Poll
image

Wie moeten hackers als eerste over een lek inlichten?

maandag 16 augustus 2010, 12:06 door Redactie, 15 reacties
Het publiek (full-disclosure)
17.71%
Derde partijen die voor lekken betalen
8.18%
Leverancier (responsible disclosure)
74.11%
Reacties (15)
16-08-2010, 12:46 door jopiter
Ik ben benieuwd waarom sommigen vinden dat 'het publiek' als eerste op de hoogte gesteld moet worden. Tussen 'het publiek' zitten immers ook cybercriminelen die de informatie zullen gebruiken t.b.v. nieuwe malware. Indien bedrijven eerst worden ingelicht, en hun verantwoordelijkheid nemen, dan kan je de tijd tussen disclosure en het uitbrengen van patches om de zwakheden te verhelpen tot een minimum beperken. Enige reden om het publiek eerder in te lichten dan de leverancier lijkt mij niet aanwezig ?
16-08-2010, 13:09 door Anoniem
@12:46 jopiter: Je geeft zelf al antwoord op je vraag: "als bedrijven hun verantwoordelijkheid nemen". Sommige bedrijven menen redenen te hebben om kwetsbaarheden niet te patchen. Of degene waaraan deze gemeld worden snappen de ernst van de kwetsbaarheid niet.
16-08-2010, 14:02 door Anoniem
@13:09 A. N. Oniem. Dat houdt dan nog steeds in dat je die bedrijven toch als eerste hebt ingelicht. Wanneer ze dan inderdaad niet reageren zou je ervoor kunnen kiezen om het openbaar te maken.

Het punt in deze blijft echter dat deze melding aan dovemansoren gericht is ( behalve dan voor degenen die er kwaads mee in de zin hebben), of bezoekers van website zoals deze die er dan voor kunnen kiezen om het bewuste stukje software te verwijderen :)
16-08-2010, 14:35 door Spiff has left the building
Om verwarring te voorkomen -
De vraag was:
"Wie moeten hackers als eerste over een lek inlichten?"

Jopiter schreef:
Ik ben benieuwd waarom sommigen vinden dat 'het publiek' als eerste op de hoogte gesteld moet worden.
Anoniem reageerde om 13.09 uur:
Sommige bedrijven menen redenen te hebben om kwetsbaarheden niet te patchen.
Wanneer een bedrijf niet zijn verantwoordelijkheid neemt nadat het is ingelicht over een lek, dan kan daarna besloten worden tot het eventueel alsnog overgaan tot full-disclosure. (Wat ook Anomiem 14.02 aangaf.)

Het antwoord op de vraag "Wie moeten hackers als eerste over een lek inlichten?" blijft daarmee:
Als eerste de leverancier (responsible disclosure). Eventueel gevolgd door full-disclosure, wanneer de leverancier niet zijn verantwoordelijkheid neemt.
Een andere aanpak is vrij hufterig.
16-08-2010, 20:51 door Anoniem
Wie moeten hackers als eerste over een lek inlichten?

* Leverancier (responsible disclosure) (75%)
* Het publiek (full-disclosure) (13%)
* Derde partijen die voor lekken betalen (10%)

Weer een aantal procent verdwenen...
17-08-2010, 13:36 door Anoniem
Eerst bij de leverancier, na een ruime tijd pas gaan voor full-disclosure!
17-08-2010, 16:59 door SirDice
Door jopiter: Ik ben benieuwd waarom sommigen vinden dat 'het publiek' als eerste op de hoogte gesteld moet worden. Tussen 'het publiek' zitten immers ook cybercriminelen die de informatie zullen gebruiken t.b.v. nieuwe malware.
Daarbij ga je er vanuit dat de cybercriminelen deze informatie niet hebben. Wat niet het geval hoeft te zijn. Wellicht is het onder het gilde malware makers al veel langer bekend?

Persoonlijk vind ik dat een bug best openbaar gemaakt mag worden zodra het gevonden is. Gelijke monniken, gelijke kappen. Iedereen, gebruikers, fabrikanten, beveiligers en criminelen zijn dan op de hoogte.
17-08-2010, 17:25 door Anoniem
Meneer Dobbelsteen (SirDice), met het uitbrengen van een full-disclosure kan het dus heel goed zijn dat jij wordt aangeklaagd voor de gevolgen ervan. Bij bijvoorbeeld Bol.com is een lange tijd een XSS en SQL-lek geweest. Had je dit in een full-disclosure gedaan, dan had Bol enorm veel schade kunnen lijden..
18-08-2010, 10:15 door Anoniem
"@12:46 jopiter: Je geeft zelf al antwoord op je vraag: "als bedrijven hun verantwoordelijkheid nemen". Sommige bedrijven menen redenen te hebben om kwetsbaarheden niet te patchen. Of degene waaraan deze gemeld worden snappen de ernst van de kwetsbaarheid niet."

Jouw argumenten zijn per definitie niet van toepassing indien je het bedrijf niet als eerste inlicht. Hoe moet een bedrijf verantwoordelijkheid nemen indien ze -niet- op de hoogte worden gesteld.

"Persoonlijk vind ik dat een bug best openbaar gemaakt mag worden zodra het gevonden is. Gelijke monniken, gelijke kappen. Iedereen, gebruikers, fabrikanten, beveiligers en criminelen zijn dan op de hoogte. "

Je wilt dus de tijd tussen disclosure en patching langer maken, en het risico daarmee groter ? Indien een bug wel al bekend is bij criminelen, dan lijkt het mij eveneens van belang om zo snel mogelijk te patchen, en dus als eerste de fabrikant in te lichten. Indien deze zijn verantwoordelijkheid niet neemt, dan kan je daarna met full disclosure komen.
18-08-2010, 15:13 door SirDice
Door Anoniem: Meneer Dobbelsteen (SirDice), met het uitbrengen van een full-disclosure kan het dus heel goed zijn dat jij wordt aangeklaagd voor de gevolgen ervan. Bij bijvoorbeeld Bol.com is een lange tijd een XSS en SQL-lek geweest. Had je dit in een full-disclosure gedaan, dan had Bol enorm veel schade kunnen lijden..
Dan moeten ze me wel eerst vinden. Er zijn mogelijkheden genoeg om dat anoniem te doen. En om heel eerlijk te zijn vind ik een lekke web applicatie niet zo heel spannend. Het gaat mij meer om bugs in bijv. Windows, OS-X etc.
18-08-2010, 15:22 door SirDice
Door Anoniem: "Persoonlijk vind ik dat een bug best openbaar gemaakt mag worden zodra het gevonden is. Gelijke monniken, gelijke kappen. Iedereen, gebruikers, fabrikanten, beveiligers en criminelen zijn dan op de hoogte. "

Je wilt dus de tijd tussen disclosure en patching langer maken, en het risico daarmee groter ? Indien een bug wel al bekend is bij criminelen, dan lijkt het mij eveneens van belang om zo snel mogelijk te patchen, en dus als eerste de fabrikant in te lichten. Indien deze zijn verantwoordelijkheid niet neemt, dan kan je daarna met full disclosure komen.

Ok. Stel je vindt een bug. Je meldt het bij de fabrikant. Die gaat dat (hopelijk) oplossen. In de tijd dat jij het meldt bij de leverancier en dat deze met een patch komt zijn anderen niet op de hoogte. Deze lopen dus risico's zonder dat zij van die risico's op de hoogte zijn. Waarom gaat iedereen er vanuit dat criminelen deze bug niet allang gevonden zouden hebben?

Als iedereen tegelijkertijd op de hoogte wordt gebracht kan iedereen voor zichzelf bepalen wat het risico is. Misschien, omdat je de details van de bug weet, kun je wat instellingen veranderen waardoor je minder of zelfs helemaal niet meer vatbaar bent.

Bij "responsible" disclosure moet de rest van de wereld maar wachten op een patch voor iets waarvan ze niet eens op de hoogte zijn dat het stuk was.
18-08-2010, 16:55 door [Account Verwijderd]
[Verwijderd]
18-08-2010, 20:02 door [Account Verwijderd]
[Verwijderd]
18-08-2010, 20:53 door Anoniem
Nou van mij mag soweiso de lek altijd publiekelijk bekend worden gemaakt.
Want je moet ook kijken hoe zo iets in de praktijk uit pakt.
Als er een wet is die zegt dat dit niet altijd mag zal de lek niet aan de hoogste bieder worden aangeboden en dat heeft als gevolg dat hackers die het voor het geld doen niet zo hun best doen als hackers om bv. politieke redenen.
25-08-2010, 17:15 door Anoniem
Door Anoniem: Wie moeten hackers als eerste over een lek inlichten?

* Leverancier (responsible disclosure) (75%)
* Het publiek (full-disclosure) (13%)
* Derde partijen die voor lekken betalen (10%)

Weer een aantal procent verdwenen...

Twee om precies te zijn. Het lukt me niet om dit met afrondingsfouten te verklaren (75,49 + 13,49 + 10,49 = 99,47 en da's afgerond 99 in plaats van 100). Wordt een integerdeling gebruikt die altijd naar beneden afkapt? Zou floating point hier geen toegevoegde waarde hebben?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.