Expert: Melden van lekken is net als sex
Het melden van beveiligingslekken in software is nog steeds een probleem waar hackers en onderzoekers mee worstelen. In veel gevallen weigert de ontwikkelaar te erkennen dat er een probleem is of begrijpen ze het niet en verwachten ze dat een onderzoeker het gratis uitlegt. In andere gevallen adviseert de ontwikkelaar maar het aanschaffen van een applicatie firewall. Andere keren worden onderzoekers voor spionnen uitgemaakt.
Beveiligingsonderzoeker 'd2d' vergelijkt het met het waarschuwen van de buurman dat hij zijn autolichten heeft aan laten staan. De buurman reageert vervolgens met de vraag door wie hij gestuurd is, of het zijn ex-vrouw was en of hij met haar geslapen heeft. Sommige ontwikkelaars reageren wel adequaat. "Maar de meeste ontwikkelaars waar ik mee te maken heb gehad reageren helemaal niet zo. De meeste zijn nachtmerries."
"Al deze moeite heb ik doorstaan om dingen op 'verantwoorde' wijze te doen. In 90% van de gevallen waar ik dingen 'verantwoord; deed, hebben ze mij belachelijk veel tijd gekost, mijn organisatie geld, en ook de tijd van mijn vrienden en collega's, en hebben ze voor stress en frustratie gezorgd", gaat d2d verder. In zeventig procent van de op verantwoorde wijze gemelde lekken, is het probleem nooit opgelost. "Had ik de problemen op het internet gezet, dan was de kans dat de problemen in alle gevallen waren opgelost, zonder alle frustraties."
Onbeleefd
Volgens Robert Graham is het melden van lekken helemaal niet vriendelijk, maar onbeleefd. "Het is meer als het schrijven van 'was mij' op een vieze auto. Jouw standaard van wat schoon is, kan verschillen met die van de buurman. Als je daarop wijst krijg je altijd een vijandige reactie." Graham vindt dat beveiligingsonderzoekers een verkeerd beeld van de werkelijkheid hebben. "Ze vertellen dat je haar niet goed zit en verwachten dan dat je ze bedankt en direct naar de kapper gaat om het op te lossen."
De reden dat het melden van lekken onbeleefd is, komt omdat beveiligingsproblemen de meeste mensen niets kan schelen, aldus Graham. "Het gaat dan niet alleen om de aanbieder, maar ook om de klant. Natuurlijk maakt de klant zich druk als een lek een probleem veroorzaakt, maar in de meeste gevallen veroorzaken lekken geen problemen." Security is volgens hem een afweging. "Als een klein bedrijf een lek patcht, brengt dat hoge kosten met zich mee." Het betekent het fixen van iets waar hun klanten niet wakker van liggen en niet voor willen betalen, wat ten koste gaat van nieuwe features waar klanten wel voor willen betalen. Als een onderzoeker een lek meldt, dan wordt het opeens wel een probleem en wordt de ontwikkelaar tot een afweging gedwongen waar zowel hij als de klant niet op zit te wachten.
Toch gaat het betoog van Graham niet helemaal op. Zo zegt hij dat door het melden van lekken tien jaar geleden allerlei wormen voorkwamen, maar dat aanbieders nu veiligere producten aanbieden die minder kwetsbaar voor wormen zijn. Daarbij lijkt hij de uitbraak van de Conficker worm te vergeten.
Sex
Als laatste doet beveiligingsexpert David Maynor nog een duit in het zakje: "Hoe meer mensen betrokken raken, des te groter de kans dat het verkeerd gaat. Het melden van lekken is net als sex: het zou tussen twee personen moeten zijn, maximaal drie. Meer deelnemers resulteert in een grote puinhoop van gekwetste gevoelens, gekneusde ego's, geheimhoudingsovereenkomsten en een raar gevoel in je maag elke keer dat het genoemd wordt."
De man stopt zijn penis in de dvd speler of laat de ventilator tegen zijn genotskogel draaien/tikken?
Ja, daar heb je een punt.
Maar, als een Beveiligingsonderzoeker het lek kan ontdekken, dan kan een hacker dit ook. En er vervolgens gevoelige informatie mee ontfrustelen. (waar het uiteindelijk allemaal om te doen is...)
Het zou interessant worden, als bijv. de overheid een loket had waar de onderzoeker het zou kunnen melden. Dan moet er natuurlijk ook een wet zijn, waarin staat hoe lang de vendor erover mag doen om hier iets aan te doen, afhankelijkheid van de ernst van het lek, etc. Dan kan de onderzoeker z'n melding ongehinderd melden, en de vendor weet waar hij aan toe is.
Probleem is natuurlijk, dat het nooit één enkel land kan zijn die dit regelt. Het moet dan internationale wetgeving zijn, en dat gebeurt niet voordat er wel heel ernstige problemen ontstaan. Anders willen al die landen niet samenwerken.
Vanzelfsprekend heb je dan nog het verschil tussen verschillende types software licenses en types ontwikkelaars. En vanzelfsprekend gaan grote bedrijven dit ook gebruiken om politieke invloed te krijgen. De vraag is of het dan uiteindelijk allemaal helpt.
Iemand anders nog suggesties...
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
