تحديث هذا الشهر لويندوز سد ثغرات وأبقى أخرى دون حل
الهدف من مشاركت الخبر هو بيان أن التحديثات الأمنية في ويندوز مجدولة أسبوعيا وشهريا (وهي أبعد ما تكون عن كونها تدفع بالدقيقة لحظة بلحظة كما زعم البعض)
الأمر الآخر هو أنها تظل عرضة لثغرات علنية فترات طويلة حيث أن الخبر يذكر أن هناك ثغرة علنية لم ييدها تحديث هذا الشهر.
أي برمجية معرضة أن يكون بها ثغرات لكن تجاهل الثغرات العلنية وتركها دون إصدار تحديث ودون حل يعني عدم احترافية وجدية في إدارة هذه المشاكل عندما تقع
موعد الupdate المعتاد الشهرى لويندوز هو كل ثانى ثلاثاء من الشهر و هو ليس مجدول اسبوعيا, و يسمى بPatch Tuesday, لكن هذا بالنسبة للتحديثات الاعتيادية.
و لكن مايكروسوفت تقوم باصدار Patch فورى فى حالة وجود ثغرة خطيرة تستلزم الاصلاح الفورى , و حدث هذا كثيرا, أخرها كان الPatch الذى نزل فى غير موعدة فى 10 يوليو 2013 و كان يتناول Internet Explorer 6,7.
اذن التحديثات تكون دقيقة بدقيقة و لحظية فى الحالات الحرجة او عند الحاجة.
كمثال :
يعني ليس كل دقيقة كما زعمت عندما عرضت لك تحديثات فيدورا التي تصدر لحظيا بمجرد حدوث المشكلة وليس على شكل دفعات شهرية؟
مايكروسوفت اخبرتهم بتأخير الاعلان عنها يومين لضمها مع الPatch المعتاد,
يا ابني بيقول لك من شهر 9. يعني 10 و 11 و 12 و 1 يعني 4 أشهر وبعض الفكة.
fedora هى اصدراة مجتمعية و ليست موجهة للأعمال, بعكس RHEL و التى لا يتم تحديثها Stable release بنفس سرعة fedora,
و يجب ان تفرق بين التحديث الامنى و التحديث الذى يتناول تطوير عمل جزء معين من النظام و ليس موجه لحل مشكلة او ثغرة.
لعبة التحديثات و الثغرات يمكن لاثنين ان يلعبوها, فهذه ثغرة مثلا فى لينكس ghost استمرت ل14 عام و ليس 3 اشهر! و لا تزال بعض التوزيعات الممتدة تعانى منها.
هذا ليس تحيزا منى لمايكروسوفت لأننى لست حتى من المبرمجين المرتبطين بمايكروسوفت فأنا لا استخدم visual studio و لا .net, لأننى لاحظت انك منحاز ضد مايكروسوفت لأسباب سياسية و ايدولوجية فى الاساس, و هذا التحيز سوف يضرك كثيرا فى عملك و حياتك.
يا ابني سنتوس و RHEL يتم دفع التحديثات لها عند اللزوم أبضا وليس في دفعات شهرية. لكن لا أريد الحديث عن فيدورا فهي ليست الموضوع. الموضوع هو أن مزاعمك السابقة كانت خطأ (لا أريد أن أقول كذب).
المهم دعنا من الكلام. اللازمة التي لزمتك الآن أن ويندوز لا يزال يرسل تحديثات شهرية وليس بالدقائق (كما قلت أنت سابقا) وليس عند اللزوم. نقطة انتهى النقاش.
المهم دعنا من الكلام. اللازمة التي لزمتك الآن أن ويندوز لا يزال يرسل تحديثات شهرية وليس بالدقائق (كما قلت أنت سابقا) وليس عند اللزوم. نقطة انتهى النقاش.
هل تقرأ ردودى؟!
هل قرأت هذا اللينك, و هو عن update من مايكروسوفت خارج النطاق الشهرى المعتاد لحل مشكلة عاجلة؟!
ففى ويندوز ايضا يتم دفع التحديثات عن اللزوم اضافة الى التحديثات الشهرية المعتادة,
و يمكنك مراجعة مدونتى لمعرفة المزيد حول الثغرات و التحديثات بين ويندوز و لينكس ما لا يتسع لذكره هنا.
الأسوء من هذا ما حصل مؤخراً بين غوغل ومايكروسوفت حول ثغرة ابلغت بها قبل 3 اشهر ولم تصدر لها تحديث امني
يقع اللوم على جوجل فى هذا,
مايكروسوفت اخبرتهم بتأخير الاعلان عنها يومين لضمها مع الPatch المعتاد, و جوجل قامت بالاعلان عنها بشكل غير مسئول و عرضت المستخدمين للخطر, و قامت مايكروسوفت بتوجيه اللوم الى جوجل بسبب هذا التصرف.
الأسوأ ان هذا السلوك يصدر من شركة جوجل التى ترفض اصلاح (و ليس تتأخر) ثغرة خطيرة فى نظام أندرويد4.3 عمره ثلاث سنوات فقط! و تأتى انت لتلوم مايكروسوفت التى تدعم أمنيا أنظمة عمرها 12 سنة!
ترجمة سريعة غير دقيقة للنص من المقال :
جوجل لا تعنى بمستخدم OSX او ويندوز, هى تريد فقط بعض الدعاية و الشوشرة, بينما تترك ثغرة نظام اندرويد 4.3 بدون اصلاح.
Meanwhile, it seems Google wasn't really concered with protecting Windows and OS X users, but merely making a show and a fuss - at least that's the impression one can have from the way Google is currently handling a problem with Android. Last week a vulnerability in the WebView component of the WebKit HTML rendering engine up to Android 4.3 became known, which is used by the Android browser. As Google developer Adrian Ludwig writes on Google+, the hole has not yet been plugged.
جوجل قامت بالاعلان عنها بشكل غير مسئول و عرضت المستخدمين للخطر, و قامت مايكروسوفت بتوجيه اللوم الى جوجل بسبب هذا التصرف.
ومن يوجه اللوم لمايكروسوفت التي تعطي وكالة الإستخبارات الأمريكية تفاصيل الثغرات قبل أن تصلحها.
الأسوأ ان هذا السلوك يصدر من شركة جوجل التى ترفض اصلاح (و ليس تتأخر) ثغرة خطيرة فى نظام أندرويد4.3 عمره ثلاث سنوات فقط ...
أندرويد مفتوح المصدر , إذا وجدت ثغرة يمكنك إرسال pull request وتتهي القصة , المشكلة مذا سنقول على ميكروسوفت التي أوقفت الدعم عن نضام تشغييل يستخدمه الملايين .
ومن يوجه اللوم لمايكروسوفت التي تعطي وكالة الإستخبارات الأمريكية تفاصيل الثغرات قبل أن تصلحها.
هل تظن حقا ان NSA تتجسس من خلال ثغرات أنظمة التشغيل؟!! هل تعرف ان جوجل ايضا متورطة فى الPRISM, و انها المتهم الاكبر كونها تعطى معلومات لوكالة الاستخبارات المركزية؟! على العموم وكالة الNSA تتجسس من خلال سرفرات مزودى الخدمة, و ليس من خلال الاجهزة الشخصية, ببساطة, لأن التجسس من حواسيب المستخدمين طريقة ساذجة للغاية يسهل اكتشافها. و جوجل هى اكثر الشركات تورطا فى برنامج PRISM, و هى أيضا أكثر شركة تملك معلومات حول المستخدمين.
أندرويد مفتوح المصدر , إذا وجدت ثغرة يمكنك إرسال pull request وتتهي القصة , المشكلة مذا سنقول على ميكروسوفت التي أوقفت الدعم عن نضام تشغييل يستخدمه الملايين .
حسنا قم بارسال pull request و لنرى!
هل تظن حقا ان NSA تتجسس من خلال ثغرات أنظمة التشغيل
نعم , لكن لا تستعمل هذه الثغرات لمهاجمة مستخدمين عاديين لكنها مخصصة للأهداف عالية القيمة ,
هل تعرف ان جوجل ايضا متورطة فى الPRISM
لا , google ليست متورطة في شيء , مشروع PRISM يستهدف التجسس على الإنترنت من خلال تحليل البيانات التي تمر عبر مزودي الإنترنت وليس بحاجة لكي تعطيه google أي معلومات , حاول البحث عن الموضوع أكثر .
حسنا قم بارسال pull request و لنرى!
لا أملك ثغرة لأقوم بذلك !!.
لا , google ليست متورطة في شيء , مشروع PRISM يستهدف التجسس على الإنترنت من خلال تحليل البيانات التي تمر عبر مزودي الإنترنت وليس بحاجة لكي تعطيه google أي معلومات , حاول البحث عن الموضوع أكثر .
مشروع PRISM بدأ عام 2007, و الهدف منه كان مراقبة المعلومات التى تتناقل عبر الانترنت حتى لو كانت مشفرة, بالتعاون مع الشركات التى تمتلك هذه المعلومات. يمكنك مراجعة قائمة الشركات المتورطة فى هذا الرابط و منهم جوجل:
الشركات المتورطة اجابت بأنها مضطرة الى تقديم المعلومات كلما طلب منها ذلك بشكل قانونى, و لكنها لا تتطوع بتقديم المعلومات.
نعم , لكن لا تستعمل هذه الثغرات لمهاجمة مستخدمين عاديين لكنها مخصصة للأهداف عالية القيمة ,
NSA لا تعمل مثل الهاكرز, لأن لديها قوة لوجيستية و قانونية و هى ليست مضطرة الى اختراق الانظمة سواء للمستخدم العادى او غير العادى!
انا لا الوم جوجل, و لا ياهو و لا مايكروسوفت, ففى النهاية هذه شركة امام وكالة حكومية استخباراتية, ماذا تملك شركة استثمارية مهما بلغ ثرائها و اهميتها امام جهاز استخبارات يستطيع ان يهددها و يدمرها و فى ايام معدودة؟! بالتأكيد سوف تخضع و تقدم لها ما تريده أيا كان.
NSA لا تعمل مثل الهاكرز, لأن لديها قوة لوجيستية و قانونية ....
بل تعمل كالهكرز لكن ميزانيتها كبيرة , إذا كانت تعمل (NSA) بطريقة قانونية فما كانت تسريبات سنودن ستحضى بهذا الإنتباه , ما كشفه سنودن هو أعمال غير قانونية تقوم بها الوكالة .
...و هى ليست مضطرة الى اختراق الانظمة سواء للمستخدم العادى او غير العادى!
قلت لك, تستعمل الثغرات في إستهداف أهداف عالية القيمة وليس من الضروري أن تكون هذه الأهداف داخل الولايات المتحدة لكي تنتهج الطريقة القانونية في الحصول على المعلومات.
التعليقات