image

"Onverantwoordelijke onderzoekers zijn egotrippers"

vrijdag 5 januari 2007, 11:36 door Redactie, 12 reacties

De huidige maand van de Apple lekken en voorgaande "bug campagnes" hebben de security gemeenschap ernstig verdeeld. Volgens sommige onderzoekers tast deze manier van full-disclosure de geloofwaardigheid van onderzoekers aan, omdat vendors ze niet meer serieus nemen. Daarbij snijden ze ook zichzelf in de vingers. Kon er vroeger nog gezegd worden dat vendors onveilige software uitbrachten, nu is het verhaal dat onderzoekers zich onverantwoord gedragen, wat dus de vendors ten goede komt.

LMH, de anonieme onderzoeker die de maand van de Apple lekken leidt, is niet onder de indruk van alle kritiek. Volgens de onderzoeker is er een duidelijk lijn te trekken tussen de mensen die voorstander van 'responsible disclosure' zijn en er geld mee verdienen, en de mensen die hier ver boven staan en zich niet met de zakelijke kant bezighouden.

"Responsible disclosure werkt niet, mensen doen toch wat ze willen. Het bekend maken van zero-day bugs komt de internetter niet ten goede. Dit soort initiatieven draaien eigenlijk alleen om het ego van de onderzoeker" aldus Burton Group analist Pete Lindstrom.

Meer reacties van onderzoekers zijn in dit en dit artikel te vinden.

Reacties (12)
05-01-2007, 12:13 door Anoniem
IMHO is dit het logisch gevolg van de ontwikkelingen in de
security wereld.

Waar een paar jaar geleden de tijd tussen ontdekking van
een vulnerability en de exploit enkele maanden was, is dit
nu terguggebracht tot enkele dagen.

Het is denk ik een gezonde ontwikkeling dat er op
verschillende manieren gezocht wordt om dit probleem te
benaderen.

Helaas kunnen vendors dit tempo niet bijhouden, met als
gevolg known vulnerabilities en tussentijdse security updates.

Het is dus misschien helemaal niet zo slecht dat de vendors
het mes op de keel krijgen van onderzoekers.
05-01-2007, 12:23 door Anoniem
Dat vind ik nou ook! Ze zijn ook meestal direct over de zeik als ze geen
credits krijgen...dus maar meteen online gooien die vulnerabilities en je
hebt weer 2 minutes of fame. Echt zwak.
05-01-2007, 14:52 door Anoniem
Software is *niet* anders dan andere producten; fouten maken
komt vnl. door een hoog knip- plak - en luiheidsgehalte bij
de programmeurs. Als er in je worst moertjes, veren of
tepels zitten dan blaat je het ook van de daken.

Met andere woorden: uitbrengen die lekken +
misbruiksoftware...en de zweep over de bedrijven die door
blijven kneuzen!
05-01-2007, 15:43 door G-Force
Heb ik ook eens van wetenschappers horen zeggen:

Wetenschappers zijn hypocrieten, zonder geloof die
slechts eer en genoegens nastreven


Ik denk dat er veel waarheid in deze stelling zit.
05-01-2007, 17:21 door LaFolie
"The reasonable man adapts himself to the world.
The unreasonable one persists in trying to adapt the World
to himself.
Therefore all progress depends on the unreasonable man."
;)
06-01-2007, 09:58 door Anoniem
http://www.filosofie.nl zeg ik heren..

Software moet gewoon veilig zijn net als je auto. Klaar. Niet zo zielig doen
06-01-2007, 20:53 door Anonl3m
Software moet gewoon veilig zijn net als je auto.
Klaar. Niet zo zielig doen
Hoewel is de stelling wel interessant vind, is er volgens mij
een subtiel verschil tussen auto's en software. Auto's zijn
veilig voor situaties waar ontwerpers over hebben nagedacht.
En voor onbekende situaties hebben zij uniforme
tegenmaatregelen genomen. Zoals stalen balken, airbags en
zachte dashboards. Deze tegenmaatregelen zullen niet altijd
optimaal zijn, maar de schade wordt erdoor beperkt - ook wat
waard als je leven hiermee gered is, ook al kom je in een
rolstoel.
Software zit anders in elkaar, werkt volgens andere
principes, whatever. Voor de bekende fouten of problemen
worden tegenmaatregelen genomen, maar er zijn
(ontwikkelaars/programmeurs opgelet!) geen tegenmaatregelen
te nemen voor onbekende situaties, ofwel voor fouten in de
software die op het moment van uitbrengen nog niet bekend
zijn. Tenzij ik er naast zit natuurlijk. Wel kunnen op
hardware of OS niveau tegenmaatregelen worden genomen (DRM),
en hoewel die (uiteraard) ook softwarematig van aard zijn is
dit niet wat ik bedoel. Want deze tegenmaatregelen lijken -
volgens de analogie hierboven - meer op matrassen tegen de
vangrail dan op ingebouwde zaken als airbags en
veiligheidsgordels.
07-01-2007, 17:24 door Bitwiper
Door Anonl3m op 06 januari 2007 20:53
Door Anoniem op 06 januari 2007 09:58
Software moet gewoon veilig zijn net als je auto.
Software zit anders in elkaar, werkt volgens andere principes, whatever.
Is dat echt zo? Het analyseren van botsproeven en zeker het simuleren daarvan is ook heus geen peuleschil. Het verschil is dat de markt eist dat auto's veiliger worden en kennelijk bereid is daarvoor te betalen. Waarom geldt dit niet voor software, stemcomputers en eenvoudig te kopieeren giropassen?

Wat een rol zou kunnen spelen is dat iedereen zich wel TV-beelden kan herinneren van uitgebrande auto's die in de mist op elkaar zijn geklapt en zich realiseert dat men daar zelf in had kunnen zitten. En als ons kroost naar school gaat maken we ons serieus zorgen over hun fietstocht. Maar als je gaat pinnen is er niemand die je gemeend toeroept "kijk uit dat ze je pas niet kopieeren!". En zodra ik de firewall heb aangezet en een virusscanner heb geinstalleerd, houden de irritante MS popups op en is mijn computer "veilig" (alsof zo'n setup verse malware tegenhoudt). Hoewel virussen, phishing en bankpasfraude ook wel eens het nieuws halen hebben we kennelijk veel minder het gevoel dat het onszelf zal treffen, en zo ja, dan is er vast wel een vangnet (en een security.nl lezer die de PC helpt schoonmaken). Oftewel er is nauwelijks enig financieel risico en voor onze ledematen hoeven we al helemaal niet te vrezen.

Een ander punt zou kunnen zijn dat we het niet zo erg vinden om bij de aanschaf exta voor een veilige auto te betalen, maar wel dat we vaak een hekel hebben aan dagelijkse ergernissen zoals autogordels en valhelmen; computer security is bijna altijd omgekeerd evenredig met gebruiksgemak (waarom moet er zonodig een PDF plugin in webbrowsers zitten? Wat heeft het -eveneens cross-platform- securitygat Flash met open web standaarden als html en javascript te maken?)

Voor de bekende fouten of problemen worden tegenmaatregelen genomen, maar er zijn (ontwikkelaars/programmeurs opgelet!) geen tegenmaatregelen te nemen voor onbekende situaties, ofwel voor fouten in de software die op het moment van uitbrengen nog niet bekend zijn.
Oneens. Software wordt nog steeds op dezelfde manier gemaakt als auto's 25 jaar geleden: ontwerpen en testen gaat niet verder dan zorgen dat je ermee van A naar B kunt komen. Anticiperen op onverwachte situaties (o.a. grondige input validation) en verdergaande tests, vergelijkbaar met botsproeven (penetration tests en bufferoverflows forceren door random/onverwachte data in netwerkpakketjes en gemanipuleerde PDF's, Office files en plaatjes aanbieden), gebeuren niet of nauwelijks omdat de softwareindustrie er geen geld voor over heeft, en dichttimmeren tot compatibiliteitsproblemen kan leiden met bestanden die gemaakt zijn met oudere, minder accurate software, en/of software van de concurrent. Bovendien wordt de code er door allerlei checks niet overzichtelijker op en die extra code kan natuurlijk ook weer fouten bevatten (security fouten, maar ook fouten die kunnen optreden bij de verwerking van legitieme documenten).

Full-disclosure laat het topje van de ijsberg zien. Het barst van de lekken die door amateurs thuis gevonden (kunnen) worden, maar ook door mensen die helemaal geen disclosure willen (en hun ontdekkingen te gelde maken). Er is 1 probleem: het lijkt de markt geen ruk te interesseren. In de praktijk stapt bijna niemand over op Linux/BSD etc. omdat dit (discutabel) veiliger zou zijn (eerder als men een hekel heeft aan Microsoft); de rest blijft Windows gebruiken omdat iedereen dat doet, de meeste hardware ermee compatible is, en iedereen (waaronder scholen) ervan uit gaat dat je Word, Excel en Powerpoint op je PC hebt.

Auto's worden regelmatig APK-gekeurd, verkeersdrempels schieten als paddestoelen uit de grond, er komen waarschijnlijk kamervragen over verdwenen toegangspasjes bij ministeries, op Schiphol word je nog net niet helemaal uitgekleed; maar "veilig" gemaakte stemcomputers (met een beetje aluminiumfolie) en Emmentaler software op PC's van comsumenten, overheid en bedrijfsleven slikken we als zoete koek.

Edit 17:27: enkele harde returns verwijderd
07-01-2007, 19:21 door Anoniem
Is dat echt zo? Het analyseren van botsproeven en zeker het
simuleren daarvan is ook heus geen peuleschil. Het verschil is dat de
markt eist dat auto's veiliger worden en kennelijk bereid is daarvoor te
betalen. Waarom geldt dit niet voor software, stemcomputers en
eenvoudig te kopieeren giropassen?

Ik denk dat dit komt omdat de software te duur wordt.En de security
software die geschreven wordt afhankelijk is wie er iets aan wilt
uitgeven.Het scale "security" tools dat voor de particuliere markt verkocht
word houd geen hacker buiten de deur en vind ik persoonlijk gewoon
bedrog en misleidend.Media die roept dat het zo perfecte tools zijn en voor
mensen die nergens van afweten.Weten totaal niet of het wel zo goed is en
blijven maar de rest volgen met de ilusie dat het wel ok is.

Om een mooi voorbeeld te geven eem een gemiddelde router
met "firewall" suport zou de ilusie moeten scheppen dat het
netwerk "beveiligd" zou zijn.Terwijl een beetje goeie beveiligde
router pas begint bij de 500e en dan stelt het nog niet veel voor.

En dan heb je nog een factor kennis voor mensen die bekent zijn security
materie weten precies wat te doen en wat wel of niet intestellen.Dit is
onbegonnen werk voor iemand die geen kennis van pc's heeft.
07-01-2007, 19:42 door SirDice
De eeuwige Full vs Responsible disclosure discussie.. Gebed zonder end..

Persoonlijk ben ik voor Full disclosure, dan heb ik tenminste genoeg informatie om mijn eigen maatregelen te nemen als de software leverancier in gebreken blijft.

De vergelijking auto's en software is op z'n minst geinig.. Er zijn allerhande wettelijke bepalingen waar een auto (en de bestuurder) aan moet voldoen, de eerder genoemde veiligheidstests, APK, rijbewijs etc..

Wel eens een willekeurige EULA gelezen (doet iemand dat uberhaubt)? Daarmee onttrekt de fabrikant zich van werkelijke alle verantwoordelijkheid en schade die zou kunnen ontstaan..
07-01-2007, 20:28 door Bitwiper
Door SirDice op 07 januari 2007 19:42
Wel eens een willekeurige EULA gelezen (doet iemand dat uberhaubt)?
Jazeker.
Daarmee onttrekt de fabrikant zich van werkelijke alle verantwoordelijkheid en schade die zou kunnen ontstaan..
Exact. En de markt accepteert dat. De overheid (Neelie in dit geval) treedt tot nu toe alleen op als concurrenten zich verongelijkt voelen; voor comsumentenbelangen op dit gebied komen overheden (en ook consumentenorganisaties trouwens) nauwelijks op.

Edit: kleine aanvulling
09-01-2007, 09:18 door Anoniem
Dit is echt heel erg kortzichtig gezien :') Bij een 0day moet je er van uit gaan
dat als jij hem kan vinden, iemand anders dat ook kan. Als iemand anders
een 0day vind en hem niet bekend maakt via full disclosure en ook niet
bekend maakt aan de vendor dan is het voor de "internetters" nog veel
gevaarlijker.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.