanten."... is dat niet een positieve draai proberen te geven aan "Klanten zullen een maand later over patches beschikken dan de U.S. Air Force."
Dat snap ik echt totaal niet... De patches zijn er al, maar omdat de US Air Force ze een maand wilt hebben voor de rest, mag de rest nog maar even een maandje wachten op fixes voor kritieke fouten...? Je geeft toch IEDEREEN zo snel mogelijk je patches, of niet?

edit:
Oh, en intussen ben ik een spuitje 11 geworden :+ denk dat ik maar eens aan een cursus speed-typing ga beginnen...

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True