image

"Openbaren Windows XP-lek was gewoon stom"

woensdag 23 juni 2010, 16:11 door Redactie, 9 reacties

Het onthullen van een ernstig beveiligingslek in Windows XP door Google-werknemer Travis Ormandy was gewoon stom, dat zegt beveiligingsexpert Tyler Reguly. Reguly is een collega van Andrew Storms, die er vorige week flink van langs kreeg wegens zijn kritiek op Ormandy. Brad Spengler schreef een waar epistel waarom de openbaarmaking van de zero-day kwetsbaarheid in het Windows Help en Support Center wel een goed idee was.

Ormandy zou door Microsoft namelijk gedwongen zijn. De softwaregigant wilde het door de onderzoeker gemelde beveiligingslek niet binnen zestig dagen patchen, waarop Ormandy tot Full-disclosure (FD) overging. "Dit is geen FD", aldus Reguly. FD zou namelijk bedoeld zijn om bedrijven die weigeren beveiligingslekken op te lossen hiertoe te dwingen. "Het draait niet om aandacht voor jezelf." Het openbaren van de kwetsbaarheid vijf dagen na het waarschuwen van Microsoft, is volgens Reguly geen FD. "Het wordt FD genoemd, maar het is het niet."

Stom
De expert noemt het onthullen van de zero-day kwetsbaarheid een stom iets om te doen. "Er is geen ruimte voor extra discussie, het is klip en klaar." Als Microsoft het lek niet na een maand had bevestigd of het niet had willen patchen was het wel oké geweest. "Maar dat is niet wat er gebeurde." Volgens Reguly hebben zowel Ormandy als Sprengler iedereen een stap teruggezet.

"De acties van Tavis duiden erop dat hij vindt dat Full-disclosure en Responsible Disclosure los van elkaar staan, terwijl Brad zich tot een persoonlijke aanval wendde." Reguly merkt op dat tot de security-gemeenschap accepteert dat het op verantwoorde wijze melden van lekken ook binnen Full-disclosure kan bestaan, er discussies zullen blijven. "Ik ben het zat om ze te lezen en hoop dat mensen beseffen dat als ze op iets Full-disclosure plakken, ze nog steeds verantwoordelijk zijn."

Microsoft
Niet iedereen is het met Reguly eens, zoals Ray Marsh. De onderzoeker ziet in het hele incident juist een teken dat het geen goed idee is om contact met Microsoft op te nemen, tenzij onderzoekers het lek overhandigen en hun mond houden. "Als je probeert te onderhandelen met het MSRC en geen overeenkomst bereikt, dan gaan ze zover als het aanpakken van je werkgever via de pers", zo merkt Marsh op.

Wie ernstige Microsoft-lekken vindt, heeft daardoor een aantal opties. Een onderzoeker kan niets doen, waardoor Microsoft-klanten kwetsbaar blijven. Het als zero-day kwetsbaarheid publiceren, het verkopen via een derde partij, het verkopen aan partijen met onbekende motieven of het melden en onderaan een Security Bulletin worden bedankt. "Ik zeg niet dat dit de juiste conclusie is gebaseerd op wat er achter de schermen plaatsvindt. Maar de perceptie van de ontdekken van het volgende ernstige Microsoft-lek wordt nu door wel zichtbare zaken gevormd. Misschien heeft Microsoft nog steeds een kans om deze perceptie te wijzigen?"

Reacties (9)
23-06-2010, 16:58 door SirDice
Kan men misschien stoppen met dat welles/nietes spelletje en wat meer tijd steken in het oplossen van het probleem?
23-06-2010, 18:24 door Anonymus
Door SirDice: Kan men misschien stoppen met dat welles/nietes spelletje en wat meer tijd steken in het oplossen van het probleem?
Helemaal met je eens. Laten we dat gelul nou eindelijk eens achterwege laten.
23-06-2010, 23:21 door ej__
Shoot the messenger. Spindoctoring bij uitstek
23-06-2010, 23:56 door Anoniem
Elk beveiligingslek moet mijn inziens onmiddellijk worden gemeld aan de betreffende firma, die dit lek onmiddellijk, althans binnen 60 dagen (en indien mogelijk op een nog kortere termijn) moet patchten, op straffe van een FD.
Beter zou het nog zijn indien er een financiële sanctie volgt op het niet of niet tijdig patchen. Die sanctie moet dan wel echt pijn doen, dus ook zo hoog uitvallen dat ie ook een MS pijn doet.
24-06-2010, 08:52 door U4iA
Je kan er nog maanden over blijven lullen, maar alleen een aantal andere security specialisten en fanboys / microsoft-haters zullen zeggen dat het een goed idee was...de rest van de wereld niet vanwege het risico dat zij hierdoor lopen.
24-06-2010, 08:53 door Skizmo
Zeiken over andermans 'openbaringen' is nog stommer.

Door SirDice: Kan men misschien stoppen met dat welles/nietes spelletje en wat meer tijd steken in het oplossen van het probleem?
Gewoon niet op security.nl inloggen.
24-06-2010, 17:14 door ej__
Door U4iA: Je kan er nog maanden over blijven lullen, maar alleen een aantal andere security specialisten en fanboys / microsoft-haters zullen zeggen dat het een goed idee was...de rest van de wereld niet vanwege het risico dat zij hierdoor lopen.
En closed source is natuurlijk een stuk veiliger dan open source. Keep on dreaming. Het is niet altijd de grootste groep die gelijk heeft. Integendeel.

EJ
24-06-2010, 18:13 door Anoniem
"Je kan er nog maanden over blijven lullen, maar alleen een aantal andere security specialisten en fanboys / microsoft-haters zullen zeggen dat het een goed idee was..."

Ik denk dat weinigen deze full disclosure goed zullen noemen. De tijd die men gaf aan Microsoft was veel en veel te kort, en daarnaast was de motivatie ook een beetje merkwaardig; het ging hier gewoon om een marketing aktie om concurrent Microsoft schade te berokkenen. Ik heb geen probleem met full disclosure, maar dan wel graag op een verantwoordelijke manier, en daarnaast is FD niet bedoeld als marketing instrument om je concurrent een hak te zetten,
25-06-2010, 11:26 door U4iA
Door ej__: En closed source is natuurlijk een stuk veiliger dan open source. Keep on dreaming. Het is niet altijd de grootste groep die gelijk heeft. Integendeel.
Wat heeft dat nou in vredes naam met mijn reactie te maken? Niemand claimt dat het veiliger is het gaat om het risico dat mensen lopen. Ook al was het OSS geweest was het onverstandig om dat te doen als meer dan de helft van de wereld het gebruikt. Wat is nu eigenlijk je punt?!?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.