image

"Niet patchen browser is vorm van uitlokking"

donderdag 3 juli 2008, 10:52 door Redactie, 16 reacties

Wie met een ongepatchte browser surft maakt zich in de toekomst strafbaar aan nalatigheid, uitlokking, medeplichtigheid en aanzetting tot cybercrime, zo voorspelt een beveiligingsonderzoeker. Gunter Ollmann was een van de onderzoekers die aan het "“Understanding the Web browser threat" rapport meewerkte. Uit dat rapport kwam naar voren dat 637 miljoen mensen met een onveilige browser surfen. Met name gebruikers van Internet Explorer beschikken in meer dan de helft van de gevallen niet over de laatste versie.

Critici waren het niet met de cijfers eens, aangezien Microsoft IE6 nog altijd ondersteunt, maar dat dit in het rapport als een onveilige browser werd bestempeld. Ollmann laat weten dat de softwaregigant IE7 als haar veiligste browser beschouwt en dat de dreigingen waar gebruikers aan zijn blootgesteld, zijn veranderd. IE7 beschikt over beveiligingsmaatregelen die niet in de oudere browsers aanwezig zijn. Alleen het patchen is vandaag de dag niet meer voldoende.

De onderzoeker vergelijkt het gebruik van browsers met auto's. Auto's van dertig jaar geleden beschikten destijds over de nieuwste technologie. Maar de standaarden voor rijveiligheid zijn veranderd, rijgedrag is veranderd en ook de bescherming van de auto is veranderd. Remmen die in 1970 goed genoeg waren, kunnen er nu voor zorgen dat de bestuurder tegen een andere auto botst. Dezelfde ontwikkeling hebben browser en internetgebruikers doorgemaakt, aldus Ollmann.

Verantwoordelijkheid

De onderzoeker stelt zichzelf de vraag hoe verantwoordelijk gebruikers van een lekke browser voor hun eigen acties zijn? "Als je weet dat je browser achterloopt en je computer raakt besmet en onderdeel van een botnet dat bij misdrijven wordt gebruikt, is het dan echt jouw fout?" Het antwoord op de vraag laat hij liever aan een advocaat over, maar hij merkt op dat computercriminaliteitswetgeving steeds in ontwikkeling is. "Het zou mij niet verbazen als over een paar jaar het niet patchen van je browser als nalatigheid, uitlokking, medeplichtigheid en aanzetting tot cybercrime wordt beschouwd."

Reacties (16)
03-07-2008, 11:06 door Anoniem
Het niet afsluiten van je huis is al decennia een probleem.
Toch is er geen jurist die roept dat dat als uitlokking van
diefstal bestraft zou moeten worden. Ik zou dan ook niet
weten waarom uitlokking van cybercrime ineens wel strafbaar
zou moeten worden.

Arnoud
03-07-2008, 11:10 door Anoniem
Klinkt allemaal leuk, maar denkt er nou echt iemand dat een rechter mijn opa,
die net weet hoe hij zijn computer aanzet, en een mailtje verstuurt, erop aan
zal spreken wanneer zijn browser niet gepatched is ? Hij weet niet eens wat
er met een "patch" of "update" wordt bedoeld.
03-07-2008, 11:12 door Merkonu
Wie met een ongepatchte browser surft maakt zich in de toekomst
strafbaar aan nalatigheid, uitlokking, medeplichtigheid en aanzetting tot
cybercrime, zo voorspelt een beveiligingsonderzoeker.

En net als het per ongeluk inloggen op een vreemd draadloos netwerk zal
men dit dan ook wel snel als een terroristische daad gaan zien in Amerika en
Engeland.De vraag blijft gelijk aan de wetgeving in de meeste landen: iedere
inwoner dient de wet te kennen.....we zijn dus eigenlijk allemaal
rechtsgeleerden en straks dus ook ict-ers !?

Het is dus de omgekeerde wereld,als je niet snel genoeg je pc weet te
patchen tegen digi-tuig dan ben je zelf een crimineel....?En gek genoeg denk
ik dat net als remote afsluiten van je pc het er waarschijnlijk wel van zal
komen.Totale controle is wat men schijnbaar wenst!
03-07-2008, 12:25 door Anoniem
Nou, ik zie er wel voordelen in, dames met (nog net niet) te korte rokjes zijn
zelf schuldig aan uitlokking. Types die niet snel genoeg optrekken bij groen
licht krijgen even een bull-bar in de koffer en zijn zelf schuldig aan
uitlokking. "Meneer, u weet toch dat u bij groen licht weg MOET rijden?"

Ik zie het wel zitten ;-)
03-07-2008, 13:01 door Anoniem
Is het installeren van een patch, die achteraf gezien een nieuwe vulnerability
veroorzaakt, dan eveneens strafbaar ? En wat te denken van een patch die
een conflict oplevert met bestaande software op het systeem ?

Wij testen iedere patch op het werk grondig alvorens deze (al dan niet)
wordt geinstalleerd op alle systemen. Met het verplicht patchen van de
browser kan je dit soort compatibiliteitsproblemen niet omzeilen.

Stelt de leverancier zich bij voorbaat soms garant voor schade welke volgt uit
het blindelings installeren van een patch ?
03-07-2008, 14:05 door Anoniem
Laten we het eens omdraaien... vendors zijn financieel en
wettelijk verantwoordelijk voor de lekken in hun software.
Volgens mij doet dat veel meer voor de veiligheid van
computernetwerken dan eindgebruikers verantwoordelijk
stellen voor iets waar ze geen verstand van hebben en ook
niet van willen of kunnen hebben.

Bovendien verheffen we software engineeren dan van zomaar
een knutselwerkje in elkaar flansen naar een serieuze
engineering discipline (zoiets als bruggen bouwen, zeg maar).
03-07-2008, 14:09 door Anoniem
Dit soort voorstellen zijn van de gekke.

Eerst worden consumenten verleid/gedwongen om gereleasede
software te gebruiken als ware het in een beta-test. Want,
zo gaat de redenering een volledige geteste software zou de
ontwikkeling ervan onbetaalbaar maken.

Nu wordt door een dergelijke opgelegde cultuur door
vendors/ontwikkelaars een verantwoordelijkheid gelegd bij de
gebruiker die daar m.i. niet hoort. Hoe kun je van een
doorsnee gebruiker nu verwachten dat z/hij alert is op
programmeerfouten die leiden tot vulnerabilities als
developers en vendors daar zelf bij voortduring de fout mee
ingaan.

De verantwoordelijk wordt daarmee om een onbehoorlijke
manier verschoven naar de consument. Wat zou de Europese
consumenten waakhond hiervan eigenlijk vinden?
03-07-2008, 15:06 door Anoniem
dus....als een 0 day exploit in de browser wordt ontdekt
waar nog geen patch voor bestaat, dan is iedereen opeens een
crimineel.....???

dat kan nog heel leuk worden jongens!
03-07-2008, 15:47 door wimbo
Door Anoniem
Laten we het eens omdraaien... vendors zijn financieel en
wettelijk verantwoordelijk voor de lekken in hun software.
Volgens mij doet dat veel meer voor de veiligheid van
computernetwerken dan eindgebruikers verantwoordelijk
stellen voor iets waar ze geen verstand van hebben en ook
niet van willen of kunnen hebben.

Bovendien verheffen we software engineeren dan van zomaar
een knutselwerkje in elkaar flansen naar een serieuze
engineering discipline (zoiets als bruggen bouwen, zeg
maar).
Hoeveel software zal er dan overblijven?
Alleen bedrijven met voldoende advocaten/capitaal e.d.
zullen overleven, want het zal een sport worden om fouten te
ontdekken en de maker daar voor aan te klagen.

Ik ben meer voor een (geautomatiseerd) quarantaine proces
bij een provider. Heb je een stoute PC, dan worden je
Internet rechten (tijdelijk) ingedamd.
Gezien de wereldwijdheid van het Internet is dat wel wat
lastig haalbaar :-)
03-07-2008, 16:05 door Anoniem
"Ik ben meer voor een (geautomatiseerd) quarantaine proces
bij een provider. Heb je een stoute PC, dan worden je
Internet rechten (tijdelijk) ingedamd."

En hoe wil je dan omgaan met computers waarop vanwege
compatibiliteitsproblemen bepaalde patches niet worden geinstalleerd,
danwel computers met afwijkende operating systems, of live cd's, waardoor
patches helemaal niet geinstalleerd kunnen worden ?

Een quarantainesysteem lijkt mij op zich geen probleem, maar wel met enige
controle voor de gebruiker, zodat je bijvoorbeeld bepaalde patches kan
negeren als je daar een goede reden voor mocht hebben.

De eerste provider die een bedrijfsnetwerk in quarantaine gooit omdat een
bepaalde patch niet wordt gebruikt vanwege problemen met interne
applicaties kan denk ik een forse schadeclaim verwachten.
03-07-2008, 16:16 door Anoniem
Gunter Ollmann werkt bij IBM. Lijkt mij voldoende uitleg.

(http://www.linkedin.com/in/gunterollmann)
03-07-2008, 17:01 door Skizmo
Niet patchen is een vorm van vrijheid. Het wordt eens tijd
dat dat stelletje 'onderzoekers' een andere baan gaan zoeken.
04-07-2008, 09:14 door Anoniem
Ja hoor, het is weer eens zover. Fabrikanten van software
mogen bagger leveren dat niet uitontwikkeld is en zo lek als
een mandje, en de gebruiker mag weer pleisters gaan plakken.
En is nu ook nog eens de boosdoener als ie niet hard genoeg
plakt.

Waarom komt er niet eens wetgeving die softwaremakers
aansprakelijk stelt voor de fouten die ze maken? Bij veel
andere producten is dit al lang het geval.
06-07-2008, 12:43 door Anoniem
Door Anoniem
Ja hoor, het is weer eens zover. Fabrikanten van software
mogen bagger leveren dat niet uitontwikkeld is en zo lek als
een mandje, en de gebruiker mag weer pleisters gaan plakken.
En is nu ook nog eens de boosdoener als ie niet hard genoeg
plakt.

Waarom komt er niet eens wetgeving die softwaremakers
aansprakelijk stelt voor de fouten die ze maken? Bij veel
andere producten is dit al lang het geval.
het eerste deel klink het schattig, maar is gewoon niet
haalbaar meer. met alle veranderingen in standaarden, de
omvang van software enzo, is het gewoon niet realistisch te
verwachten dat ontwikkelaars volledig lek vrije software
leveren. natuurlijk moeten ze hun best doen, maar je kan het
ook niet volledig bij hun neerleggen, dan krijgen we gewoon
geen software meer.
08-07-2008, 13:58 door mbb
Dus dan moeten we allemaal met die verdomde %#%@# tabs gaan surfen,
omdat alle nieuwe browsers die dingen hebben? Dacht 't niet!
Desnoods allemaal terug naar Netschaap 3 uit protest. :-D
05-09-2008, 01:46 door Anoniem
Ik heb zelden zo'n dom stukje gelezen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.