symlink.ch | Security by obscurity

symlink.ch

FAQ
Mission
Über uns
Richtlinien

Moderation
Einstellungen
Story einsenden

Suchen & Index
Ruhmeshalle
Statistiken
Umfragen

Redaktion
Themen
Partner
Planet

XML | RDF | RSS
PDA | WAP | IRC
Symbar für Opera
Symbar für Mozilla

Freunde

Benutzergruppen
LUG Switzerland
LUG Vorarlberg
LUGen in DE
SIUG
CCCZH
Organisationen
Wilhelm Tux
FSF Europe
Events
LinuxDay Dornbirn
BBA Schweiz
CoSin in Bremgarten AG
VCFe in München
Menschen
maol
Flupp
Ventilator
dawn
gumbo
krümelmonster
XTaran
maradong
tuxedo

Security by obscurity

Veröffentlicht durch Yeoman am Donnerstag 18. Oktober, 11:38
Aus der steht-bereits-im-Titel Abteilung

soltix schreibt "Heise.de macht uns hier auf einen Artikel des Chefs des Microsofts Security Response Center aufmerksam. Microsoft macht darin die Full Disclosure Politik der Security Community (MS nennt das Information Anarchy) für die Sicherheitsprobleme mit MS-Produkten in letzter Zeit verantwortlich."

"MS fordert in Zukunft eine Zurueckhaltung dieser Informationen.
Ausserdem gibt der Chef des MSRC indirekt zu das Administratoren mit dem Einspielen eines Patches ueberfordert seien (!).""

Die Veröffentlichung von Sicherheitslücken hilft den Administratoren nicht, ihr System sicherer zu machen...

Klar doch, wenn der Sourcecode dieses OS geheim ist...

< PPC auf I386 | Druckausgabe | AMD finanziell stark angeschlagen >

symlink.ch Login

extrahierte Links

Heise

Heise.de

hier

Artikel

Mehr zu Security

Auch von Yeoman

Diese Diskussion wurde archiviert. Es können keine neuen Kommentare abgegeben werden.

Aus Redmond nicht neues (Score:2, Tiefsinnig)

Von P2501 am Thursday 18. October, 12:12 MET (#1)
(User #31 Info) http://tristan.discordia.ch

Diese Haltung ist ja nicht neu, und wurde auch schon hinlänglich diskutiert. Nur soviel:

Sicherheitslücken werden nicht dadurch zum Problem, dass sie entdeckt werden, sondern dadurch, dass sie nicht behoben werden.

Nicht im überfüllten Haus "Feuer" rufen? (Score:3, Tiefsinnig)

Von bones am Thursday 18. October, 12:40 MET (#2)
(User #481 Info) http://www.p-guhl.ch

Anscheinend hiess es von MS (wieder laut Heise): "Natürlich wolle man nicht die Diskussion über Sicherheitslücken beenden, aber man müsse eine Grenze ziehen und dürfe nicht in einem überfüllten Haus 'Feuer' rufen"

Was soll man denn sonst rufen, wenn es brennt?

Ich glaube auch, dass es genügend unehrenhafte Hacker (je nach Definition auch Cracker) gibt, die in der Lage sind, solche Fehler selbst zu finden. Und diese werden sich bestimmt nicht zurückhalten sondern sie sofort in ihrer Szene bekannt machen. Wenn sie das geschickt anstellen werden die Fehler dann wirklich erst publik, wenn es die ersten Viren gibt und ein unabhängiges Unternehmen bei der Analyse des Virus auf die Sicherheitslücke stösst. Ob dann wohl MS auch schon lange einen Patch hat...

Grüsse vom Knochen

MS ist selber schuld (Score:5, Tiefsinnig)

Von Seegras am Thursday 18. October, 14:57 MET (#3)
(User #30 Info) http://www.discordia.ch

Ich hab die Diskussion schon vor Jahren auf Bugtraq mitverfolgt. Tatsache ist dass das Zeug nicht gefixt wird wenn man es nicht komplett öffentlich macht.

Und Microsoft ist (oder mindestens war) auch einer von den Herstellern die man erst dazu bringen konnte einen Fix zu veröffentlichen wenn das Problem komplett offengelegt war oder sogar ein Exploit verfügbar war (Vor zwei Jahren, O-Ton Microsoft: "This vulnerability is completely hypothetical" -- bis 3 Tage später der Exploit da war).

Die Diskussion hatten wir schon mal, und Microsoft sind die Falschen um sie wieder aufzurollen.
--
"The more prohibitions there are, The poorer the people will be" -- Lao Tse

sysadmin unfaehig zu patchen (Score:2)

Von Umbi (umbi@resurrection-dot.com) am Thursday 18. October, 15:48 MET (#4)
(User #396 Info)

Na ja, ich weiss nicht ob ich richtig verstanden habe wozu ein sysadmin eigentlich da ist; aber von einem faehigen sysadmin sollte man doch eigentlich erwarten koennen, DASS er sein system patchen kann...?
das mag ja bei m-softschen sysadmins anders sein (was tun wenn der grafische installer mit einer kryptischen fehlermeldung abbricht?) *gg*

ein sysadmin der sein system nicht pflegen kann (und dazu gehoert m.e. ZWINGEND und ZENTRAL das patchen!) verdient diese bezeichnung nicht. dann kann man ja gleich den CEO damit beauftragen, Win2k-server zu installieren und dann zu hoffen, dass ja niemand die sicherheitsluecken laut ausplaudert...

Re:sysadmin unfaehig zu patchen (Score:2, Tiefsinnig)

Von Viscus (viscus@gmx.ch) am Thursday 18. October, 22:09 MET (#5)
(User #618 Info) http://www.senn.ch

So abwägig ist das gar nicht, dass es viele unbedarfte Admins gibt.
10 vor 10 hat ja vor ein paar Monaten einen Beitrag gebracht, wie man in ein Funklan einbrechen kann. Das Witzige war ja, dass sie auch auf die Files auf dem Server zugreifen konnten. Und wieso ging das, weil die Sicherheit auf den Servern wegkonfiguriert wurde!
Gerade weil es so einfach scheint ein eNTe System zu administrieren haben alle das Gefühl, dass es so einfach sei und von Sicherheit noch nie etwas gehört.
Es wird auch Microsoft nichts nützen die Infos unter den Tisch zu hauen. Es wird auf jeden Fall publik. Es gibt genug Leute die unterdessen auf das Thema sensibilisiert sind.
Und Microsoft ist je weiss Gott kein gutes Vorbild. Die haben ja nicht mal ihre Server im Griff.

Re:sysadmin unfaehig zu patchen (Score:2)

Von Umbi (umbi@resurrection-dot.com) am Friday 19. October, 08:20 MET (#6)
(User #396 Info)

klar GIBT es eben unfaehige sysadmins. aber dann muss ich auch sagen, dass die unternehmen voellig selber schuld sind, wenn sie irgend einen einstellen "von der strasse", der mal was von HTML gehoert hat und schon mal eine windoze98 kiste aufgesetzt hat; und in der firma XY ist er dann sysadmin von NT servern... no wonder!

Durchsuche symlink.ch:

Never be led astray onto the path of virtue.