Archief - De topics van lang geleden

Microsoft moet onderzoekers betalen voor security lekken

08-03-2006, 17:09 door Redactie, 19 reacties

Bij het bekend worden van een lek in haar software roept Microsoft regelmatig dat security onderzoekers op een verantwoorde manier hiermee om moeten gaan. Wat de softwaregigant eigenlijk zegt is dat zij als eerste wil worden ingelicht, waarna de rest van het publiek pas na het verschijnen van een patch van de kwetsbaarheid mag weten.

Niet alleen zijn er onderzoekers die direct hun bevindingen bekend maken, zonder de aanbieder in kwestie in te lichten, het verkopen van lekken wordt ook steeds populairder. Nu kun je onderzoekers niet verwijten dat zij lekken vinden die door de ontwikkelaar zijn veroorzaakt.

Nu hebben onderzoekers natuurlijk ook hun eigen verantwoordelijkheid, de verleiding van het grote geld lonkt. Geld dat ook Microsoft kan bieden. Het bedrijf zegt al jaren dat de security van haar klanten de hoogste prioriteit heeft. Zou het dan niet zo moeten zijn dat men er alles voor over heeft om die klanten tegen onbekende security lekken te beschermen? Waarom heeft Microsoft geen geld over voor dit soort waardevolle informatie. Niet alleen bevordert dit verantwoordelijke "disclosure", het geeft Microsoft meteen de gelegenheid om actie te ondernemen. Onze stelling luidt derhalve: Microsoft moet onderzoekers betalen voor security lekken

Reacties (19)
08-03-2006, 17:47 door Anoniem
Onzin. Onderzoekers moeten het gewoon melden. En de meeste doen
dat ook gewoon.

What's next. Moet dadelijk ook de politie betalen voor elke "gouden
tip"?
08-03-2006, 19:24 door G-Force
Ik heb nog wel een aantal lekken gevonden in Outlook Express, alleen
Microsoft had er geen belangstelling voor. Hint: Outlook Express kan zo
geconfigureerd worden dat het geen uitvoerende bestanden via bijlages
kan utivoeren.....althans dat gelooft Microsoft. Ik heb een paar wegen
gevonden waardoor kwaadaardige codes alsnog kunnen worden
uitgevoerd, terwijl de computergebruiker denkt dat hij of zij veilig zit.

De lekken zitter er nog steeds in overigens en zijn dus nog steeds niet gepatched.
08-03-2006, 23:21 door Anoniem
Waarom niet eigenlijk? Levert alleen maar voordelen op.
09-03-2006, 04:51 door Anoniem
"Nu hebben onderzoekers natuurlijk ook hun eigen verantwoordelijkheid,
de verleiding van het grote geld lonkt. "

De tijd van security research vanuit ethische beweegredenen zijn al jaren
voorbij. Men kan niet stellen dat een onderzoeker een verantwoordelijkheid
draagt jegens een fabrikant. Sterker nog elke fabrikant heeft een
verantwoordelijkheid richting haar afnemers en derhalve zou elke
frabrikant wettelijk verplicht moeten worden om significante fouten waarop
ze gewezen worden te vergoeden ter grote van een percentage van de
schade die er mee voorkomen is.

Zou houd je alle partijen scherp en kun je er op aan dat elke fout in wat
voor product dan ook (fouten zitten niet alleen in software namelijk)
uiteindelijk bij de fabrikant bekend word gemaakt.
09-03-2006, 07:18 door Anoniem
Eens. MS ervoor kiest ervoor om lekke software in de markt
te zetten en bespaart daarmee ontwikkelkosten en 'time to
market'. Hierdoor kan MS dus meer winst maken en daar mogen
vinders van een lek best een financieel voordeel uit halen.
09-03-2006, 08:57 door pipo
Wil je als security specialist serieus genomen worden moet
je vooral geld gaan aannemen van belanghebbende partijen,
dan ben je voor mij het slijk der aarde.

Peter V. schijnt er overigens wel trek in te hebben ;-)
09-03-2006, 09:34 door Anoniem
Onderzoek kost tijd en moeite... een vergoeding voor die
tijd en moeite is helemaal niet onredelijk
09-03-2006, 10:33 door Anoniem
Ik denk dat je ook moet kijken naar wat de aard van de lek is en in welke
kritieke zone dit ligt. Een klein lek hoeft niet zo snel beloond te worden voor
ontdekking, maar een zeer kritiek lek, wat voor veel problemen kan zorgen,
mag dan wel beloond worden.
09-03-2006, 11:19 door Anoniem
Guns don't kill people... Bullets do. Corny maar wel waar. Lekken worden
niet door security onderzoekers GEMAAKT, ze worden slechts GEVONDEN
door security onderzoekers. Iedereen die zo naief is die denkt dat ALLEEN
security onderzoekers lekken kunnen vinden moet zich heel snel
verstoppen achter z'n Microsoft Keyboard. Microsoft heeft er echter baat bij
om GEEN lekken naar buiten te laten borrelen. Uit persoonlijke ervaringen
uit het verleden blijkt dat Billysoft vaak roept "kan niet, is onmogelijk,
prettige dag verder". Hoe kun je verwachten van een leverancier dat je dan
nog 'vriendelijk' om kunt gaan met die toko? Dat fixen van simpele, doch
kritische lekken wel 15 jaar duurt bij onze 'vrienden' uit Redmond zegt
eigenlijk genoeg. Het NIET publiceren van lekken brengt de gebruikers in
gevaar. Het is het tegenovergestelde. Het uitstellen van publicatie
veroorzaakt nu juist een security probleem. Zie het als die minister van
justitie.. Het is een PRIKKEL om van je luie reet af te komen en GOED te
programmeren.
09-03-2006, 12:45 door Anoniem
Guns don't kill people... Bullets do.

De uitspraak is: Gun's don't kill people, people kill people!

Mijn mening is dat er een nieuwe goede afspraak moet komen tussen
ontdekkers van bugs en de makers van de software. Want als Microsoft
zou moeten gaan betalen, moet de rest dan dat ook? Zie Linus Thorvald al
betalen voor elke bug in de kernel van Linux?

En ja, soms mag er wel wat betaald worden als beloning, maar het zou
niet het uitgangspunt mogen zijn.
09-03-2006, 15:32 door G-Force
Eens kijken of het gooien van een kogel even dodelijk is zonder wapen
gebruik, dan mét een wapen.

Ik vraag me dan af of ze nog steeds zouden beweren dat wapens geen
mensen doden...
09-03-2006, 16:06 door Anoniem
Misschien het oprichten van een foundation for safe software... Elke toko
gooit daar 10% van z'n omzet in.
09-03-2006, 16:08 door Anoniem
Door Peter V.
De lekken zitter er nog steeds in overigens en zijn dus nog
steeds niet gepatched.
Doe eens een melding bij US-CERT, FrSIRT of govcert. Of als
je het wat harder wil aanpakken via de full-disclosure list
van Secunia. Moet je eens merken wat een beetje officiele en
gerespecteerde druk bij Microsoft kan opleveren.
09-03-2006, 16:13 door Anoniem
Door Anoniem
What's next. Moet dadelijk ook de politie betalen voor elke
"gouden
tip"?

Niets onzin. Software fabrikanten hebben er zeer veel belang
bij dat hun producten waar ze flink geld aan verdienen
veilig zijn en ze hun klanten niet in gevaar brengen. Wie
een lek vind werkt mee aan ontwikkeling waar ze zelf aan
verdienen en heeft taken overgenomen die ze zelf hebben
nagelaten of hebben geblunderd.

Het is niet vergelijkbaar met betalen door politie voor
tips. De politie is geen organisatie waar het doel
winstmaken is voor eigen belang.
09-03-2006, 16:19 door Anoniem
Je hebt wel een aantal scenario's.

#1 Security vindt een bug, report aan vendor, vendor zegt "dank je wel" en
fixt probleem.
#2 Security vindt een bug, report aan vendor, vendor zegt "hahahaha,
grappig, don't call us, we'll call you" en doet vervolgens niets.
#3 Security vindt een bug, report aan vendor, vendor zegt "hahahaha,
grappig, en blijkt inderdaad 'niets spannends' te zijn. en doet vervolgens
niets
#4 Security vind een bug, report aan vendor, vendor zegt "dan je wel." en
doet vervolgens niets.

Ik zou toch zeggen bij regel 2 en 4 dat je wel wat 'pressie' mag gaan
uitvoeren... Laat ik zo zeggen, de meeste fabrikanten DOEN niets anders
dan 2 of 4... En wat heb je dan aan je 'vendor-friendly disclosure' ?
Helemaal nada.. noppes, niets... En de gebruikers blijven onbeschermd.
Maarja, volgens toko's als Microsoft is DAT veiliger... (voor hun overvolle
beurs waarschijnlijk).
11-03-2006, 23:07 door Anoniem
Door Anoniem
Je hebt wel een aantal scenario's.

#1 Security vindt een bug, report aan vendor, vendor zegt "dank je wel" en
fixt probleem.
#2 Security vindt een bug, report aan vendor, vendor zegt "hahahaha,
grappig, don't call us, we'll call you" en doet vervolgens niets.
#3 Security vindt een bug, report aan vendor, vendor zegt "hahahaha,
grappig, en blijkt inderdaad 'niets spannends' te zijn. en doet vervolgens
niets
#4 Security vind een bug, report aan vendor, vendor zegt "dan je wel." en
doet vervolgens niets.

Ik zou toch zeggen bij regel 2 en 4 dat je wel wat 'pressie' mag gaan
uitvoeren... Laat ik zo zeggen, de meeste fabrikanten DOEN niets anders
dan 2 of 4... En wat heb je dan aan je 'vendor-friendly disclosure' ?
Helemaal nada.. noppes, niets... En de gebruikers blijven onbeschermd.
Maarja, volgens toko's als Microsoft is DAT veiliger... (voor hun overvolle
beurs waarschijnlijk).

Niet mee eens. Check anders de statistieken maar eens voor dat je wat
blaat. TIP. Check http://www.eeye.com of http://www.securityfocus.com maar eens...

Microsoft neemt security steeds meer serieus en terecht, natuurlijk!
Kunnen bedrijven als Apple en Google nog een voorbeeld aan nemen.
I rest my case.
18-03-2006, 14:37 door raboof
Ik denk dat MS er verstandig aan zou doen zo'n beloning in
het leven te roepen, maar ze zijn het niemand verplicht.

Misschien het oprichten van een foundation for safe
software... Elke toko gooit daar 10% van z'n omzet in.

Dit soort ideeen klinken leuk, maar hebben in de praktijk
vaker wel dan niet een ongewenst effect. Zoals hier
bijvoorbeeld: als je als bedrijf zoveel mogelijk wil
terugzien van het geldt wat je in dat fonds moet laten
verdwijnen, dan maak je toch lekker lekke software?
20-03-2006, 16:52 door Anoniem
Het lijkt mij persoonlijk niet meer dan logisch dat je eerst
een producent inlicht over beveiligingsproblemen in software.
20-03-2006, 23:26 door Anoniem
whitehat, blackhat en tegenwoordig greyhat,whitehats met een
commerciële ethiek.....
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.