Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 47 reacties
Bron: InfoWorld

Microsoft logo (blauw)Microsoft heeft plannen om twee keer per jaar een zogenaamde Blue Hat-conferentie te houden; de naam is afgeleid van de welbekende Black Hat-conferentie en ingekleurd met Microsofts bedrijfskleur. Tijdens die conferenties krijgen hackers de mogelijkheid om op de campus in Redmond te laten zien hoe veiligheidslekken en -bugs in Microsoft-software uitgebuit kunnen worden. Daarnaast is er ruimte om met elkaar te spreken over hoe de software veiliger gemaakt kan worden. De eerste Blue Hat-conferentie heeft afgelopen maart plaatsgevonden en naar alle waarschijnlijkheid zal in de herfst van dit jaar opnieuw een conferentie plaatsvinden. Het softwarebedrijf uit Redmond heeft zich enkele jaren geleden voorgenomen veiliger software te maken. Om dat te bereiken is contact met onderzoekers uit het werkveld erg belangrijk, aldus Stephen Toulouse, programmamanager van Microsofts securityafdeling.

Moderatie-faq Wijzig weergave

Reacties (47)

Krijgen ze daar dan ook voor betaald? Ik vind eigelijk als ze zoiets doen, maak er dan ook open source van.
Krijgen ze daar dan ook voor betaald?
Waarschijnlijk niet: het bijwonen van conventies (zoals de Black- en Whitehats) kost vaak (veel) geld. Alleen als je als spreker wordt uitgenodigd krijg je betaald...
nee maar je mag wel een heel weeknd op kosten van Micrososft prutsen met dure servers :P
Dus jij hebt liever dat f iedere scriptkiddie die zichzelf hacker noemt wordt betaald door microsoft f dat microsoft gewoon helemaal niet dit soort dingen doet?
Ik vind eigenlijk dat MS gewoon een full-time service moeten hebben voor mensen die veiligheidslekken etc. willen melden.

Gaan ze tijdens die conferentie ook proberen nieuwe gaten te vinden ipv al eerder ondekte gaten exploiten.

Misschien is er ook wel een patroon te zien hoe de meeste hackers op de conferentie te werk gaan...
Een fulltimeservice zal er wel niet komen.
Wat ik veel belangrijker zal vinden is dat er van Microsoft een soort website komt waar dergelijke problemen gemeld kunnen worden en dat er ook daadwerkelijk iets mee gedaan word.
Met een dergelijke aktie ga je de kopers meer bij het product betrekken en het gevoel geven dat er ook iets aan deze problemen gedaan word.
En na het melden dat je als klokkenluider ook een overzicht krijgt dat er wat mee gedaan word.
Nu krijg ik soms het gevoel dat een heleboel klachten over het os niet serieus genomen word tot iemand er een virus of iets dergelijks voor schrijft dat het systeem over zijn nek gaat.

Ik hoop dat ze van deze arrogantie af zullen stappen en wat meer klantvriendelijker gaan worden.
lol
eerst uit laten leggen over het hoe en wat ze doen
en vervolgens bij de ingang in blauw witte busjes, met zwaailichten op het dak, laaien :D
Als ze dat zouden doen is het natuurlijk een "enkeltje".
Oftewel het jaar erna is het hl rustig.
zou het zijn afgeleid van blauwhelmen? of de mannen met een blauw petje op waarvan sommige politici er graag meer van op straat zien die ook in blauwe busjes rijden?
Maar, naast het feit dat Microsoft windows veiliger wil maken, en of er wel of niet vaste mensen hoervoor in dienst zijn, is het denk ik ook een belangrijk feit dat mensen die er verstand van hebben en dus vaak ook gegronde kritiek hebben, nu worden uitgenodigd en een leuke rondleiding met uitleg krijgen.

Hiermee kweek je goodwill en zorg je ervoor dat juist de mensen die grote beslissingen nemen, of informatie moeten geven of rondstrooien over het veilig zijn van windows, nu meer positief commentaar gaan geven (of niet natuurlijk)
Niet te vergeten dat er vast wel mensen "aangenomen" zullen worden.
Dus het tonen van je Hack Skillz kan je mischien wel een vette baan opleveren.
Als ik het goed begrijp gaat hier al over personen die in dienst zijn bij een beveiligingsorganisatie. Zijn in princiepe ook hackers...

lees: Om dat te bereiken is contact met onderzoekers uit het werkveld erg belangrijk
Ik heb zo het idee dat men er gemakshalve maar vanuit gaat dat elke hacker die naar zo'n conferentie toegaat ook een persoon is die 'blackhat' georienteerd is.
Net alsof je een oproep doet voor iedereen die verstand heeft van explosieven en er alleen terroristen op af komen :-) :+

Het idee zal hem juist hier in zitten dat die mensen die ontmoedigd worden doordat (lijkt) alsof microsoft niet luistert naar serieuze meldingen van bugs nu opeens de mogelijkheid hebben om te laten zien en uit te leggen wat er mis is en hoe dit te misbruiken is.

Daar zit hem dus ook de kracht , MS wordt (en wil hoogstwaarschijnlijk ook) met de neus glashard op de feiten gedrukt worden.

Het is mooi als je als programmeur ervan uitgaat dat iedereen en even skilled is als jijzelf en bovenal geen kwade intenties heeft mbt jouw product.

Beter is het om diegene die een ander perspectief handhaven ook hun visie te laten spuien en er zo je voordeel mee te kunnen doen.

@dj verhulst

Dit is nu net een actie waarvan ik vind dat MS zegt .. hey komop met die info , laat zien wat je bedoelt en hoe we de zaak kunnen verbeteren...
Of de 'hackers' zich voor het karretje laten spannen moet ieder voor zich uitmaken , ik zie het meer als idealisme waarbij je mee kunt helpen om de wereld een klein stukje aangenamer te maken

8-)
MS gaat niet echt meer of minder verdienen door jouw bijdrage. Wel kun je een hoop schade - kapitaalvernietiging - door een virus of exploit voorkomen.
Klinkt als een leuke taak voor de socialisten en idealisten onder ons.

IMHO zou MS ook best een "klein" bedrag uit kunnen keren voor een serieus lek. Dat kost ze waarschijnlijk maar een paar keer per jaar geld, en levert een hoop goodwill en voordeel op in de zin van minder negatieve publiciteit.
Volgens mij ontmoeten ze deze mensen al veel vaker dan twee keer, alleen weten ze dat niet altijd :)
Ik denk dat Microsoft graag mensen zaken wil laten testen die mogelijk op een andere manier naar de software kijken dan de eigen ontwikkelaars.
Hiermee wordt de kans dat zaken over het hoofd gezien worden gewoon kleiner.

Daarnaast is het ook gewoon een PR aangelegenheid. Asl Microsoft nou resultaten boekt en hackers moeten in de toekomst wel heeeeeeel erg hard zoeken om fouten/lekken te vinden dan zegt dat meer over de veiligheid/betrouwbaarheid van hun producten dan dat ze er zelf iets over roepen. Immers alles wat MS erover roept zal opgevat worden als verkooppraat (mogelijk terecht)

Dus gewoon goede actie van ze (ongeveer een jaar of 10 aan de late kant) niet meer en niets minder.
met boeven vangt men boeven.... :)

Is dit niet uitnodigen tot /uitlokken van crimineel gedrag (ik vind het verder wel een goed initiatief, daar niet van)? Als de politie aan inbrekers gaat vragen ergens in te breken om te kijken of bv. het politiekeurmerk stand houdt is het hek van de dam...
Lijkt me niet. Als Microsoft aan deze mensen vraagt om een afgeschermde server te "hacken", is er niets aan de hand.
Wat is er crimineel aan het helpen dichten van lekken in software in overleg met de software fabrikant? Eerder aanzet tot niet crimineel gedrag. En ja alles wat het politie keurmerk draagt is getest logisch toch lijkt mij? Jij ziet ome agent op een afstandje het slot bestuderen, een paar keer er aan ratelen en vervolgens een stikkertje plakken?
hacken heeft niets met crimineel gedrag te maken, niet veel om je zorgen over te maken dus..
Eindelijk! Goeie actie van Microsoft!

Zo, en nou m'n negatievere commentaar hierop: Wat ik me echter afvraag is; hebben deze 'blue-hackers' ook inzicht in de source-code? (Om 'm zelf maar te beantwoorden: tuurlijk niet). Dat zou namelijk veel en veel effectiever werken. Denk aan de code-audits van OpenBSD, waar ze alle veiligheidsfouten van een bepaalde soort fixen in al hun software (bijvoorbeeld alle 'unsigned int' door 'signed int' gaan vervangen waar dat kan, omdat ze weten dat er anders de mogelijkheid tot integer overflow is). Dat werkt preventief, en zo zou MS ook moeten werken. Gewoon source-code beoordelen aan de hand van de veiligheid van de code. Want eigenlijk is het gewoon enorm stom om hackers de opdracht te geven te laten zien hoe ze exploiten en dan MS-mensen die zich nog helemaal moeten inwerken in de bug de boel te laten dichten, als dezelfde hackers de boel preventief kunnen dichten. (Enorme verspilling van tijd en moeite).
Op deze huidige manier (bleu-hat) zullen er zeker minder bugs komen, maar zolang deze mensen de software niet preventief mogen editen, gericht op veiligheid, zullen er zeker gevaarlijke lekken blijven.
Ik ben ook tester geweest van een software paket...

Om fouten op te lossen heb je geen source code nodig.. efectiefe is namlk dat je alles gaat proberen op het paket op z'n gat te krijgen..... zonder dat je tools gebruikt!!!
Software testen of het werkt is iets anders dan het (proberen te) hacken ervan.
Inzicht in de sourcode helpt wel degelijk: je weet dan welke procedures er worden gebruikt en kun je proberen die te omzeilen/mis/gebruiken voor je hack. Ook weet je welke procedures inherent veilig zijn en welke een beetje dodgy in elkaar steken.
Handig! Heren (en dames) hackers, registreert u zich even bij deze balie, naam en toenaam, sofinummer, paspoortnummer, pasfoto, IP-adres, etc.

Dan bent u voor de rest van uw leven verzekerd van onze niet aflatende aandacht... :+
ach, een hacker is gewoon een softwaredeveloper, dus dat heeft weinig met het exploiteren met fouten an sich te maken...

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True