Op Shodan lees ik:

Dus deze landen zullen zeker wat moeten gaan doen. Er zijn ook Nederlandse bedrijven met Brother printers die kwetsbaar zijn, maar dat is niet zoveel als in bovengenoemde landen.

hey brother what are you doing man :)

"Zolang de printer niet via internet bereikbaar is kan de aanval ook niet worden uitgevoerd" is een vreemde zin. Als het in een corporate LAN/WLAN hangt zonder verdere beveiliging kan Pietje van de administratie of Truus op het wifi gast netwerk de printer ook aanvallen.

In de security wereld is het onder professionals een gewoonte om kennis uit te wisselen en hulp te vragen als je na goede moeite geen gehoor krijgt om een risico te verhelpen. Trustwave en @0xz00n hebben daar duidelijk geen boodschap aan na die paar pogingen om het bij Brother opgelost te krijgen. Dikke pech voor brother en die paar duizend potentiele slachtoffers, Trustwave en @0xz00n gaan voor de gemakkelijke egoistische oplossing.

Indien in Nederland 100 printers kwetsbaar zijn, moet Nederland dan wat doen ? Of moeten de eigenaren van 100 printers wat doen ? Is het risico dat een printer mogelijk niet goed functioneert een nationaal probleem ?

Er is helemaal niets egoistisch aan. En responsible disclosure, wanneer een bedrijf niet reageert, is een gewoonte in de security wereld, onder professionals. Wat is je probleem ?

Wat is er niet egoistisch aan de aandacht op jezelf vestigen en de potentiele slachtoffers laten stikken door het publiceren van die exploit? Een responsible disclosure gaat niet om een paar minuten je best doen om een kwetsbaarheid bij de leverancier onder de aandacht te brengen en anders maar met veel tam tam full disclosure te gaan dat de dos een enorm probleem is. Dan geeft je geen ene moer om die slachtoffers of het risico van de kwetsbaarheid maar puur om je eigen ego.

Een responsible disclosure draait om verantwoordelijkheid, ethiek en het probleem verhelpen. Als dat laatste niet lukt na een beetje moeite van de ontdekker en je vind het probleem ernstig genoeg dan kan je eerst andere moeite doen om het via een andere weg nog proberen op te lossen. Bijvoorbeeld door een grote klant hierbij te betrekken, andere vrijwilligers die zich met responsible disclosure bezig houden en betere contacten hebben of een journalist in vertrouwen nemen. En als dat niet werkt hoef je die exploit code niet vrij te geven om de kwetsbaarheid publiek duidelijk te maken. Maar nee, Trustwave en de onderzoeker (die duidelijk geniet van alle mediaaandacht voor zijn eerste exploit) gingen liever voor de onprofessionele weg van zo makkelijk mogelijk aandacht op zichzelf te vestigen nadat brother na een beetje moeite niet naar tevredenheid reageerde.

Je doet hier een flinke aanname en is op niks gebaseerd, in het nieuwsbericht staat "Trustwave zegt dat het meerdere malen heeft geprobeerd om Brother over het probleem te informeren". Ik ben het niet eens over je unresponsible disclosure...