Microsoft komt vanaf oktober niet alleen met informatie over beveiligingsgaten vóór er een patch is, maar biedt ook een index met de mate van kwetsbaarheid van een gat. Die 'exploitability index' komt voortaan mee met het maandelijkse beveiligingsbulletin van Microsoft.
De informatiebulletins die Microsoft verstuurt net vóór zijn maandelijkse patchronde krijgen vanaf oktober dit jaar ook een graadmeter voor de beveiligingsgaten. De leverancier geeft daarin aan in welke mate gaten zijn te misbruiken, dus wat de ernst van de kwestie is. Dit is gebaseerd op de huidige indeling, waarbij Microsoft slechts aangeeft of een patch kritiek of slechts belangrijk is. De nieuwe index voegt daar informatie aan toe over de kans op functionele exploits.
Deze zogeheten 'exploitability index' is de tweede stap in Microsofts nieuwe initiatief om de beveiliging van zijn producten te verbeteren. De eerste stap is het vooraf onthullen van gedetailleerde informatie over beveiligingsgaten. Microsoft deelt die informatie met een select gezelschap van beveiligingsleveranciers, vóórdat er dus een patch is. Dit moet de tijd verkorten tussen het ontdekken van een gat en het verschijnen van malware die daar misbruik van maakt. Dat is het 'window of oppurtunity' van crackers.
Informatie helpt
Microsoft zegt dat het beveiliging nu verbetert door meer informatie te bieden. Dat is dus enerzijds vooraf aan leveranciers van beveiligingsproducten zoals antivirus en firewalls. Anderzijds door informatie te bieden aan beheerders, over welke beveiligingskwesties – en aankomende patches – het grootste risico vormen. Die gaten – en het testen en installeren van de 'bijbehorende' patches – dienen dan prioriteit te krijgen.
Dit is een flinke ommezwaai voor Microsoft, die voorheen details over fouten in zijn software liever stil hield. "Tegelijk met de voorspelbaarheid van ons maandelijkse updateproces is er een ongewenste cyclus ontstaan: het uitkomen van exploitcode die is gerelateerd aan die updates. Soms verschijnt die code al binnen enkele uren", meldt Microsoft in een persverklaring.
Enkele uren
Woordvoerders verklaren dat Microsoft die verandering in het beveiligingslandschap begrijpt en daarom deze stappen zet. Informatieverstrekking kan de beveiliging verbeteren, vindt ook de 3Com-beveiligingsdivisie Tipping Point, die één van de eerste deelnemers is aan dit nieuwe Microsoft-initiatief. "Zelfs een voorsprong van vierentwintig uur geeft ons genoeg tijd om de nieuwste patches te testen en te installeren", zegt directeur David Endler van Tipping Point.
"De tools van cybercriminelen zijn de laatste jaren sterk ontwikkeld; zij kunnen nu patches van Microsoft automatisch analyseren en binnen enkele uren exploitcode uitdraaien." Dat Microsoft nu beveiligingsleveranciers voortijdig informatie biedt over bugs kan dus veel schelen.
Gelukkig, na de stabiliteitsmeter komt nu de veiligheidsmeter. Nu nog een rebootmeter.
Hahahah Ted!
Ja en dan nog een zgn. security script erbij
Begin:
IF OS_NAME = “Windows* ” AND OS_VERSION in [“3.11″,”95″,”98″,”ME”,”2000″,”XP”,”VISTA”]
THEN
Println (“Zwaar weer 4 ever”);
ELSE
Println (“Effu tegenwind vandaag, na patch xx klaart
het weer tijdelijk op aan systeembeheer front”
ENDIF
End:
Beperkte onthulling vooraf is een goede zaak, mits deze info:
– niet uitlekt
– gedeeld wordt met meerdere beveiligings leveranciers zodat deze ook daadwerkelijk updates van hun product uit kunnen brengen (Wie bepaalt welke leveranciers deze info krijgen ?)
– daadwerkelijk gedetailleerd genoeg is om de leveranciers in staat te stellen sneller een update te maken voordat Microsoft de update beschikbaar heeft
De nieuwe graadmeter kan gebruikers beter bewust maken van de risico’s, de huidige info is wat beknopt (kritisch of niet).
Marco Barkmeijer
Het vrijgeven van informatie over Microsoft-vulnerabilities binnen een beperkte kring is iets dat ik aanmoedig. Hierdoor kunnen third party security-leveranciers snel tijdelijke maatregelen implementeren. Dit verbetert de security voor eindgebruikers. Zij zijn dan beter beschermd in de periode tussen het moment dat een vulnerability ontstaat en dat Microsoft een patch hiervoor uitbrengt. Wel moet Microsoft ervoor zorgen dat het vrijgeven van informatie niet leidt tot vertraging in het uitgeven van patches. Daarbij roept het vrijgeven van informatie vragen op. Met welke partijen gaat Microsoft uiteindelijk de informatie delen en wat zijn de criteria hiervoor? Daar ben ik zeer benieuwd naar.