Het openbaar maken van beveiligingslekken is het beste voor gebruikers en bedrijven, ook al heeft een leverancier geen patch ontwikkeld. Dat zegt H.D. Moore, de geestelijk vader van hackertoolkit Metasploit. Recentelijk hebben verschillende partijen nieuw beleid voor het publiek maken van kwetsbaarheden aangekondigd. Zo vindt Google dat lekken binnen zestig dagen moeten zijn opgelost, terwijl Microsoft voor "coordinated vulnerability disclosure" pleit. Tippingpoint hanteert voortaan een deadline van zes maanden en Rapid7, het bedrijf waar Moore voor werkt, heeft een constructie waarbij bedrijven zestig dagen de tijd krijgen.
In veel gevallen zetten bedrijven die onveilige software maken onderzoekers onder druk om informatie over een lek niet te publiceren. Rapid7 waarschuwt vijftien dagen nadat de leverancier is ingelicht het Computer Emergency Response Team (CERT), dat een deadline van 45 dagen aanhoudt. Volgens sommige bedrijven is het onverantwoord om een kwetsbaarheid te openbaren waar nog geen patch voor is. Eindgebruikers zouden daardoor onnodig risico lopen en worden opgezadeld met de verantwoordelijkheid die eigenlijk de leverancier moet dragen.
Verantwoordelijkheid
"Dit argument gaat ervan uit dat de onderzoeker en leverancier de enige mensen zijn die van een bepaald lek afweten. Keer op keer zien we gevallen waarbij een lek in het wild wordt ontdekt, maar al was gerapporteerd door een onderzoeker die met een leverancier wilde samenwerken", aldus Moore. "Wat één onderzoeker ontdekt, kan een andere onderzoeker met minder goedaardige motieven ook vinden. De kern van het probleem is dat het product een lek heeft. Discussiëren over de juiste openbaarmaking neemt niets weg van het feit dat de leverancier inderdaad verantwoordelijk is voor iedereen die een probleem in hun product misbruikt."
Voordelen
Moore ziet dan ook grote voordelen in het openbaren van beveiligingslekken. "Hoe meer eindgebruikers van een probleem afweten, hoe beter ze zich er tegen kunnen beschermen." Vanwege het grote aantal zero-day lekken die rondgaan, zouden de meeste bedrijven inmiddels wel weten hoe ze zich zonder patch moeten redden.
"Je kunt ervan uitgaan dat deze gebruikers een patch van de leverancier eisen en dat de leverancier zijn best doet om hieraan tegemoet te komen. Samengevat, het openbaren van een lek resulteert altijd in het zo snel als mogelijk verschijnen van een patch."
Deze posting is gelocked. Reageren is niet meer mogelijk.