'Gebruikers moeten ernst kwetsbaarheden bepalen'

Het Amerikaanse Department of Homeland Security heeft een open standaard laten ontwikkelen waarmee gebruikers kunnen meebeslissen over de ernst van softwarefouten. Het zogenoemde CVSS of Common Vulnerability Scoring System moet wereldwijde aanpak van lekke programma's mogelijk maken. Het Forum of Incident Response and Security Teams, kortweg FIRST, heeft van het ministerie de opdracht gekregen om verdere ontwikkeling te coördineren. Dit internationale consortium - waar bijvoorbeeld de Incident Response Teams van Sun en Microsoft, maar ook die van ABN Amro en Ernst & Young deel van uitmaken - zal het systeem op maandag presenteren.

FIRST-logo Gebruikers van het systeem kunnen bugs een cijfer tussen de 1 en de 10 geven. Daarnaast worden factoren als de verspreiding van malware en de beschikbaarheid van patches meegewogen. De belangrijkste doelen zijn het eenvoudiger stellen van prioriteiten en het voorkómen van dubbel werk, meent de FIRST. Bovendien stelt het systeem 'risk assessment managers' in staat om vergelijkingen tussen verschillende softwareleveranciers te maken.

Diverse bedrijven, zoals Symantec, ISS en Qualys, hebben aangegeven de CVSS-ratings te gaan gebruiken. Cisco biedt zelfs al CVSS-waarderingen op haar site aan. Microsoft, volgens een Gartner-analist 'de grootste leverancier van kwetsbaarheden op de desktop', ziet echter weinig heil in de nieuwe standaard. 'Onze gebruikers hebben duidelijk gemaakt dat het waarderingssysteem dat we sinds 2002 hanteren, goed functioneert', aldus Microsoft-beveiligingsexpert Kevin Kean. Hij gaf echter wel aan dat wanneer klanten om CVSS vragen, MS overstag zal gaan.

Microsoft bug report-dialog

Door René Wichers

Eindredacteur

Feedback • 18-09-2005 16:24 25

18-09-2005 • 16:24

25

Bron: ZDnet

Lees meer

Red Hat ontstemd over 'vulnerabilitylijst' CERT
Red Hat ontstemd over 'vulnerabilitylijst' CERT Nieuws van 6 januari 2006
Microsoft viert dertigste verjaardag
Microsoft viert dertigste verjaardag Nieuws van 24 september 2005
TCG komt met 'trusted server'-specificatie
TCG komt met 'trusted server'-specificatie Nieuws van 23 juli 2005
Microsoft beloont tipgevers Sasser-zaak met 250.000 dollar
Microsoft beloont tipgevers Sasser-zaak met 250.000 dollar Nieuws van 9 juli 2005
Microsoft zal geen geld vragen voor veiligheidsupdates
Microsoft zal geen geld vragen voor veiligheidsupdates Nieuws van 6 juli 2005
IBM: e-mailvirussen en phishingaanvallen groeien explosief
IBM: e-mailvirussen en phishingaanvallen groeien explosief Nieuws van 4 juli 2005
Zorgeloos computeren met een 'onderhoudsvrije pc'?
Zorgeloos computeren met een 'onderhoudsvrije pc'? Nieuws van 24 juni 2005
Beveiligingsproducten worden zelf steeds vaker doelwit
Beveiligingsproducten worden zelf steeds vaker doelwit Nieuws van 22 juni 2005
Helft online bedrijven leed schade door virussen
Helft online bedrijven leed schade door virussen Nieuws van 20 juni 2005
Britten melden zware aanval op kritieke netwerken
Britten melden zware aanval op kritieke netwerken Nieuws van 17 juni 2005
Gartner ontkracht 'beveiligingsmythes'
Gartner ontkracht 'beveiligingsmythes' Nieuws van 10 juni 2005
Defensie-ministerie VS op zoek naar antispywaretool
Defensie-ministerie VS op zoek naar antispywaretool Nieuws van 18 mei 2005
Rapport: Spyware-industrie is miljarden waard
Rapport: Spyware-industrie is miljarden waard Nieuws van 4 mei 2005
Meer producten en artikelen
Software

Reacties (25)

-Moderatie-faq
25
23
15
3
0
6
Wijzig sortering
kodak 18 september 2005 21:54
Eindgebruikers moet je nooit ongecontroleerd, zonder toezicht een oordeel laten geven over de ernst van een bug. Kans dat een gebruikers het cijfersysteem misbruikt om zijn ongenoegen constant te laten merken door de hoogst mogelijke prioriteit aan te geven is dan namelijk erg hoog. Bug waarderingen moet je gebruikers laten uitdrukken in hun eigen woorden. Zo kan je veel duidelijker een 'waarheid' benaderen omdat een oordeel dan valt te wegen aan de hand van de achterliggende gedachte. Een cijfer zegt weinig over waarom het cijfer gegeven wordt en is zeer snel vatbaar voor 'foute' waardering ten opzichte van elkaar.
kidde @kodak18 september 2005 23:04
Nee, momenteel is het lekker dan, nu geven softwaremakers zelf aan wat de rating van hun bug is. Alsof het ratingsysteem dan niet misbruikt wordt!
Anoniem: 36664 @kidde18 september 2005 23:49
Dat is inderdaad ook iets wat je eigenlijk niet wil. Maar als je het de softwaremakers laat doen heb je ieg een plek waar je flink op kan zeiken als het niet klopt of fout gaat. Met miljarden gebruikers die al hun fouten op hun computer de belangrijkste fout op aarde vinden (En dat vinden ze!) kun je helemaal niets beginnen...
kidde 18 september 2005 19:02
Microsoft ziet echter weinig heil in de nieuwe standaard
Laf, maar logisch; iedereen die MS/Gartners/Yankee's rapporten bekijkt (Gartner wordt overigens gesponsord door MS), ziet altijd dat Red Hat zogenaamd 'onveiliger' is (meer onbeschermde dagen).
Steevast is het antwoord van Red Hat (en ook van mij als Linux-gebruiker) op zulk soort rapporten
*dat de onderzoeksbureau's betaald zijn door en in opdracht werken van Microsoft,
*Red Hat en alle andre Linux en ook BSD distro's een andere rating toepassen (Een 'moderate' Microsoft-bug zorgt voor meer risico dan een Red Hat 'moderate' bug)
*Red Hat en andre Linux-distro's veel meer standaard geinstalleerde software hebben
Bang dat Microsoft is dat mensen nu ook toegang hebben tot een objectievere bron, doen ze er natuurlijk niet aan mee.
Zelf ben ik allicht wat bevooroordeeld, zoals al gezegd, en daarom juich ik het van harte toe dat MS hieraan deel zou nemen; als 'onafhankelijke' rapporten echt aantonen dat MS 'veiliger' is, zouden ze hier graag aan mee moeten doen, want als dit aantoont dat MS veiliger is, is dat betere reclame dan heel de Get the Facts campagne met grote advertenties bij elkaar.
Maar vooralsnog is de weigering voor deelname een bevestiging van mijn vermoeden dat ze bang zijn dat mensen achter de objectieve waarheid komen: De hele Get the Facts campagne is bevooroordeeld, door MS betaald en gelogen, kortom: B***S***, en deze weigering is dus koren op de molen van de Open-Source lobbyisten.
BertS @kidde19 september 2005 07:19
Die conclusie van jou is anders ook niet veel waard.
Wie weigerde onlangs ook alweer om een samen met MS onderzoek te doen naar Linux/Windows?

ik zeg niet dat dat onderzoek onafhankelijk zou zijn
RedLizard 18 september 2005 16:29
Klinkt nogal onzinnig IMHO. Hoe weet een end-user nou hoe belangrijk een security lek is?
DarkFlow @RedLizard18 september 2005 16:51
Het is in mijn ogen een beetje een misleidende titel, maar het gaat hier om de gebruikers van CVSS, wat dus neerkomt op grote bedrijven.

Grote jongens dus, die gebruikers, die toch echt wel weten welke kwetsbaarheden wel en niet ernstig zijn.
Sorcerer8472 @DarkFlow18 september 2005 21:32
En wie moet dat gaan doen binnen een bedrijf? Vaak moet zoiets weer officieel geregeld worden etc.

Het is voor de gebruikers wel beter dat dit zo gebeurt dan wanneer Microsoft zelf alles mag bagatelliseren...
mtak @Sorcerer847219 september 2005 00:45
Ik kan nou niet echt zeggen dat een swastika in een lettertype van windows de status "Critical" verdient nee :+
Bor Coördinator Frontpage Admins / FP Powermod @RedLizard18 september 2005 17:01
Het moet ook niet de end user zijn maar de eind verantwoordelijke voor een systeem. Dat is totaal iets anders. Zeker als het om bedrijfssystemen gaat.
Anoniem: 50893 18 september 2005 17:12
In het verlengde daarvan zou ik wel eens willen zien dat een OS ontwikkelaar aansprakelijk gesteld kan worden voor een niet goed functionerend geheel waardoor gebruikers eens schadeloos gesteld kunnen worden, ongeacht of dat het hier nu gaat om enterprise gebruikers of thuis gebruikers. De schade die wereldwijd word geleden hierdoor zou ook wel eens in kaart gebracht mogen worden.

Voordeel is dat je een OS ontwikkelaar daarmee ook onbewust dwingt tot betere beveiliging continu. Vind het al erg genoeg dat je uren per week kwijt bent aan scannen naar virussen en andere zaken en op moet letten wat de nieuwste ontwikkelingen zijn op hack gebied !

Toen het internet nog niet zoveel gebruikt werd jaren geleden viel het allemaal nog wel mee, maar het word steeds erger. En een OS, zoals MS verspreid, compleet met internet toegang, mag wel eens wat meer hier aan doen en zonodig aansprakelijk gesteld worden.
WinL @Anoniem: 5089318 september 2005 19:06
Lees maar eens de EULA van Windows.
Dreamvoid @Anoniem: 5089318 september 2005 20:49
Dit zou de doodsteek voor de kleine softwareontwikkelaars zijn. Stel er zit een bug in je freeware progje, iemand lijdt er schade door, krijg je ineens een miljoenenclaim aan je broek. Als Linux developer zal je je dan ook wel 3x gaan bedenken voordat je code gaat schrijven...
Yoshi 18 september 2005 16:47
'Onze gebruikers hebben duidelijk gemaakt dat het waarderingssysteem dat we sinds 2002 hanteren, goed functioneert',
als ze afgaan op het nummer van reports dat ze teruggezonden krijgen na een fout, dan zouden ze wel eens gelijk kunnen hebben, ik durf gerust zeggen dat 50% van de win xp gebruikers nl niet weet wat ze ermee motten doen, en nog minder hoe ze het motten afzetten.

ik ervaar die reports namelijk als hoogst irriterend en de helft van die reports worden wss direct weggesmeten omdat het aan programm's van derden ligt.


@ Rataplan

ik weet dat ja, maar weten andere gebruikers dat, ik heb het over mijn beginperiode over xp, toen ik dat nog niet wist ^^
AuteurRataplan @Yoshi18 september 2005 16:57
hoogst irritant
Hebben we een forum voor :)
My Computer > Advanced > Error Reporting > Disable Error Reporting
Robbbert 18 september 2005 16:48
Het zogenoemde CVSS of Common Vulnerability Scoring System moet wereldwijde aanpak van lekke programma's mogelijk maken.
En wie gaat dat dan aanpakken, zij zelf?
Zullen de softwarefabrikanten zich hier iets van aantrekken waardoor ze de lekken sneller gaan dichten? Lijkt mij niet. En de lekken die de hoogste score krijgen hoeven niet meteen het gevaarlijkst te zijn. Het moet niet zo zijn dat softwarefabrikanten straks onbelangrijke lekken eerst gaan dichten alleen maar omdat een stelletje simpele gebruikers daarop gestemd hebben.
Darude1234 18 september 2005 17:56
Microsoft is toch maar van motto veranderd?
'de grootste leverancier van besturingsystemen op de desktop'

naar:
'de grootste leverancier van kwetsbaarheden op de desktop'
:z
DataGhost 18 september 2005 16:30
dat gaat werken :)
stel je voor, een pc stampvol met spyware en keyloggers
de jan-met-de-pet-gebruiker zou dan zeggen 'maar het werkt toch?'

Ik denk niet dat het gaat werken, hoogstens onder goed opgeleid ICT-personeel
Anoniem: 14038 19 september 2005 09:03
Dept of homeland security?
Was dat niet die toko die de paranoide van de amerikanen op peil moesten houden?
Dan past het betrekken van mensen bij dit soort problemen er uitstekend bij. Laat ze zich maar druk maken over wat er allemaal verkeerd kan gaan.

Maar wat ik dan niet snap is waarom dat dept bijv microsoft niet kan verplichten aan die CVSS mee te gaan doen. Want in dat opzicht is lijkt het me helemaal niet verkeerd dat ze tenminste gedwongen wordt om te luisteren naar de gebruikers zodat zij kunnen aangeven wat zij belangrijk vinden. Dat kan idealiter mooi gecombineerd worden met de expertise van de bedrijven zelf.
Tijger @Anoniem: 1403819 september 2005 16:27
Duh, alsof bedrijven die software verkopen niet naar gebruikers luisteren. Hoe dacht jij dat zij hun software blijven verkopen dan?

Wel grappig dat een OSS fanboy ineens een voorstander is van verplichte rapportages aan Homeland Security, ik neem aan dat jij ook een voorstander bent dat dit dan ook op SuSe, RedHat etc toegepast wordt?
Daventry @Belial_66618 september 2005 16:44
Objectief meer fouten zou ik zo nog niet durven zeggen ... heb nooit een toonaangevend persoon dat horen beweren

En grotere gevolgen, tja een fout in een operating system heeft natuurlijk meer gevolgen dan een fout in een tekstverwerker en al helemaal als dat OS door de meerderheid van de computergebruikers wordt gebruikt, maar dat is natuurlijk wel erg logisch
alt-92 @Daventry18 september 2005 17:10
, tja een fout in een operating system heeft natuurlijk meer gevolgen dan een fout in een tekstverwerker en al helemaal als dat OS door de meerderheid van de computergebruikers wordt gebruikt, maar dat is natuurlijk wel erg logisch
Zelfs daar zul je voorzichtig mee moeten zijn.
Een fout in een tekstverwerker of spreadsheetprogramma waardoor de kans bestaat dat je geld verliest (verloren werkuren, foute berekeningen door onverwacht gedrag) kan zelfs ernstiger zijn dan een OS bug waar een workaround voor is of die minder ernstig is in een "gesloten" netwerk.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq