Wie bepaalt wat een redelijke tijdslijn is? Het oplossen van een lek is ook afhankelijk van het aantal applicaties dat het lekke deel gebruikt. Alles moet eerst getest worden en zonder problemen functioneren, voor je een patch kunt vrijgeven. Toegegeven 300+ dagen om iets te patchen is lang, maar 60 dagen klinkt normaal. MS komt wel eens eerder met een out-of-band patch en daarvoor is het misschien wel nodig om veel meer mankracht in te zetten, waardoor andere lekken langer nodig hebben.

Beter was m.i. geweest om de patch bekend te maken, een redelijke tijd te wachten en dan evt. MS te melden dat over x dagen een full-disclosure volgt, Wanneer je dan deze handelswijze meldt en vervolgens de full-disclosure, krijg je minder kritiek en kan MS ook niet echt mekkeren. Zelfde taktiek kan ook bij andere bedrijven zoals Adobe en Apple. Helpt misschien om te zorgen dat ze hun best doen.

Nadeel van closed source software. Nou kunnen gebruikers niet mee patchen. Eigen schuld van Microsoft dus ;)

Na 5 dagen over gaan tot full disclosure is naar mijn mening chantage.
Had het dan na 60 dagen gedaan.

Rare logica, er was immers geen enkele signaal dat dit lek actief misbruikt werd in het wild. Ormandy heeft de bug zelf gevonden en een volledige werkende exploit uitgebracht. Een werkende (0day) exploit releasen maakt internet niet bepaald veiliger, zeker als je eigen 'hotfix' het probleem niet verhelpt. (Zie: http://secunia.com/blog/103/).


Tavis heeft na ongeveer 3 werkdagen een 0day exploit voor een concurrerend product op internet gepubliceerd (die in 2 seconden omgetoverd kan worden in iets dat malware installeert) Ik denk niet dat Tavis dit gedaan heeft omdat hij graag de wereld wil beschermen tegen XSS bugs in helpctr; dit lijkt me eerder een PR zet geweest van google. (Al zal Tavis dit natuurlijk niet zo snel toegeven)

Uit de laatst link in het artikel:
Zo te zien richtte Tavis zich ook op die 60 dagen, maar wilde Microsoft daar niet aan gehouden worden. Die wekken dan de indruk dat ze het liever op de lange baan schuiven, en dan kan het heel goed zijn dat bij openbaring na 60 dagen de patch net zo min beschikbaar is als na 5 dagen. Dan ontstaat dezelfde situatie als nu is ontstaan, alleen uitgebreid met 55 extra dagen dat het lek exploiteerbaar is. Kennelijk heeft Tavis die afweging gemaakt en geconcludeerd dat snelle openbaarmaking de minst schadelijke optie was. Zelfs als je de risico's zelf anders in zou schatten hoeft dat niet te betekenen dat er iets mis is met de integriteit en het verantwoordelijkheidsbesef van Tavis.

Ik vind het overigens, ongeacht de termijn, pas chantage als hij geld zou hebben geëist om het lek geheim te houden. Daar is duidelijk geen sprake van.

Het uitgeven van een 0day exploit was de minst schadelijke optie? Het argument dat het snel gepubliceerd moest worden omdat andere mensen mogelijk ook op de hoogte van het lek zijn is natuurlijk onzin. Hij heeft het lek zelf gevonden

Dat lijkt inderdaad de inschatting van Tavis te zijn geweest, nadat Microsoft er blijk van gaf geen haast te willen maken. Daarvoor wilde hij zelf 60 dagen aanhouden. Dus kennelijk heeft de positie die Microsoft innam hem van gedachten doen veranderen. Of hij daar gelijk in heeft gehad kan ik niet beoordelen, maar ik kan me er wel iets bij voorstellen.
En een magisch cirkeltje om het lek getrokken zodat niemand anders het nog kon ontdekken? Het risico dat een ander het ook zou ontdekken en er misbruik van zou maken bleef natuurlijk gewoon aanwezig. En dan wordt het lek geëxploiteerd zonder dat de beheerders van de kwetsbare systemen weten dat er iets gaande is. Kennelijk was het risico op zich niet groot genoeg om 60 dagen onverantwoord lang te vinden, anders had hij niet eerst daarover onderhandeld. De onwil van Microsoft om die termijn te accepteren deed hem van gedachten veranderen. Dat verandert het risicoplaatje ook echt: als je verwacht dat in die 60 dagen niet aan een oplossing wordt gewerkt dan vormen ze alleen maar een toegevoegd risico, en dan staat het verkorten van die periode gelijk aan het verlagen van dat risico. Dat is precies wat Tavis heeft gedaan. Nogmaals, ik heb onvoldoende inzicht in de situatie om te kunnen weten of hij echt de juiste inschatting heeft gemaakt, maar ik kan me er wel degelijk wat bij voorstellen.

Staar je niet te blind op die wachtperiode, die geeft alleen veiligheid als de patch wordt verspreid voordat het lek algemeen bekend is. Als de leverancier er niets mee doet is het alleen maar het verlengen van de tijd dat systemen onbeschermd zijn. Responsible disclosure is alleen verantwoordelijk als de leverancier ook zijn verantwoordelijkheid neemt, anders werkt de ontdekker van een lek alleen maar mee aan een doofpotconstructie. Als je van mening bent dat er een moment moet zijn dat het lek openbaar wordt gemaakt dan kan het maar beter zo snel mogelijk zijn als de leverancier zijn verantwoordelijkheid niet blijkt te nemen, dat verkort de risicoperiode. Hopelijk schrikt de leverancier ervan en doet hij het voortaan beter.

Datgene wat Tavis vroeg is gewoon van de zotte. Als we van de buitenkant bekijken zit Microsoft momenteel met de test-fase van een servicepack en mogelijker wijs het fixen van nog een aantal andere gemelde bugs dan wel exploits.
Men zou dus kunnen beargumenteren dat ze het wel misschien wel druk hebben en dus niet aan de gevraagde tine-line kan doen.

Maar wat Tavis deed heeft nog een andere bijeffect. Wat als iedere melder zoiets gaat eisen? Wie bepaald wat voorrang moet krijgen? Iedere melder van een exploit zou natuurlijk kunnen roepen dat zijn gevonden exploit behoorlijke impact heeft op het OS dan wel applicatie en dus eisen kunnen gaan stellen.

Tavis heeft zich gedragen als een verwend klein kind. Het was beter geweest om het aan Microsoft te melden en aan te geven dat na 60 dagen de exploit gemeld zal worden op het internet.

Travis een concurrent van Microsoft? Dat geloof je toch zelf niet? Natuurlijk werkt Travis bij Google, maar als je verder kijkt, dan blijkt hij die bug in zijn vrije tijd te hebben ontdekt. En Google claimt, i.t.t. veel andere bedrijven, dat wat je in je vrije tijd doet ook eigendom wordt van Google (net nog een arbeidscontract van Google onder ogen gezien). Google is op veel gebieden zeer afstandelijk over wat hun personeel doet. Ze mogen zelfs eigen bedrijven hebben, naast hun werk bij Google.

De koppeling tussen Travis, Google en de bug is door Microsoft naar voren gebracht om de aandacht van hun eigen onwil om de bug te patchen buiten de media te houden. Microsoft heeft eigenlijk de aanval geopend op Google i.p.v. Travis omdat ze wisten dat wat hij had gedaan gebruikelijk was (al is er discussie over het aantal dagen) in de beveiligingswereld.

Peter

Hebben we het hier over "software LEKKEN" of de zoveelste BACKDOOR die ontdekt is in het Windows operating system?
Indien het gaat om een backdoor, is te verklaren waarom microsoft 'm niet WIL patchen :-)

Dit is uiteraard van toepassing op ieder gevonden lek. De logica is ook echt totaal niet te volgen; omdat je bang ben dat andere mensen op het hoogte zijn van het lek, laat je het iedereen maar weten!? Zou Tavis in zijn "vrije tijd" 0day exploits in Chrome op internet zetten? Er is namelijk kans dat iemand anders dezelfde bug gevonden heeft! Het klinkt in mijn oren niet meer als een heel slap excuus om de disclosure te rechtvaardigen. Als het motief inderdaad het beschermen van internet was waarom dan een weaponized exploit releasen? Het feit dat hij een exploit released geeft aan dat hij een andere agenda had.


Waaruit blijkt dat Microsoft de bug niet wou patchen? Ik heb geen correspondentie met Microsoft gezien in Tavis zijn advisory waarin Microsoft zegt de bug niet serieus te nemen of dat ze het niet willen fixen binnen een redelijk termijn. Het enige feit dat we hebben is dat Tavis na ongeveer 3 werkdagen een weaponized exploit op internet heeft gezet met als motivatie het veiliger maken van internet.

De koppeling tussen Tavis en Google is niet zo heel ver gezocht. Hij is een (al dan niet de belangrijkste) persoon van het Google Security team. Niet zo vreemd dat mensen hem aan google linken. In zijn advisory zegt hij dat hij deze bug niet had gevonden zonder hulp van zijn collega's. In zijn greetings section staat heel toevallig het voltallige Google Security Team (spot de google employee!) In zijn advisory maakt hij reclame voor een boek:

"You should read his Browser Security Handbook if you need to
understand how web browser security /really/ works"

Copyright 2008, 2009 Google Inc, rights reserved.

Overigens weet Tavis het soms zelfs ook niet:
http://marc.info/?l=full-disclosure&m=125019040714310&w=2

verzonden vanaf taviso@sdf.lonestar.org maar ondertekend met "google security team". (Zie ook andere advisories)

Ik vraag me als je op zo'n functie zit, je uberhaupt gepubliceerd werk in hetzelfde vakgebied los kan zien van je werkgever.
Als een werknemer van een pharmaceutisch bedrijf in zijn vrije tijd een document over schadelijke bijwerkingen van een concurrerend medicijn publiceert, ga je er dan ook vanuit dat die werknemer 100% oprecht is?

Het heeft er imho alle schijn van dat dit een PR zet van Google was. Het sluit perfect aan met de recente berichten over dat Google Windows gaat weren van de werkplek.