Das einzige Problem mit dem Zuhören besteht darin, dass der durchschnittliche Microsoft-Kunde kein Experte in Sachen Sicherheit ist. Wäre es nicht angebrachter, wenn Microsoft jenen Menschen zuhörte, die das Unternehmen so gerne schlecht macht? Den Menschen, die 60 Stunden pro Woche damit verbringen, Windows-Code auf Fehler zu prüfen – und nicht lediglich die Cola trinkenden Systemadministratoren unter den Kunden nach ihren Erfahrungen beim Einsatz von Patches befragte?
Man muss Ballmer zugute halten, dass er ein paar wohlwollende, wenngleich geringfügig inakkurate Beobachtungen über die Verbindung zwischen dem Zeitpunkt der Herausgabe eines Patches und einem späteren Angriff anstellte.
„Die Zeitspanne zwischen der Herausgabe eines Patches unsererseits und dem Zeitpunkt eines Angriffs, der sich den Schwachpunkt zunutze macht, auf den sich der Patch bezieht, verkürzt sich“, teilte er seinem Publikum mit. „Ich denke, dass die meisten Anwesenden sich der Tatsache bewusst sind, dass es nur sehr wenige Angriffe gab, die der Veröffentlichung eines Patches vorausgingen. Tatsächlich verwendet die Hacker Community unsere Patches in gewisser Weise als Anleitung zum Aufspüren und Verstehen von Schwachpunkten.“
Es mag Herrn Ballmer nicht gefallen, aber die Schwachstellen, die sein hauseigener Sicherheitsstab behoben hat – nach dem diese zuvor größtenteils von unabhängigen Experten entdeckt wurden, die so nett waren, zuerst ihn davon in Kenntnis zu setzen – waren bereits im Produkt enthalten, bevor sie ausgemacht wurden. Ebenfalls ist die Tatsache wohlbekannt, dass eine große Zahl von Schwachstellen – sowohl in der Unix/Linux-Welt als auch unter Windows – bereits Monate bevor Microsoft von ihrer Existenz erfährt zu Angriffen genutzt werden. Es mag vielleicht keine breit angelegte Wurm-Attacke sein, es finden aber Angriffe statt.
Schwachstellen sind Fehler beim Entwurf. Der Begriff „neue Schwachstelle“, der auch in diesem Artikel mitunter verwendet wird, sollte eigentlich jedes Mal durch „neu entdeckte Schwachstelle“ ersetzt werden.
Auch wenn es tatsächlich Menschen gibt, die einen Patch auseinandernehmen oder die Beschreibung einer offengelegten Schwachstelle verwenden, um diese für einen Angriff zu nutzen, bleibt die Tatsache bestehen, dass eine bekannte Schwachstelle, für die es einen Patch gibt, besser ist als eine Schwachstelle, die nur einigen wenigen bekannt ist, die keinerlei Absicht haben, etwas darüber verlauten zu lassen. Wenn wohlmeinende Sicherheitsexperten Angriffe auf Schwachstellen durchführen, hilft ihnen das, diese zu begreifen. Anbieter von Intrusion-Detection-Systemen können mittels der so gewonnenen Erkenntnisse ihre Dateien aktualisieren und jedermann kann verstehen, wie es ursprünglich zu dem Problem kam. Man erfährt also, wie ein Angriff aussieht und wie er funktioniert.
Neueste Kommentare
5 Kommentare zu Security: Warum Microsoft-CEO Ballmer es einfach nicht kapiert
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
Zitat
Damit meint er bestimmt ,das diese sogenannten Sicherheitsexperten es nicht unbedingt in die Welt hinausposaunen müssen ,wo ein neues Sicherheitloch besteht ,um zu verhindern das dies von irgentwelchen Hirnlosen missbraucht wird (Zitat Ende)!!!!!
Security
Ich meine, das MS mit Windows einen großen Schritt in Richtung Computer für alle gemacht hat. Natürlich wird immer wieder darüber diskutiert, das es ein "windowsähnliches" System schon bei SUN gab, das Netscape eher mit einem Browser da war, das LINUX sicherer ist und noch eine Menge weiterer bedeutungsloser Unsinn. Es ist einfach so. SUN hatte ein Betriebsystem, welches wie WINDOWS funktionierte. An statt es zu vermarkten, hat man verschiedene Firmen (ach MS) durch die Betriebsräume geführt, damit angegeben und da System dann sterben lassen.
Mathias
security Teil2
Netscape hatte den ersten Browser. Toll, und wo blieb die Weiterentwicklung? Wo blieb die klare Marketungstrategie? Die Gründer von Netscape sind reich genug damit geworden. An Stelle das Ganze besser zu vermarkten, das heist einfach besser zu sein als MS hat man eigene Wege gewählt. Somit enstanden mehrere Standards. Jetzt darüber zu meckern ist einfach nur Neid. Als Gates damals DOS an IBM vermietet hat, haben ihn alle ausgelacht. Man hat in schlichtweg für verrückt gehalten. Jetzt, nachdem sein Plan funktioniert hat, will plötzlich jeder am Kuchen teilhaben. Warum haben die denn nicht gleich mit dem selben Risiko etwas versucht. Da waren alle zu feige. Jetzt aber zu jammern, ist wiederum nur Neid und Ärger über die eigene Dummheit. Und nun zum Sicherheitsproblem. Weil Windows so verbreitet ist, ist es auch ein Ziel für Angriffe jeder Art. Wenn sich heut ein Virus über WIN verbreitet, hat er in Sekundenschnelle Tausende von Rechnern infiziert. Da man also innerhalb eines Tages mehr WINDOWS Rechner mit einem Virus infizieren kann, als es überhaupt LINUX Rechner gibt, ist es ganz logisch, das man sich auf WIN konzentriert. Mit der weiteren Verbreitung von Linux, der ich sehr skeptisch gegenüber stehe, werden auch dort Sicherheitslücken bekannter und auch mit Viren ausgenutzt. Es ist ja mittlerweile zu einem Sport geworden, eine Schwachstelle in WIN zu finden. Wenn diese Leute die selbe Energie aufbringen würden, um nach Fehlern in Linux zu suchen, wären sie genauso erfolgreich. Aber was ist denn ein Fehler, der nur unter Versuchsbedingeungen auftritt, die so gut wie nie ein Anwender zustande bringen wird? Das ist kein Fehler. sondern Krampf.
Security teil3
Mir soll mal einer die software zeigen, die bei einem Programmierumfang wie WIN XP keine Fehler aufweist. Nur das interessiert natürlich niemend. Oder will mir hier irgendjemand weismachen, das Programme wie CorelDraw, openOffice, starOffice, Konquerror, Gimp, Adobe GoLive und andere absolut fehlerfrei sind? Was ist denn dann die Alternative? Rechner abschalten und schluß? Nein, ich bleibe weiter bei meinem Windows und bin damit zufrieden. All die sogenannten Sicherheitslücken und Bugs in WIN, Office und SQLServer haben mir noch nicht geschadet.
Insofern finde ich die Äußerungen von Steve Ballmer gar nicht so verkehrt. Mit diesen ganzen Warnungen werden nur die Nutzer verängstigt. MS weis mit Sicherheit, das diese Meldungen doch an die Öffentlichkeit kommen, wenn kein Patch folgt. Also kann man schon davon ausgehen, das diese Meldungen der "Sicherheitsexperten" ernst genommen werden und auch bearbeitet werden.
Mathias
Microsoft ist besser als ihr Ruf
Mann sollte Linux echt mal auf Millionen von Rechnern installieren und zwar im Home-Bereich nicht nur in Betrieben. Ich wäre ja mal gespannt wieviel Sicherheitslücken innerhalb des ersten Monats auffliegen würden. Und dann die Zeit bis dazu ein Patch herauskäme………
Mein XP-Pro läuft seit einem Jahr fehlerfrei und propleme mit Viren oder Trojanern hatte ich noch nie. Und ich nutze das Internet täglich ein bis zwei Stunden. Einfach ne gute Firewall installieren, eine gute und aktuelle Virensoftware einspielen und abendzu mal ein paar Patches einspielen mehr braucht es doch garnet. Vorausgesetzt man ist nicht so blöod Mails mit dem Betreff "Ich liebe dich" oder so ähnlich zu öffnen. Außerdem denke ich ist Linux auf seinem momentanen Stand für den Otto Normalverbraucher auch noch zu kompliziert. Und das ein Projekt wie XP mit über 20.000.000 Programmzeilen keinen Fehler aufweisen soll, kann man nun echt nicht erwarten oder ??
Und jetzt wünsch ich der Linux Community viel Spaß beim Meckern über diesen Beitrag