image

Moet exploit code gepubliceerd worden?

maandag 24 november 2003, 11:09 door Redactie, 7 reacties

Security professionals kwamen afgelopen zaterdag op de Stanford University Law School bijeen om te discussieren over het publiceren van code die gebruikt kan worden om lekken te demonstreren. Bijna alle aanwezigen waren het erover eens dat ontwikkelaars eerst over een lek moeten worden ingelicht en de tijd moeten krijgen om een patch te ontwikkelen, voordat het lek aan het publiek wordt bekend gemaakt. Men was het echter oneens of onderzoekers proof-of-concept code moeten publiceren om een lek aan te tonen. Als het aan Microsoft ligt wordt er helemaal geen code gepubliceerd, maar de gigant uit Redmond vraagt eerder om medewerking dan dat ze iets probeert op te leggen. In dit artikel komen verschillende security onderzoekers aan hun woord die hun visie op het publiceren van exploit code geven.

Reacties (7)
24-11-2003, 12:47 door Anoniem
Alvorens een Exploit te melden vind ik ook dat de leverancier van de software
eerst b.v. 1 maand de tijd moet krijgen om deze issue op te lossen.
Trage bedrijven zullen qua productsecurity dan binnen de korste keren
aangemerkt worden als security onveilige bedrijven.
Gevolg hiervan is dus dat bedrijven minder snel de software van deze
leverancier zullen aanschaffen, maar eerder geneigd zijn een oplossing van
een concurrent aan te schaffen welke wel veilig is.
24-11-2003, 13:37 door Anoniem
Behalve als het om Microsoft gaat natuurlijk...
24-11-2003, 14:02 door Anoniem
Het probleem aan deze materie is dat enerzijds het van
belang is om zo weinig mogelijk mensen te laten weten dat er
een exploit gevonden is. Anderzijds, zo lang het geen common
knowledge is ben je dus zonder het te weten vulnerable, en
kun je dus ook geen preventieve maatregelen nemen (services
(tijdelijk) uitschakelen, firewall rulesets aanpassen, IDS
signatures schrijven en dergelijke).

Ik ben er persoonlijk van overtuigd dat de "bad guys" net zo
snel weten dat er een exploit bestaat als de "good guys" en
misschien nog wel sneller.
24-11-2003, 15:58 door Anoniem
In de financiele sector geldt: Beurskoers gevoelige informatie dient
onmiddellijk te worden gepubliceerd om partijen geen voordeel van
die mogelijke kennis te geven.

Wat denken jullie ervan om "het algemeen belang" zelfde
wetgeving (& toezicht houder) in te voeren voor
beveiligingsinformatie? (Kan evt. met een korte vertraging, bijv. 2
weken).

Dan verplicht de wetgever alle partijen de informatie publiek te
maken ipv dat er discussie gevoerd wordt over hoeveel vertraging
(& onveiligheid in al onze systemen) we dienen te accepteren.
24-11-2003, 16:07 door Anoniem
een proof of concept in de vorm van shell code heeft totaal geen toegevoegde
waarde. je zorgt enkel voor een boel problemen.
25-11-2003, 00:50 door Anoniem
Het denken dat de wereld veiliger is door niet publiceren van code is naar
mijn mening een naief beeld dat alleen maar leid tot een ilusie van veiligheid.

Als iemand met goede bedoelingen lek A kan vinden, dan kan iemand zonder
goede bedoelingen dat ook.

Natuurlijk is het netjes om eerst de leverancier van de software op de hoogte
te stellen, en dit moet ook altijd gedaan worden. Als deze echter niet reageert
(of niet snel genoeg) heeft het publiek het recht om te weten wat er mis is met
software. Het is immers beter om te weten dat je niet veilig bent, dan om te
denken dat je wel veilig bent!
25-11-2003, 02:58 door Anoniem
Niet publiceren en geen leveranciers of andere partijen informeren.

En de wereld wordt echt veiliger. (behalve voor over de exploits beschikken,
maar die doen je toch geen kwaad zolang je geen highprofile bent)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.