Security experts halen uit naar onethische onderzoeker
Eind januari kwam "security onderzoeker" David Aitel al in het nieuws. De twintiger is de oprichter van Immunity en houdt zich bezig met het vinden van lekken in populaire programma's. In tegenstelling tot wat steeds meer security onderzoekers doen, licht Aitel niet eerst de ontwikkelaar van het lekke programma in, maar maakt hij de resultaten van zijn onderzoek direct aan het grote publiek bekend, althans, zo was het een aantal weken geleden toen hij lekken in Apple's Mac OS X publiceerde. Aitel heeft namelijk een nieuw businessmodel ontdekt, waarbij hij informatie over lekken alleen aan zijn betalende klanten verstrekt. Tevens komt hij ook met een "workaround" zodat men beschermd is. De ontwikkelaar van de software in kwestie en de rest van de wereld worden niet geinformeerd. Om te voorkomen dat informatie over de lekken en workarounds uitlekt, moeten de klanten van Immunity een NDA tekenen. En daar zit volgens de experts het probleem. Iedereen kan namelijk de NDA tekenen en voor de lekken betalen, ook criminelen. De aanpak van Aitel creert een cultuur van "security haves en security have-nots", aldus Simon Perry van CA. Toch zijn klanten van Immunity niet immuun voor de lekken, aangezien een workaround geen definitieve oplossing is. "De deur is dicht, maar niet op slot." zo gaat Perry verder.
NT4 patches kun je bij microsoft ook alleen maar krijgen als je een heel
duur abonnement hebt......
is.
je vuln.
Ze zouden lekken ook open source moeten maken!
diff old.src new.src
cat patch.c
etc..
Dat is gewoon blackmailing. Als je niet het NDA tekent ben
je vuln.
Hehe, dus Microsoft is eigenlijk een grote mafia organisatie.
betalen door meerde mensen die die exploits willen hebben of
de ontwikkelaars inlichten ... ik weet het wel hoor !
Als je weet dat in een Ford (willekeurig voorbeeld) de rem niet goed werkt,
vertel je dat toch ook aan de fabrikant? En niet alleen aan mensen die je
ervoor willen betalen?
Lijkt me trouwens wel een interessante case: iemand voert een hack uit met
behulp van een van de gaten die door hem zijn gevonden. Die persoon
wordt opgepakt, maar het OM vervolgt ons aller David wegens
medeplichtigheid.
Ik ben het er ook niet mee eens als bugs direct of full-disclosure lijsten
worden geplaatst, zonder de fabrikant in de gelegenheid te stellen met een
fix te komen (een week is een mooie tijd), maar voor mensen die er alleen
maar beter van willen worden, zonder dus de fabrikant in te lichten, heb ik
geen enkel respect. Die mogen wat mij betreft met degenen die de
daadwerkelijke hack zetten opgesloten worden.
Bij hoeveel grote soft- en hardware leveranciers krijg je de patches gratis?
Zonder support contract krijg je bij de meeste leveranciers geeneens een
reply op je mail.
Terwijl de bugs in hun producten wel open en blood te vinden zijn zelfs op
leveranciers website.
Ik heb liever dat ik als eerste weet dat ik iets gebruik dat lek is als dat ik
moet wachten dat iedereen het weet en de fabrikant eens een met een
pacht komt.
Immers indien je iets niet weet kan je ook niet denken aan workarounds...
Een goede voorbeeld is de SNMP hoax destijds, die bij alle grote
leveranciers bekend was, daarna via premium support contracten en
presentaties bij een groter groep kwam, maar in beide gevallen niet met
de details om je er tegen te kunnen verdedigen.
Achteraf bleek het reuze mee te vallen, omdat de meeste organisaties die
over hun infrastructuur had nagedacht sowieso geen SNMP vanaf publieke
netten toestond.
aanbied?
Dan moet je ze allen gaan betalen om zeker te zijn dat je veilig bent. Want
er zullen steeds personen zijn met slechte bedoelingen die bij een van die
services zijn aangesloten.
ga je dan iedereen betalen?
Dat is gewoon blackmailing. Als je niet het NDA tekent ben
je vuln.
Tsk, tsk, tsk. Dat is dus helemaal niet zo. Immunity zoekt inderdaad vulns,
en deelt die met de Vulnerability Sharing Club (waar je voor moet dokken).
Er zijn nog zo'n 3 of 4 anderen die dat ook doen.
Kijk, dit soort security onderzoek kost tijd en geld. Als ik voor een klant een
produkt onderzoek en er security bugs in vind, dan laat ik het de klant
uiteraard weten - die heeft er tenslotte voor betaald. Vervolgens is de
kennis van die bug wat mij betreft eigendom van die klant. Waarom zou ik
een vendor inlichten? Betalen ze me daarvoor? Nee. Waarderen ze dat?
Nee. Waarvoor dan? PR natuurlijk. En als ik geen PR hoef? Dan licht ik de
vendor niet in. Makkelijk zat. Ik heb wel betere dingen te doen met mijn vrije
tijd.
Als je per se vulns wil hebben - zoek ze zelf of lap ervoor. Als je als vendor
geen security bugs in je produkten wil hebben - doe dan goeie QA en laat
vervolgens ook een goed security bureau (zoals Immunity..) je produkt
analyzeren.
En doe niet zo verontwaardigd over het feit dat iemand zijn eigen
onderzoeks resultaten deelt met mensen die ervoor betalen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
