Advies is om het niet te melden, doe er niet aan mee is het advies. Meld bugs gewoon niet, of wel, maar lees eerst eens de tekst die eerder door Google is vrijgegeven en ook op security zou moeten staan. Iets verder op begint het relaas van iemand die werkt voor Google, en het bijzonder moeilijk kreeg, zie daarvoor verder op vanaf 'citaat'.

De reden dat bugs zoals Meltdown Spectre en Fallout zolang geheim blijven, is dat het goedkoper is om iemand te doen zwijgen dan om de hele wereld van nieuwe CPU of bugfixes te voorzien. Zo gaat dat nu eenmaal. En het meest bekende spreekwoord 'Don't shoot the messenger' wordt alleen gebruikt als de boodschapper van het slechte nieuws helaas al een tragische beleving heeft ondergaan. Dat is altijd al zo geweest. Op de lange termijn werkt 'Shoot the messenger' niet, maar op korte termijn zeker wel.

Financieel gezien is het echt beter een bug melder te doen zwijgen, zeker voor de beurskoers, maar het is onethisch en op de lange termijn komt het toch naar boven.

Citaat van Google: "Beveiligingsonderzoekers en hackers zwijgen over lekken omdat ze bang zijn voor Microsoft, aldus beveiligingsexpert Robert Graham, die zelf ook door de softwaregigant bedreigd zou zijn. Graham reageert naar aanleiding van het lek in Internet Explorer, waardoor vermoedelijk Chinese hackers bij Google wisten in te breken. De bug noemt hij op zichzelf geen falen van Microsoft. "Microsoft is waarschijnlijk de beste in de industrie als het gaat om het oplossen van dit soort bugs." Toch had de reus uit Redmond een week nodig om het lek te patchen en wist het hier al maanden van. "Dat is een vrij lange tijd voor een zero-day om los te lopen."

Bedreiging
Volgens Graham reageerde Microsoft vroeger sneller op grote beveiligingslekken en wordt het elk jaar erger. "Dat komt doordat ze direct of indirect de helft van de beveiligingsindustrie inhuren en de andere helft beïnvloeden." Als Microsoft een lek negeert en een onderzoeker besluit het probleem bekend te maken, dan zal Microsoft ze binnen de industrie proberen te weren. "Onderzoekers houden hun mond omdat ze bang zijn voor Microsoft", zegt Graham. Zelf zegt hij ook door de Microsoft bedreigd te zijn.

Hij ontdekte een aantal jaren geleden een eenvoudig WiFi-lek in Windows Mobile. Het werd nooit gepatcht, grotendeels omdat de telecomprovider dit weigerde. Aangezien hij het lek pas kon publiceren na de patch, betekende dit dat hij het lek nooit publiceerde. "We kennen veel onderzoekers die lekken in Windows Mobile vinden die voor precies dezelfde reden nooit gepubliceerd worden." In het geval van Graham zou hij daarnaast bezoek van FBI-agenten hebben gehad, die dreigden zijn profiel aan te passen, zodat hij niet meer voor de overheid kon werken. "Dit werd gedaan onder druk van Microsoft."

Graham erkent dat het redelijk van Microsoft is om te verlangen dat onderzoekers wachten met publiceren totdat er een patch is. Microsoft zou echter zijn doorgeslagen, met als gevolg dat ze te lang over het patchen van lekken doen.

Noodpatch
Een ander probleem waar de softwaregigant mee zit zijn de noodpatches. Out-of-band updates kosten zowel voor Microsoft als klanten veel geld. De maandelijkse patchcyclus is dan ook goedkoper en eenvoudiger voor iedereen. Toch komt het voor dat een lek zo ernstig is dat het buiten deze cyclus om gepatcht moet worden. De beveiligingsexpert vroeg Microsoft of het hier een budget voor heeft en tot zijn grote verrassing blijkt dit niet zo te zijn. Out-of-band patches zouden namelijk nooit moeten voorkomen.

"Ik durf er geld op te zetten dat er in de komende maanden een nieuw zero-day lek in Internet Explorer wordt gevonden en Microsoft moet hier rekening mee houden." Microsoft mag dan de beste in het oplossen van bugs en lekken zijn. De reactie op het recente IE-lek noemt Graham een fiasco. "Daarnaast wordt Microsoft steeds slechter in het oplossen van lekken, niet beter."

Tegenover de google medewerker heeft Microsoft doodsbedreigingen geuit."

Kijk, zo kennen we Microsoft weer! Een oude vos verliest nooit haar streken!


De maffia van de automatiseringswereld. Ik durf dit bijna niet meer te schrijven...

Consigliere karma4 zal er zo wel iets sussends, relativerends, uitwijkends, de aandacht afleidends over schrijven.