image

Expert: Melden van lekken is net als sex

donderdag 22 april 2010, 16:51 door Redactie, 8 reacties

Het melden van beveiligingslekken in software is nog steeds een probleem waar hackers en onderzoekers mee worstelen. In veel gevallen weigert de ontwikkelaar te erkennen dat er een probleem is of begrijpen ze het niet en verwachten ze dat een onderzoeker het gratis uitlegt. In andere gevallen adviseert de ontwikkelaar maar het aanschaffen van een applicatie firewall. Andere keren worden onderzoekers voor spionnen uitgemaakt.

Beveiligingsonderzoeker 'd2d' vergelijkt het met het waarschuwen van de buurman dat hij zijn autolichten heeft aan laten staan. De buurman reageert vervolgens met de vraag door wie hij gestuurd is, of het zijn ex-vrouw was en of hij met haar geslapen heeft. Sommige ontwikkelaars reageren wel adequaat. "Maar de meeste ontwikkelaars waar ik mee te maken heb gehad reageren helemaal niet zo. De meeste zijn nachtmerries."

"Al deze moeite heb ik doorstaan om dingen op 'verantwoorde' wijze te doen. In 90% van de gevallen waar ik dingen 'verantwoord; deed, hebben ze mij belachelijk veel tijd gekost, mijn organisatie geld, en ook de tijd van mijn vrienden en collega's, en hebben ze voor stress en frustratie gezorgd", gaat d2d verder. In zeventig procent van de op verantwoorde wijze gemelde lekken, is het probleem nooit opgelost. "Had ik de problemen op het internet gezet, dan was de kans dat de problemen in alle gevallen waren opgelost, zonder alle frustraties."

Onbeleefd
Volgens Robert Graham is het melden van lekken helemaal niet vriendelijk, maar onbeleefd. "Het is meer als het schrijven van 'was mij' op een vieze auto. Jouw standaard van wat schoon is, kan verschillen met die van de buurman. Als je daarop wijst krijg je altijd een vijandige reactie." Graham vindt dat beveiligingsonderzoekers een verkeerd beeld van de werkelijkheid hebben. "Ze vertellen dat je haar niet goed zit en verwachten dan dat je ze bedankt en direct naar de kapper gaat om het op te lossen."

De reden dat het melden van lekken onbeleefd is, komt omdat beveiligingsproblemen de meeste mensen niets kan schelen, aldus Graham. "Het gaat dan niet alleen om de aanbieder, maar ook om de klant. Natuurlijk maakt de klant zich druk als een lek een probleem veroorzaakt, maar in de meeste gevallen veroorzaken lekken geen problemen." Security is volgens hem een afweging. "Als een klein bedrijf een lek patcht, brengt dat hoge kosten met zich mee." Het betekent het fixen van iets waar hun klanten niet wakker van liggen en niet voor willen betalen, wat ten koste gaat van nieuwe features waar klanten wel voor willen betalen. Als een onderzoeker een lek meldt, dan wordt het opeens wel een probleem en wordt de ontwikkelaar tot een afweging gedwongen waar zowel hij als de klant niet op zit te wachten.

Toch gaat het betoog van Graham niet helemaal op. Zo zegt hij dat door het melden van lekken tien jaar geleden allerlei wormen voorkwamen, maar dat aanbieders nu veiligere producten aanbieden die minder kwetsbaar voor wormen zijn. Daarbij lijkt hij de uitbraak van de Conficker worm te vergeten.

Sex
Als laatste doet beveiligingsexpert David Maynor nog een duit in het zakje: "Hoe meer mensen betrokken raken, des te groter de kans dat het verkeerd gaat. Het melden van lekken is net als sex: het zou tussen twee personen moeten zijn, maximaal drie. Meer deelnemers resulteert in een grote puinhoop van gekwetste gevoelens, gekneusde ego's, geheimhoudingsovereenkomsten en een raar gevoel in je maag elke keer dat het genoemd wordt."

Reacties (8)
22-04-2010, 17:24 door Above
Het melden van lekken is net als sex: het zou tussen twee personen moeten zijn, maximaal drie.

De man stopt zijn penis in de dvd speler of laat de ventilator tegen zijn genotskogel draaien/tikken?
22-04-2010, 18:05 door Skizmo
Dit is het meest waardeloze artikel dat ik sinds tijden gelezen heb. Programmeurs die zich niet druk maken om lekken moet je keihard ontslaan.
22-04-2010, 18:45 door [Account Verwijderd]
[Verwijderd]
22-04-2010, 23:17 door monica8
Het artikel geeft goed weer waar goede wil met kennis gebrek en commercie botst. Het zal nog moeilijk worden om verbeteringen verplicht te stellen, wellicht dat de overheid dat voor zichzelf kan reguleren maar voor de vrije markt zal het moeilijk blijven. Als de overheid het voor de markt wil reguleren dan krijgen we een volksopstand vanwege creatieve vrijheid en dergelijke. Het is eigenlijk te gek voor woorden als je bedenkt dat zolang fouten niet bekend zijn er geen haan naar kraait.
22-04-2010, 23:29 door MrTre
Door monica8: Het is eigenlijk te gek voor woorden als je bedenkt dat zolang fouten niet bekend zijn er geen haan naar kraait.

Ja, daar heb je een punt.

Maar, als een Beveiligingsonderzoeker het lek kan ontdekken, dan kan een hacker dit ook. En er vervolgens gevoelige informatie mee ontfrustelen. (waar het uiteindelijk allemaal om te doen is...)
23-04-2010, 07:13 door [Account Verwijderd]
[Verwijderd]
23-04-2010, 09:02 door Anoniem
Door monica8: Het artikel geeft goed weer waar goede wil met kennis gebrek en commercie botst. Het zal nog moeilijk worden om verbeteringen verplicht te stellen, wellicht dat de overheid dat voor zichzelf kan reguleren maar voor de vrije markt zal het moeilijk blijven. Als de overheid het voor de markt wil reguleren dan krijgen we een volksopstand vanwege creatieve vrijheid en dergelijke. Het is eigenlijk te gek voor woorden als je bedenkt dat zolang fouten niet bekend zijn er geen haan naar kraait.
Inderdaad, dit is wel een beetje de essentie van de belangenverschillen van beide partijen.

Het zou interessant worden, als bijv. de overheid een loket had waar de onderzoeker het zou kunnen melden. Dan moet er natuurlijk ook een wet zijn, waarin staat hoe lang de vendor erover mag doen om hier iets aan te doen, afhankelijkheid van de ernst van het lek, etc. Dan kan de onderzoeker z'n melding ongehinderd melden, en de vendor weet waar hij aan toe is.

Probleem is natuurlijk, dat het nooit één enkel land kan zijn die dit regelt. Het moet dan internationale wetgeving zijn, en dat gebeurt niet voordat er wel heel ernstige problemen ontstaan. Anders willen al die landen niet samenwerken.
Vanzelfsprekend heb je dan nog het verschil tussen verschillende types software licenses en types ontwikkelaars. En vanzelfsprekend gaan grote bedrijven dit ook gebruiken om politieke invloed te krijgen. De vraag is of het dan uiteindelijk allemaal helpt.

Iemand anders nog suggesties...
23-04-2010, 18:21 door [Account Verwijderd]
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.