Microsoft kritisiert "Kopfgeld" für Sicherheitslücken

Microsoft Nachdem das Sicherheitsunternehmen iDefense in der letzten Woche einen vierteljährlichen Wettbewerb ausgeschrieben hatte, bei dem Derjenige 10000 US-Dollar erhält, der dem Unternehmen eine Sicherheitslücke in Windows meldet, die von Microsoft als ... mehr...

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
"Das Bezahlen des Auffindens von Sicherheitslücken, sei nicht der richtige Weg mit derartigen Problemen umzugehen, hiess es." - Der derzeitige Weg bei Microsoft und schweren Fehlern die von Dritten gefunden werden ist: Die Person verklagen, mit weiteren Klagen drohen wenn man die Lücke veröffentlicht, die Lücke ewig totschweigen und irgendwann wenn sie behoben wurde veröffentlichen. Gerade wegen dieser Methoden von Microsoft haben viele es aufgegeben Microsoft zu informieren da dies nicht den erwünschten Erfolg bringt. Microsoft ist selber Schuld an dieser Entwicklung da sie Bugreports von Dritten zu lang ignoriert und teils totgeschwiegen haben. Jeder der dies mal machen musste weiss wie das abläuft.
 
@all: Microsoft sollte lieber Lücken schnell schließen und Bugs fixen, außerdem dankbar sein, wenn andere Bugs suchen, die bei Microsoft selbst übersehen wurden. Gruß, Fusselbär
 
-del- Gemeinte Beiträge von voyager wurden alle gelöscht.
 
Äh, bitte was!?!? iDefense spinnt doch. Das Aussetzen von Kopfgeld auf die Verursacher von Viren ist ja wohl was ganz anderes als Geld für das finden von Lücken. Wenn eine Lücke nicht bekannt ist und nicht dick und fett publik gemacht wird, dann nutzt sie auch keiner aus. Ein Virenschreiber gehört aber ins Gefängnis.
 
@The_Jackal: Nein, die von Microsoft spinnen da sie auch Autoren von PoC verklagen... jene die helfen Microsoft die Schwere der Lücken zu demonstrieren da sie sonst wieder totgeschwiegen werden. Microsoft hat über Jahre diese Gangart mehr als gefördert.
 
-del- Gemeinte Beiträge von voyager wurden alle gelöscht.
 
ein POC ist ein fertiggestelltes programm was man leicht verwenden kann . wir sehen das meist das nur kurze tage nach veröffentlichen eines POC die würmer mit derselben technik ihre runde drehen. ich habe nichts grundlegendes gegen einen beweis zur darstellung eines fehler, hier geht es nur darum ob es überhaupt verantwortbar ist dies allgemein zu veröffentlichen ohne die konsequenzen zu berücksichtigen.
wenn es darum gehen soll deine dargestellte praktik von microsoft zu kritisieren und ihnen eins damit auszuwischen dann ist das genauso wenig ein redliches verhalten wie das was du MS vorwirfst...p.s. das wiederkehrende löschen meiner beiträge ändert daran auch nichts.
 
@voyager: Ein Proof-of-Concept ist der Beweis der Machbarkeit. Diese muss noch keine Schadroutinen oder Ähnliches beinhalten sondern ledigtlich die Tür zur Lücke. Und diese muss für die Öffentlichkeit um es testen zu können noch nicht einmal tecnisch dokumentiert sein. Microsoft geht jedoch selbst gegen diese PoCs vor. B itte lass das Posten diesbezüglich sein, es ist wirklich nicht nötig das die Redakteure noch mehr Arbeit mit dem Löschen deiner Beiträge verschwenden müssen. iDefense tut nichts schlimmes sondern Hilfe Microsoft sogar.
 
warum nicht?, es werden mittellose Informatik-Studenten o.ä. motiviert. MS und andere Firmen profitieren auch davon? .. kann also nicht verstehen warum MS dieses "Kopfgeld" kritisiert.
 
find ich richtig das kopfgeld
 
HE ??

MS soltle sich freuen das andere andere dafur bezahlen ihre fehler zu beseitigen XD
 
Was wichtig ist... der Finder der Lücke bekommt 10.000 USD, die Informationen darüber iDefense und die Workarounds bis Microsoft reagiert die iDefense Kunden. Der Finde rder Lücke indes muss auch noch ein paar Pflichten eingehen. An der ganzen Sache ist absolut _nichts_ verwerfliches.
 
Der erste Satz kann nur von nim stammen (nicht böse sein)...
 
Microsoft hat nur Angst das das rauskommt was wir alle bereits wissen - Windoof :>
 
Auf das Ding würd ich das Kopfgeld sogar verdoppeln. :-)
 
Wieso kritisieren??? Wenn die selbst zu unfähig sind sollen sie doch froh sein das fähigere Menschen die Lücken finden.
 
Die Aktion von iDefense ist so oder so bedenklich. Die Firma macht die so gewonnen Ereknntnisse vorab nur seinen teuer zahlenden Kunden zugänglich. iDefense geht es nur um's Geschäft, wer glaubt "ehrenwerte Motive Windows sicherer zu machen" stecken dahinter hat sich getäuscht.
 
@swissboy: "lol" natürlich gehts ums Geschäft. Was meinst du worum es Microsoft geht? Ums Geschäft und ums Image. Wie peinlich wäre das für MS, wenn eine Fremdfirma Kopfgeld für gefundene Lücken auszahlt. Sowas sollte Microsoft übernehmen, aber die scheinen so selbstverliebt zu sein, dass sie das Wort "Lücken" meiden. Ich finde diese Aktion super und hoffe das sowas Schule macht. Firefox hat auch kein Problem damit Kopfgeld auf Lücken zu zahlen und die haben nicht das Finanzvollumen von Microsoft. Alles in allem stellt sich der Mamutkonzern Microsoft mimosenhaft hat.
 
@sesamstrassentier: Du scheinst überhaupt nicht begriffen zu haben um was es in meinem Kommentar geht. iDefense macht seine Informationen nur seinen teuer zahlenden Kunden zugänglich die zum Stillschweigen verpflichtet sind, die Allgemeinheit profitiert vorerst nichts bzw. erst wenn auch Microsoft offiziell reagiert. iDefense versucht sich so gute Argumente für seine teuren Dienste zu verschaffen, denen geht es nicht wirklich darum Windows sicherer zu machen.
 
@swissboy: Ist auch kein anderer dazu verpflichtet Windows sicherer zu machen, ausser Microsoft selbst Aber die scheinen ohnehin hoffnungslos überlastet zu sein. Alte Sünden machen sich eben dich irgendwann bemerkbar. Geschieht denen ganz recht.
 
@sesamstrassentier: Deine Argumentation macht die Aktion von iDefense aber deshalb nicht weniger zweifelhaft.  PS: Jedes Betriebssystem hat Sicherheitslücken, das ist so sicher wie das Amen in der Kirche. Bei Windows erhalten sie aber wegen seines hohen Marktanteils logischerweise viel mehr Aufmerksamkeit.
 
@swissboy: Warum neigst du schon wieder zu Lügen? Die Informationen bekommt nicht nur iDefense... damit iDefense die Belohnun g zahlt muss Microsoft diese Lücke bestätigen. ERGO: -> Microsoft bekommt die selben Informationen wie iDefense und kann einen Patch entwickeln. Da Microsoft keine Informationen rausgibt kann iDefense mit den gekauften Informationen für die zahlenden Kunden ein Workaround entwickeln bis Microsoft reagiert. Bitte halte dich, auch wenn es um Microsoft geht, an die Wahrheit.
 
@Chuck: Siehe [re:2]: "iDefense macht seine Informationen nur seinen teuer zahlenden Kunden zugänglich die zum Stillschweigen verpflichtet sind, die Allgemeinheit profitiert vorerst nichts bzw. erst wenn auch Microsoft offiziell reagiert." Ich habe also nie behauptet das Microsoft nicht informiert wird, aber alle nicht-iDefense-Kunden haben definitiv einen Nachteil und deshalb wird diese Aktion auch von diversen Sicherheitsexperten als äusserst fragwürdig beurteilt.
 
@swissboy: Richtig lesen: iDefense macht für seine Kunden ein Workaround und als Basis um die 10.000 USD zu zahlen gehen die Informationen an Microsoft und somit als Patch/Bugfix an alle. Zitat: "[...] iDefense hat ein "Kopfgeld" von 10000 US-Dollar [...] die von den Redmondern als kritisch eingestuft werden muss." - Ergo: Alle Informationen gehen an Microsoft. Anders würde es auch nicht funktionieren. Den einzigen Dienst den iDefense anbietet ist ein Workaround für die Zeit bis zum Patch da, und jetzt kommt der für dich wichtige Teil wo du aufpassen solltest, Microsoft Lücken die sie selben finden oder freiwllig von Dritten bekommen in keiner Form veröffentlicht. Schon gar keine technischen Details. So wie es jetzt läuft bekommt NIEMAND Hilfe und alle müssen auf Microsoft warten. Mit iDefense es es nun zumindest möglich ein Workaround zu entwickeln da man die technischen Dateils bereits hat. Und diese Methode wird vllt bei dir zuhause als fragwürdig beurteilt aber von sonst absolut niemanden in dieser Welt. Ausser vllt MS aber die sind was sicherheitslücken angeht eh paranoid. also noch einmal... NIEMAND wird benachteiligt, NIEMAND erleidet Schaden und NIEMAND wird betrogen... und NIEMAND mit Verstand hat etwas an dieser Methode auszusetzen. Da ist _nichts_ aber auch rein gar nichts fragwürdiges dran. - Um es noch einmal ganz unmissverständlich zu machen: Zur Zeit läuft es so das Lücken die MS gemeldet werden sehr oft totgeschwiegen oder deren Behebung lange hinausgezögert wird. iDefense kümmert sich um die ganz schweren Lücken und dadurch das iDefense erfährt ist MS direkt unter einem Druck diese Lücken zu beheben den sie sonst nicht hätten. MS im Gegenzug setzt die freiwlligen Melder unter Druck nichts zu veröffentlichen und geht dabei auch über Klagen. iDefense sorgt dafür, wenn das Projekt funktioniert, dass alle Windows Anwender bei schweren Lücken eine schnellere Reaktionszeit von MS erwarten können. Und das kann nur im Interesse aller sein.
 
@chuck: So sehe ich das auch. Swissboy hat da was komplett fehlinterprätiert. Aber das kann ja mal passieren :D
 
@Chuck: Das ändert alles nichts daran, iDefense versucht damit nur seinen Diensten einen höhern Wert zu geben das sie ihren Kunden (und nur ihren Kunden) exklusive Informationen und Workarounds verspricht. Ich bleibe voll und ganz bei meiner Einschätzung, das Vorgehen von iDefense ist äusserst fragwürdig. Einfach nur geschickte PR seitens iDefense, mehr aber auch nicht.
 
@swissboy: Doch, das ändert massiv viel... denn iDefense ist lange nicht das einzige Unternehmen das mit Sicherheitsmeldungen und Workarounds Geld verdient. Es kommt am Ende _IMMER_ dem normalen Benutzer zu Gute. Und... die Dienste sind ja auch mehr wert denn ohne iDefense würden diese Lücken greifen und niemand hätte Schutz davor. Diese Dienstleistung ist _URALT_ und daran ist ABSOLUT nichts neues. Bounty für Entwickler sind so alt wie die Sicherheitslückengeschichte allgemein. Hier wurde es nur einmal öffentlich gemacht was unzählige Firmen seit Jahren machen. iDefense, Secunia, SecurityFocus, eEye u.v.m. haben seit Jahren über Lücken die sie selber gefunden haben bzw die ihnen berichtet wurde gemeldet berichtet und ihren Kunden Workarounds oder inoffizielle Patches angeboten. Diese Unternehmen stellen sogar Leute ein die nichts anderes machen als nach Lücken zu suchen. Verwerflich? Oder nur die regulierung des Missstandes des QM? Eine Belohnung für Fehler ist seit Jahren normal und noch nie hat sich deswegen jemand beschwert. Selbst Mozilla hat Kopfgelder für Fehlerteufel ausgesetzt und fährt damit extrem gut. In den letzten Jahren haben die Security Advisories dieser Unternehmen für mehr Sicherheit gesorgt weil sie durch eigene Meldungen und Kopfgelder Microsoft immer unter Zugangzwang gesetzt haben. Sieh es endlich ein, die Methode ist absolut normal. Deine Meinung in allen Ehren, aber sie ist in diesem Fall nur fern der Realität wie es seit Jahren gehandhabt wird. Und nochmal, auch wenn iDefense und co Kunden als erstes von den Diensten profitieren - Schadet dies dem normalen Anwender? Hat der dadurch weniger Sicherheit? Ist der einem höheren Risiko ausgesetzt? Muss der deswegen länger auf Patches warten? Nein... also warum regst du dich künstlich über ein Geschäftsmodell auf das es seit Jahren gibt? Wo ist dein Problem? Wo siehst du einen Schaden für Endanwender? Ich kann dir sagen wo dein Denkfehler liegt... würden iDefense und Co die Fehler immer für alle öffentlich machen würde es schneller für alle Workarounds und inoffizielle Patches geben... nur dass willst du auch nicht weil dann auch die bösen Buben dieses Wissen habem. Und wenn niemand diese Fehler berichtet und alles für sich behält? Was ist die Folge? Richtig... erinner die an die News wo Entwickler Codezeilen an russische Schadsoftwarehersteller verkaufen wollten. Denn die wird es immer geben und die bezahlen auch einen guten Preis. Du solltst also extrem froh sein das iDefense ebenfalls, aber hier für einen guten Zweck, mitbietet. Aber ich seh schon... es geht um Microsoft also verteufelst du alles andere und verteidigst blind in deinem MS-Jihad. Sorry, dein blinder Fanatismus ist absolut unangebracht denn was die Unternehmen dort machen ist Sicherheit der Windowssysteme zu verbessern und Patchzeiten verkürzen... nur Positives.
 
@Chuck: Ach Chuck, deine Argumentation überzeugt mich nicht. Glaube was du willst und werde selig dabei ...  :-)
 
@swissboy: Ich weiss das Fakten, Tatsachen und Beweise bei dir nicht wirken, der MS Jihad und der feste Glaube an Engelchen und das Bugfreie Paradies sind bei dir so stark das du absolut Schmerz und Merkbefreit bist. Klar, an Lügen klammern soll ja bequemer sein als sich mit der Wahrheit auseinandersetzen... wobei in diesem Falle die Wahrheit eigentlich nur gut für Microsoft, Windows und Windowsprogramme ist. Aber hast schon Recht... Windows hat keine Fehler und diese Suche ist reine Schikane. MfG
 
"Man wundere sich darüber, dass Microsoft zwar 250000 US-Dollar "Kopfgeld" auf Virenautoren aussetzt, aber das Vorgehen von iDefense verurteilt." Dem kann ich voll und ganz zustimmen.
 
ich würde sagen warten wir es doch einfach mal ab wieviel an der kopfgeld-aktion wirklich drann ist.
 
@voyager: Das Programm läuft bereits länger "The iDefense Vulnerability Contributor Program (VCP) compensates individuals who provide iDefense with advance notification of unpublished vulnerabilities and exploit code. Alternatively, iDefense can donate any earned funds to a charity of the contributor's choice in their name. There are currently more than 250 active VCP contributors." - Die die erhöhte Belohnung ist neu.
 
also ich sehe das so: jeder bösewicht der viren programmiert sucht die ganze zeit schon nach den kritischen lücken um diese selbst zu nutzen! jetz suchen die "guten" auch noch mit und MS hat wie schon gesagt druck sie zu beseitigen. iDefense (wenn swissboy richtig liegt) kann damit sogar noch etwas geld machen ... na und? die hatten die idee und kein enduser nen schaden (auch die kunden die sich per workaround vor nicht veröffentlichten lücken schützen scheinens ja unbedingt zahlen zu wollen) also lasst se doch :)
 
@(R)MacGyver: iDefense schafft sich mit dieser Aktion zusätzliche Kaufargumente für seine teuren Dienste sozusagen selbst, das ist das störende an der ganzen Sache. Es ist sicher legitim, aber so "ehrenwert" wie einige iDefense hier gerne sehen möchten ist iDefense ganz sicher nicht.
 
@swissboy: iDefense schafft sich keine Kaufargumente die andere Unternehmen nicht ebenfalls seit Jahren haben. Und was hindert MS bei der Kriegskasse daran mitzubieten? Bist du noch neu am PC? So kommt es mir grad vor.
 
Aber Kopfgelder auf deutsche Schüler^W^Wpöhse Hacker ist OK?
Kommentar abgeben Netiquette beachten!

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles