Archief - De topics van lang geleden

Iedereen heeft het recht op security informatie

01-08-2005, 11:49 door Redactie, 16 reacties

Vorige week haalde security onderzoeker Michael Lynn overal het nieuws doordat hij een presentatie gaf over het misbruik van een lek in Cisco's routerbesturingssysteem IOS. Om de presentatie te geven nam Lynn zelfs ontslag bij ISS en haalde hij de woede van Cisco en z'n voormalige werkgever op de hals. Cisco diende zelfs een aanklacht tegen de onderzoeker in wegens schending van intellectueel eigendom. Veel bedrijven zijn van mening dat zij de eigenaar van de informatie zijn die in hun programma's gevonden wordt. Security onderzoekers mogen een lek dan vinden, dit geeft ze volgens veel bedrijven nog niet het recht om ze zonder hun toestemming te publiceren.

Het onverstandig publiceren van security lekken kan volgens de bedrijven in kwestie leiden tot meer aanvallen op hun klanten. De informatie kan door het publiekelijk maken aanvallers helpen. Het probleem is echter dat de ontdekker van een lek vaak niet de enige is die deze kennis heeft, waardoor klanten uiteindelijk ook gevaar lopen.

Nu wordt een bedrijf of ontwikkelaar door publieke disclosure eerder gedwongen om met een patch of andere oplossing te komen. Veel klanten patchen echter niet hun software, waardoor aanvallers dankzij de waarschuwing van de onderzoeker vrij spel hebben. Toch is het beter om op de hoogte van een lek te zijn, dan een lek te hebben dat alleen bij een enkeling bekend is en mogelijk misbruikt wordt. Onze stelling luidt derhalve: "Iedereen heeft het recht op security informatie"

Reacties (16)
01-08-2005, 12:10 door Anoniem
Iedereen heeft recht op informatie aangaande zijn/haar eigen systemen
alsook systemen waar hij/zij gebruik van maakt. In de praktijk betekent dit
dat iedereen in principe recht heeft op informatie over onveiligheden.

Full disclosure is goed om ervan te leren, tijden nadat een exploit bekend
is. Om bepaalde fouten in de toekomst te voorkomen. Maar full disclosure
van een lek terwijl de auteur nog niet voldoende tijd heeft gehad om de bug
te fixen is gewoon dom. Het is gewoon publiciteitsgeilheid om zoiets direct
te willen publiceren. Een grote fout in een OS gaan maanden of misschien
een jaar overheen voordat het globaal redelijk gefixt is. Geef het dan ook
die tijd. Als je dat niet kunt inschatten ben je geen security expert.
01-08-2005, 12:12 door [Account Verwijderd]
[Verwijderd]
01-08-2005, 12:14 door Anoniem
Natuurlijk, hoewel het recht in de tijd van de baas
natuurlijk anders is gedefinieerd dan als rechten die een
privépersoon heeft.

Dat de beperking door de werkgever geldt moet natuurlijk wel
goed zijn afgesproken, tevens moet worden aangegeven wat dan
nog wel kan...
01-08-2005, 12:16 door Anoniem
Human law is law only by virtue of its accordance with right
reason, and by this means it is clear that it flows from
Eternal law. In so far as it deviates from right reason it
is called an Unjust law; and in such a case, it is no law at
all, but rather an assertion of violence.

Thomas Aquinas
Summa Theologica
01-08-2005, 12:22 door awesselius
Je moet het zo zien, sommige mensen in sommige landen laten
dag en nacht hun voor- en/of achterdeur van het slot. Dit is
bij de hele buurt bekend meestal, want heel vaak lopen ze
elkaars deuren toch al plat.

Maar stel nou dat je het in Nederland zou hebben, dat je
weet dat je buurmans deur dag en nacht open staat zonder
slot, ga je dat dan ook meteen in je plaatselijke krant aan
iedereen laten weten?

Er zijn dus 2 kanten van disclosure: de logische kant en de
minder logische kant. Diegene die iets openbaar wil maken
moet alle facetten afwegen vind ik. Wat zijn de gevolgen als
ik het geheim hou? Wat zijn de gevolgen als ik het openbaar
maak? Voor en tegens tegen elkaar afwegen en dan wel of niet
openbaar maken.

Klinkt simpeler dan in de praktijk, maar toch elke
openbaarmaking van welk gegeven heeft zo zijn gevolgen.

Straks komen we in een maatschappij waarin we het normaal
vinden dat we alles vertellen van wat we weten en te horen
hebben gekregen. We leven al in een aardig 'roddel'-wereldje
laat staan dat we dat met alles doen, omdat we het zo gewend
zijn. Dat gaat zeker zijn prijs hebben.

Dus niet iedereen heeft recht op evenveel security
informatie, want soms ben ik geen betrokken partij voor de
vrijgekomen informatie.

Daarnaast gaat communicatie nog altijd 2 kanten op. Als ik
op zoek ben naar informatie moet ik het kunnen vinden als
het om mijn situatie gaat wat veiligheid betreft. Maar het
broadcasten van gevoelige informatie voor alles en iedereen
vind ik wat anders. Dan krijgen ook kwaadwillenden gewoon
hun informatie zo met hun ochtendkrantje op hun onbijtbordje
geworpen. Daar ligt het risico.

- Unomi -
01-08-2005, 14:23 door Frans E
Ja iedereen heeft recht op security informatie!
En wel zoveel dat men in staat is zijn eigen systemen te beveiligen.
Dat wil dus niet zeggen dat ook iedereen kennis moet krijgen van
gedetailleerde exploits en programma's om het lek te misbruiken.

Michael Lynn heeft naar mijn mening ook niet zo gehandeld.

Cisco was begin dit jaar al op de hoogte van het probleem en heeft in april
al een nieuwe versie van IOS uitgebracht die de bekende lekken zouden
moeten verhelpen. Wat Cisco gaf echter niet aan hoe kritiek de lekken
waren en bracht het als een normale update zonder details ipv een kritieke
update. Cisco wilde liever zijn standpunt naar buiten blijven brengen dat
IOS onkraakbaar was.

Lynn wist dat slechts een deel van IOS was gepatched en dat door de
diefstal van de 800 MB bron code bij Cisco er snel meer lekken gevonden
zouden worden. Hij wilde met zijn presentatie bereiken dat de beheerders
snel naar de laatste versie van IOS zouden updaten.

Dat Lynn niet de bedoeling had om de lekken gedetailleerd bekend te
maken mag blijken uit de
[url=http://www.viruswatch.nl/holygrail/bh05/index.htm]foto's van Lynn's
presentatie[/url] op Blackhat 2005 waarop duidelijk te zien is hoe delen van
code op de dia's onleesbaar zijn gemaakt.

Dat de originele ongecensureerde
[url=http://www.viruswatch.nl/holygrail/index.htm]presentatie[/url] vrijdag
middag beschikbaar kwam op internet heeft Cisco dan ook aan zichzelf te
danken. Als ze in april hun klanten al hadden voorgelicht was dit nooit zo
gebeurd. Door de klokkenluider de mond te snoeren hebben ze zich de
woede op de hals gehaald van een groot deel van de security
gemeenschap.
01-08-2005, 15:02 door Anoniem
Door Frans E
Ja iedereen heeft recht op security informatie!
En wel zoveel dat men in staat is zijn eigen systemen te beveiligen.
Dat wil dus niet zeggen dat ook iedereen kennis moet krijgen van
gedetailleerde exploits en programma's om het lek te misbruiken.

Michael Lynn heeft naar mijn mening ook niet zo gehandeld.

Cisco was begin dit jaar al op de hoogte van het probleem en heeft in april
al een nieuwe versie van IOS uitgebracht die de bekende lekken zouden
moeten verhelpen. Wat Cisco gaf echter niet aan hoe kritiek de lekken
waren en bracht het als een normale update zonder details ipv een kritieke
update. Cisco wilde liever zijn standpunt naar buiten blijven brengen dat
IOS onkraakbaar was.

Lynn wist dat slechts een deel van IOS was gepatched en dat door de
diefstal van de 800 MB bron code bij Cisco er snel meer lekken gevonden
zouden worden. Hij wilde met zijn presentatie bereiken dat de beheerders
snel naar de laatste versie van IOS zouden updaten.

Dat Lynn niet de bedoeling had om de lekken gedetailleerd bekend te
maken mag blijken uit de
[url=http://www.viruswatch.nl/holygrail/bh05/index.htm]foto's van Lynn's
presentatie[/url] op Blackhat 2005 waarop duidelijk te zien is hoe delen van
code op de dia's onleesbaar zijn gemaakt.

Dat de originele ongecensureerde
[url=http://www.viruswatch.nl/holygrail/index.htm]presentatie[/url] vrijdag
middag beschikbaar kwam op internet heeft Cisco dan ook aan zichzelf te
danken. Als ze in april hun klanten al hadden voorgelicht was dit nooit zo
gebeurd. Door de klokkenluider de mond te snoeren hebben ze zich de
woede op de hals gehaald van een groot deel van de security
gemeenschap.

Waarom hebben ze dat aan zichzelf te danken?

Het klinkt mij als iemand die uit is op publiciteit ten koste van anderen en
het probeert te rechtvaardigen met valse argumenten.
01-08-2005, 21:37 door Kat
Volgens mij heeft iedereen recht op security informatie. Echter, moet je er
weldegelijk van bewust zijn dat je er, met alleen informatie, niet bent. Je
systeem veilig up-to-date houden blijft noodzaak; hoe dan ook. En spijtig
genoeg is daar nog steeds niet iedereen van doordrongen.
02-08-2005, 09:00 door Anoniem
Wie professioneel met Cisco bezig is wéét dat er ALTIJD bugs kunnen
inzitten. Men geeft die problemen ook altijd door aan TAC (Technical
Assistance Center) van Cisco en er wordt onmiddellijk op gereageerd.
Het is dus zever om te gaan verklaren dat die Lynn het gedaan heeft
om "de mensen" te helpen.
"De mensen" die er iets van kennen weten wat ze moeten doen.
Op de Cisco-site staat genoeg info -voor pro's- om te weten wat de
vulnerabilities zijn.

Een backbone-router wordt door professionals geconfigureerd en
onderhouden. Dus ik veronderstel dat zij genoeg op de hoogte zijn.
Ik vraag me af waarom "de andere mensen" moeten op de hoogte zijn van
flaws zodat ze in hun vrije tijd het leven van anderen kunnen zuur
maken???
We hebben al werk genoeg.

Die Lynn was alleen uit op publiciteit. Als je de pfds bekijjkt is het met oude
IOS én je moet direct geconnecteerd zijn via modem... en nog van die
dingen.
Ik kan me wel voorstellen dat Cisco pissed was omdat hij code publiek
maakte , de bug is er ondertussen toch al uit...
02-08-2005, 10:33 door Anoniem
Het was een publieke sollicitatie van een broekie met nog geen 4 jaar
werkervaring :) Say no more....
04-08-2005, 17:52 door assati
hou formateer ik windows xp,ik bedoel C leeg maken en op nieuw
instaleren graag een duidelik uitleg aub
06-08-2005, 14:21 door Anoniem
Door assati
hou formateer ik windows xp,ik bedoel C leeg maken en op nieuw
instaleren graag een duidelik uitleg aub
Laat je computer opstarten vanaf de Windows cd-rom. Tijdens de setup
krijg je de mogelijkheid te formatteren.
06-08-2005, 14:52 door Nabulafia
Door Anoniem
Door Frans E
Ja iedereen heeft recht op security informatie!
En wel zoveel dat men in staat is zijn eigen systemen te beveiligen.
Dat wil dus niet zeggen dat ook iedereen kennis moet krijgen van
gedetailleerde exploits en programma's om het lek te misbruiken.

Michael Lynn heeft naar mijn mening ook niet zo gehandeld.

Cisco was begin dit jaar al op de hoogte van het probleem en heeft in april
al een nieuwe versie van IOS uitgebracht die de bekende lekken zouden
moeten verhelpen. Wat Cisco gaf echter niet aan hoe kritiek de lekken
waren en bracht het als een normale update zonder details ipv een kritieke
update. Cisco wilde liever zijn standpunt naar buiten blijven brengen dat
IOS onkraakbaar was.

Lynn wist dat slechts een deel van IOS was gepatched en dat door de
diefstal van de 800 MB bron code bij Cisco er snel meer lekken gevonden
zouden worden. Hij wilde met zijn presentatie bereiken dat de beheerders
snel naar de laatste versie van IOS zouden updaten.

Dat Lynn niet de bedoeling had om de lekken gedetailleerd bekend te
maken mag blijken uit de
[url=http://www.viruswatch.nl/holygrail/bh05/index.htm]foto's van Lynn's
presentatie[/url] op Blackhat 2005 waarop duidelijk te zien is hoe delen van
code op de dia's onleesbaar zijn gemaakt.

Dat de originele ongecensureerde
[url=http://www.viruswatch.nl/holygrail/index.htm]presentatie[/url] vrijdag
middag beschikbaar kwam op internet heeft Cisco dan ook aan zichzelf te
danken. Als ze in april hun klanten al hadden voorgelicht was dit nooit zo
gebeurd. Door de klokkenluider de mond te snoeren hebben ze zich de
woede op de hals gehaald van een groot deel van de security
gemeenschap.

Waarom hebben ze dat aan zichzelf te danken?

Het klinkt mij als iemand die uit is op publiciteit ten koste van anderen en
het probeert te rechtvaardigen met valse argumenten.

Er zijn inderdaad verschillen tussen de foto's van de eigenlijke presentatie
en de 'ongecensureerde' pdf-versie, niet in het minst dat deze laatste
tegen een ISS-achtergrond staat. Deze 'ISS-versie' zal dan wel deze zijn
waarmee oorspronkelijk ISS zélf Lynn naar de Black Hat Conference wou
sturen. Hoe die versie op het Internet gekomen is is ook mij een raadsel,
maar gezien de chronologie van een en ander zou men kunnen
vermoeden dat Lynn hier het slachtoffer dreigt te worden van een
machinatie van ISS/Cisco/ NSA signatuur. Ik wil hier niet bijdragen aan
onbewezen complottheoriën, maar toch... om alles te herleiden tot
publiciteitshonger vanwege Lynn lijkt me wat al te gemakkelijk. Misschien
is hij gewoon een naïeve idealist? Op zijn vakterrein lijkt het toch geen
idioot te zijn.

De stelling hier mag dan wel geïnspireerd zijn door het Lynn/ISS/Cisco-
conflikt, -ze zou dat evengoed door andere soortgelijke gebeurtenissen
kunnen zijn-, ze raakt wel (andermaal) aan een zeer complex probleem
waarbij ekonomische, ethische, juridische en veiligheidsoverwegingen
(om maar de m.i. belangrijkste op te sommen) in het spel zijn. Deze
harmonisch op mekaar afstemmen lijkt mij zoiets als het vellen van een
salomonsoordeel.


Ik ben het met de stelling eens zoals ik het eens ben met de
basisprincipes van de moderne democratie. Van alle stelsels lijkt de
democratie mij nog het beste, ondanks al zijn onvolmaaktheden en het
inherente zelfvernietigingsrisico.
Zo verkies ik ook vrij verkeer van informatie -wat ook vrije toegang
impliceert- boven geheimhouding, zelfs met het risico van misbruik.
De ethische aspecten m.b.t. het algemeen belang hebben m.i. voorrang
op bedrijfsethiek. Er bestaan dan wel intentieverklaringen van bedrijven,
bedijvenassociaties en overheden, maar wie de vertaling daarvan in
reglementen, interne richtlijnen en wetten leest...

Perfectie is niet van deze wereld en wie kwaad in de geest heeft vindt altijd
wel een wapen om iemand te treffen. De aard van het beestje? Inderdaad.

Patrick.
06-08-2005, 15:09 door Nabulafia
Door Anoniem
Door assati
hou formateer ik windows xp,ik bedoel C leeg maken en op nieuw
instaleren graag een duidelik uitleg aub
Laat je computer opstarten vanaf de Windows cd-rom. Tijdens de setup
krijg je de mogelijkheid te formatteren.

Juist, Anoniem, maar werkt -bij mijn ervaring- niet altijd.
In dat geval eerst opstarten met WinME-cd, de partitie waarop het huidige
systeem staat formateren, ME installeren, dan upgraden naar XP. En
inderdaad, help en instructies bij elke stap 'on board'.
Reden lijkt te zijn dat de XP-installatie-cd de bestaand versie op schijf
samen met de updates als een hogere versie beschouwt en a.h.w. niet
wil 'downgraden'. Een andere verklaring heb ik niet.

Assati,
Dit lijkt mij niet de juiste plaats om dergelijke vragen te
stellen/beantwoorden, andere usersites én de site van MS zélf beter
geschikt.
Mijn mail : [email]onderkoning@hotmail.com[/email]
;-)
Patrick
07-08-2005, 20:29 door Anoniem
NIEMAND heeft, vanzelfsprekend, deze RECHTEN.

Je MOET als Security Expert tegen je aan laten schoppen en
de kans lopen ontslagen te worden om de simpele reden dat
een bedrijf (Cisco) traag is met het op orde brengen van
hun software.

Kunnen ontslagen Sec. Exp. bij Cisco aankloppen voor
inkomstenverlies omdat zij in het verleden het lek in het
netwerk niet konden vinden? Dit alles omdat Cisco dit zo
bepaald heeft ?

Lekker blijven gissen naar een oplossing, O wat is de ICT
toch DUUR.....
Dit alles is mogelijk door een arrogante fabrikanten
cultuur! (deze mening komt van het Amerikaanse CIA!)
08-08-2005, 18:26 door Nabulafia
Door Anoniem
(deze mening komt van het Amerikaanse CIA!)
Bron graag?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.