Misschien is de bedoeling goed, maar door knullige onkunde is de werking weer eens averechts.

Naast dat intrusion tools veel gebruikt worden voor (nuttig) onderzoek, wordt het voor AV bedrijven ook bijna onmogelijk om via hun klanten mallware samples te vergaren.

Resultaat: wederom wordt de digitale wereld onveiliger gemaakt.

Martin heeft in principe wel een punt, maar wanneer hij pleit voor een uitzonderingspositie voor multinationals komt de aap uit de mouw en blijkt dat het hem helemaal niet om de veiligheid van de gebruiker te doen is, maar om de rechtspositie van van Google.

Als Google engineers in mensenrechten-schendende dictaturen e.d. heeft, dan vind ik het niet meer dan normaal dat dezelfde exportbeperkingen naar dat land die voor de rest van de wereld gelden, ook voor Google gelden. Wat voor fysieke oorlogs- en surveillancetechnologie geldt zou net zo goed voor de cyber-tegenhangers moeten gelden.

Dat multinationals zich steeds meer buiten de internationale rechtsorde proberen te plaatsen is een buitengewoon kwalijke zaak voor de rechtspositie van de gewone burger en daar doen al die mierzoete verhaaltjes van de multinationals niets aan af.

Achterdeurtjes verplicht stellen in software lukt ze nog niet echt, veel te veel weerstand. Dan maar een verbod op het vinden, rapporteren, fixen en uitrollen van patches moeten ze gedacht hebben. Want ja, een patch kun je revers-engineren en daarmee kun je een gevaarlijk cyber wapen in handen krijgen!

Waar men helemaal aan voorbij gaat is dat de beste manier om bugs te vinden, is door veel ogen erna te laten kijken. Die interesse lok je alleen maar door informatie over beveiligingsgaten zoveel mogelijk vrij te verspreiden. Zo kunnen andere beveiligingsonderzoekers kennis oppikken, daarmee nieuwe lekken identificeren en ook weer rapporteren/publiceren. Zo'n `beveiligingsonderzoeker` kan ook een amateur op een zolderkamertje zijn die hengelt naar de bonus die veel bedrijven uitloten voor het rapporteren van lekken. Dat alles is gewoon onderdeel van `responsible disclosure`.

Responsible disclosure houd wat mij betreft in dat je geen zero-day lekken openbaar maakt (uiteraard), maar bijv. wel na 30, 60, 90 dagen het lek publiceert om een stok achter de hand te houden als bedrijven weigeren te reageren. Vanuit bedrijven is het ook verstandig om een leuke bonus te verbinden aan een goed rapport, immers verhoogt dat de inzet van de beveiligingsgemeenschap, en verkleint het de kans dat de zwarte markt eerder aan de haal gaat met het probleem. Niet dat die onderzoeker die het lek rapporteert maar meteen dat lek aan de hoogste bieder geeft, wel dat als een iemand het kan vinden, iedereen het kan, en het een kwestie van tijd is voordat dat gebeurd.

En denk nou maar niet dat ook maar één cybercrimineel gaat denken 'oh, handelen in exploits is illegaal, ik zal er maar mee ophouden'. En dat terwijl de legitieme beveiligingsgemeenschap grote nadelen ondervind van dergelijke regels.

Waar nucleaire geheimen vooral gevaarlijk worden als ze in de verkeerde handen vallen, en het dus zaak is zo min mogelijk experts te hebben, worden cyber-lekken juist minder gevaarlijk als meer mensen er van weten: Hoe meer kennis, hoe sneller ze gepatched worden en niet meer bestaan.