image

It takes two to tango

woensdag 31 juli 2002, 13:20 door Redactie, 9 reacties

Bijdrage op de SecurityFocus-mailinglist van Richard Smith. Hij reageert op de onenigheid die is ontstaan tussen HP en SnoSoft.
Een medewerker van het onderzoeksverband SnoSoft heeft op Bugtraq informatie gepubliceerd over HP's Tru64 Unix besturingssysteem. HP dreigt SnoSoft met gerechtelijke stappen. Volgens Smith ligt de eerste fout bij HP, die gewoon een fout heeft gemaakt.

Reacties (9)
31-07-2002, 13:36 door Anoniem
Zou een moloch als HP echt zo dom zijn als het lijkt, of is dit een eenmans actie van Kent Ferson ?

Als dit tot een rechtszaak zou komen (erg onwaarschijnlijk IMO) zal de uitspraak vancruciaal belang zijn voor black/white/grey hats over de hele wereld, al is het alleen al omdat U.S wetgeving de vervelende neiging heeft door te lekken/te reiken tot buiten haar grenzen.

Ik kan me voorstellen dat M$ kwijlend zit te wachten, stel je voor: bugreports strafbaar = geen zichtbare bugs = veilig = trustworthy computing.

En dat helemaal gratis! Want welk bedrijf kan er financieel tegen de enorme bakken geld en advocaten op die bedrijven als HP en M$ loslaten ?

En na de idiote wetsvoorstellen van de laatste 2 weken hou ik overal rekening mee.
31-07-2002, 14:44 door Anoniem
In het artikel stond dat HP/Compaq al een jaar afwist van de bug en het niet heeft gepatched...

Zouden ze hierdoor aansprakelijk gesteld kunnen worden ivm nalatigheid als je tru64 box gehacked wordt?

Als HP zo doorgaat en alle exploits gaan underground dan heeft een bepaald aantal mensen tot de meeste tru64 dozen remote #, waar de rest van de wereld geen benul van heeft.
Het gevoel van veiligheid dat onjuist is, is gevaarlijker als een paar scriptkids die massrooten/scannen terwijl er patches beschikbaar zijn...

Die mensjes @ snosoft moeten juist bedankt worden door HP imo.
31-07-2002, 15:00 door Anoniem
<rant>
Afgezien van het feit dat HP dus willens en wetens al die tijd haar klanten heeft laten blootstaan aan een 'su' notabene, zonder de klanten te verwittigen (foei! suen die hap), bereiken ze hiermee alleen dat gaten en de exploits onder de (zwarte) pet gehouden worden.

Een logisch gevolg daarvan is dat niet alleen de ethiek het bos in gaat (wat heb ik er aan om me aan de 'regels' van disclosure te houden als ik toch gesued wordt ?), maar dat daarmee exploits ook een grotere (economische) waarde krijgen uiteindelijk.

Als iedereen stijf z'n bek houdt over exploits, en niemand iets 'weet' op straffe van criminalisering, zullen alleen criminelen de exploits krijgen.

Geen beter klimaat als dit voor een scriptkiddie; hij kan er mee de boer op, want hij heeft iets wat een ander niet kan, inplaats van (zie laatste Apache-issue) er binnen 48 uur een patch/nieuwe versie en iedereen op z'n hoede (dikke neus @ kiddies) is voor mogelijke 'pogingen' tot exploit.

En dan hebben we het nog niet over de slechte publiciteit die HP zich hiermee op de nek haalt; zelfs als het om iets lulligs als een printer gaat, kijk ik nu uit naar een ander merk, en ik zal m'n collegae aanraden hetzelfde te doen.
(Overschakelen naar en *nix i.p.v. tru64 lijkt me vanzelfsprekend)
Hell, zelfs M$ lijkt netjes vergeleken met deze stunt van HP...:-(
</rant>
31-07-2002, 15:03 door Anoniem
Hoe zit dat in nederland eigenlijk? is exploits publiceren hier strafbaar?
31-07-2002, 15:36 door Anoniem
Computervredebreuk is strafbaar. Van computervredebreuk is sprake als iemand tegen de wil van de eigenaar of beheerder opzettelijk binnendringt in een computersysteem of deel daarvan, en daarbij bovendien:

1. 'enige beveiliging' doorbreekt of
2. een valse sleutel, valse signalen, een valse hoedanigheid of een technische ingreep hanteert.

(http://www.surfnet.nl/archief/publicaties/ikendewet/par-2.html)

Volgens letter van de wet mag je ook geen 'tools' bezitten, dus ik denk dat het publiceren (lees:bezitten) ook niet mag.
Debug is een no-no volgens de letter van de wet..

Misschien dat er iemand is die dat beter kan uitleggen :-)
31-07-2002, 17:19 door Anoniem
Originally posted by Anonymous Coward


Volgens letter van de wet mag je ook geen 'tools' bezitten, dus ik denk dat het publiceren (lees:bezitten) ook niet mag.
Debug is een no-no volgens de letter van de wet..

Misschien dat er iemand is die dat beter kan uitleggen :-)

Volgens mij is dit complete onzin. Er zijn voorstellen in die richting geweest onder andere in EU verband maar voorzover ik weet is dat nooit tot wet geworden
31-07-2002, 18:29 door Anoniem
Ik zeg ook: misschien dat een ander dat beter kan uitleggen.

Artikel 138a
1. Met gevangenisstraf van ten hoogste zes maanden of geldboete van de derde categorie wordt, als schuldig aan computervredebreuk, gestraft hij die opzettelijk wederrechtelijk binnendringt in een geautomatiseerd werk voor de opslag of verwerking van gegevens, of in een deel daarvan, indien hij

a. daarbij enige beveiliging doorbreekt of
b. de toegang verwerft door een technische ingreep, met behulp van valse signalen of een valse sleutel dan wel door het aannemen van een valse hoedanigheid.
2. Met gevangenisstraf van ten hoogste vier jaren of geldboete van de vierde categorie wordt gestraft computervredebreuk, indien de dader vervolgens gegevens die zijn opgeslagen in een geautomatiseerd werk waarin hij zich wederrechtelijk bevindt, overneemt en voor zichzelf of een ander vastlegt.
3. Met gevangenisstraf van ten hoogste vier jaren of geldboete van de vierde categorie wordt gestraft computervredebreuk gepleegd door tussenkomst van een openbaar telecommunicatienetwerk, indien de dader vervolgens

a. met het oogmerk zich wederrechtelijk te bevoordelen gebruik maakt van verwerkingscapaciteit van een geautomatiseerd werk;
b. door tussenkomst van het geautomatiseerd werk waarin hij is binnengedrongen de toegang verwerft tot het geautomatiseerd werk van een derde.

Zo goed als het 'vaag' is als je na 22:00 met een gereedsschaps-set aangehouden wordt, en lastige vragen krijgt, kan ik me voorstellen dat iemand die exploits 'spaart' ook lastige vragen kan krijgen..

Strafbaar is een ander verhaal, dat weet ik, ik vraag het me alleen af..

Een simpele DEBUG, of een echt goede als je programmeur bent, maar een 'client' met Stachel of Smurf 'als' studiemateriaal, tja

* ik zeg DUS niet dat de staat dan maar DUS moet checken wat je 'hebt' *


Ik zou alleen graag van een rechten-nerd horen hoe het echt zit, met precedenten en al..

Mag dat ?
31-07-2002, 19:09 door Anoniem
HP maakt zichzelf op deze manier lekker belachelijk. Als ze gewoon op tijd een patch hadden uitgebracht, of vriendelijk hadden gedaan tegen SnoSoft, dan was er niets aan de hand.

Nu gaat SnoSoft en de consument van Tru64 (op langere termijn) er voor boeten.

Wouter ter Maat aka grazer
31-07-2002, 20:10 door Anoniem
Nu gaat SnoSoft en de consument van Tru64 (op langere termijn) er voor boeten

Laten we hopen dat gebruikers van Tru'su'64, niet allang geboet hebben :-(

Want dat zijn de enigen die nu het haasje zijn helaas.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.