Discussie over lekken na rechtzaak security onderzoeker
De rechtzaak die door de Franse anti-virusaanbieder Tegam International tegen security onderzoeker Guillaume Tena is aangespannen, heeft de discussie over het onthullen van security lekken opnieuw aangezwengeld. Guillaume Tena, een onderzoeker aan de universiteit van Harvard, publiceerde begin 2002 verschillende exploits voor lekken in Tegam’s anti-virusprogramma Viguard. Volgens Tegam had Tena het copyright geschonden, iets waar de Franse security expert het niet mee een is. De aanklager eist nu dat Tena tot een boete van 6000 euro en een celstraf van 4 maanden wordt veroordeeld. Tevens heeft Tegam een schadeclaim van 900.000 euro ingediend. De rechter zal op 8 maart 2005 uitspraak doen.
De grote vraag blijft echter wanneer een onderzoeker een lek dat hij heeft gevonden bekend moet maken. Volgens de ongeschreven regel neemt men eerst contact op met de ontwikkelaar en publiceert men pas na een "redelijke tijd" het lek. Het komt echter voor dat ontwikkelaars niet naar de onderzoeker luisteren of erg lang met het ontwikkelen van een oplossing bezig zijn. In dat soort gevallen is het beter om het lek bekend te maken dan het publiek onwetend te houden, zo laat Thomas Kristense van Secunia in dit artikel over het onthullen van lekken weten.
het punt is alleen dat elke oplossing die nu wordt
aangedragen, een utopie wilt. er zullen altijd blackhats
zijn die hun werk publiceren, en er zullen ook altijd
bedrijven zijn die hun verantwoordelijkheden niet nakomen.
wat is de oplossing van het probleem? ik ben er nog niet uit.
onder de "hax0rs".
luisteren of erg lang met het ontwikkelen van een oplossing bezig zijn. In
dat soort gevallen is het beter om het lek bekend te maken dan het publiek
onwetend te houden
de producent op de hoogte stellen en wat afspreken, wordt dit niet
nagekomen, hoppa, harde maatregelen!!!
Als iedereen zo dacht als de ontwikkelaar van dat anti-virus pakket was het
in no-time een klerezooi in cyberland :S
Dus wees blij dat er hackers e.d. bezig zijn voor de "goede" kant, als je
alleen maar van die foute figuren hebt... is de lol van het internet en heel de
ict eigenlijk, snel voorbij :)
bedenken, nemen zij niets over van anderen? Van wie hebben ze leren
programmeren, zeker ook echt nooit het (gratis / open source) werk van
anderen op Internet bekeken? En nooit ctrl+c gebruikt?
Laten ze hun werk goed doen en dankbaar zijn dat er nog mensen zijn die
zaken publiceren.
worden tegengegaan met copyright en/of oneigenlijk gebruik disclaimers
zoals in de ICT industrie gebruikelijk? Dus je koopt geen auto, doch
slechts het gebruikersrecht inclusief het recht het voertuig met behoud van
de EULA door te verkopen. In de EULA staat dat het toegestaan is auto te
rijden conform de wettelijke bepalingen - het veroorzaken van een ongeluk
is immers niet toegestaan - waarmee botsproeven oneigenlijk gebruik zijn.
Zo lang de software industrie duikt voor normale productaansprakelijkheid
zoals die gelden voor fabrikanten van teelepeltjes tot personenauto's, blijft
deze onzin spelen. Iedere rechtbank die meegaat op dit soort claims is
medeverantwoordelijk voor de schade door buggy software - zeg maar de
Fort Pinto's van de software. Maar ja, bij de autoindustrie heeft het
inderdaad ook negentig jaar geduurd en moesten eerst duizenden doden
vallen - wat bij software niet zo snel gebeurd. Hoewel, de fout van EDS met
Win2k machines voor de luchtverkeersleiding in Californië had in één
middag wel hetzelfde effect kunnen hebben.....
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
