image

Onverantwoordelijke security onderzoeker: hulp of hinder?

vrijdag 28 januari 2005, 12:00 door Redactie, 7 reacties

Voor veel ontwikkelaars en consultants is David Aitel een onverantwoordelijke security onderzoeker. De twintiger is de oprichter van Immunity en houdt zich bezig met het vinden van lekken in populaire programma's. In tegenstelling tot wat steeds meer security onderzoekers doen, licht Aitel niet eerst de ontwikkelaar van het lekke programma in, maar maakt hij de resultaten van zijn onderzoek direct aan het grote publiek bekend. Vorige week publiceerde Immunity een advisory waarin vier lekken in Apple's Mac OS X bekend gemaakt werden, lekken waar Apple zelf al zeven maanden op de hoogte van was, maar niemand over ingelicht had. "Ik geloof niet dat iemand een verplichting heeft om quality control voor een ander bedrijf te doen. Als je iets vindt in de informatie, dan zou je die informatie op de manier zoals jij dat wilt moeten kunnen gebruiken." Voor Aitel en andere onderzoekers die meteen "disclosen" zijn software ontwikkelaars te laks geworden met het optreden tegen lekken, waardoor er een langere tijd zit tussen de ontdekking van het lek en het verschijnen van een patch, zo gaat dit artikel verder.

Reacties (7)
28-01-2005, 13:25 door Anoniem
Nmm zorgt een persoon die voor security bezig is ervoor dat
veiligheid voorop staat en niet een hetse tegen
softwaremakers die fouten maken. Aitel is dus absoluut geen
security onderzoeker maar iemand die het misbruikt om zn zin
te krijgen en in eerste instantie niets geeft om de
veiligheid. Als je verstand hebt van security en weet dat
verschillende softwarebedrijven laks omgaan met
beveiligingbugs dan weet je ook dat de kans enorm groot is
dat het disclosen meer schade toebrengt bij de gebruikers
dan het een bedrijf aanzet om beter met security om te gaan.
Hij laat met zijn mening dat hij geen vuile zaakjes voor
andere bedrijven wil opknappen en daarom niets doorgeeft,
maar daarnaast wel enorme risico's voor andere wil
veroorzaken door de lekken puliek te maken duidelijk zien
dat het hem niet om de veiligheid gaat maar de daad op zich.
28-01-2005, 13:36 door Anoniem
Een security onderzoeker moet altijd zo snel mogelijk
bevindingen openbaar maken aan het publiek.
Niemand wil weken/maanden exposed zijn. Meestal is een lek
"af te dichten" totdat de patch beschikbaar is.

Als de producent dit lek voor zich houdt, totdat de patch
gereed is, hebben de blackhat hackers weken/maanden de tijd
gehad om het te misbruiken.

Het doel van een bedrijf is om winst te maken, dit kan
inhouden dat ze beslissingen nemen die qua security voor je
eigen bedrijf zeer nadelig zijn.
28-01-2005, 13:59 door Anoniem
Door Anoniem
Nmm zorgt een persoon die voor security bezig is ervoor dat
veiligheid voorop staat en niet een hetse tegen
softwaremakers die fouten maken. Aitel is dus absoluut geen
security onderzoeker maar iemand die het misbruikt om zn zin
te krijgen en in eerste instantie niets geeft om de
veiligheid. Als je verstand hebt van security en weet dat
verschillende softwarebedrijven laks omgaan met
beveiligingbugs dan weet je ook dat de kans enorm groot is
dat het disclosen meer schade toebrengt bij de gebruikers
dan het een bedrijf aanzet om beter met security om te gaan.
Hij laat met zijn mening dat hij geen vuile zaakjes voor
andere bedrijven wil opknappen en daarom niets doorgeeft,
maar daarnaast wel enorme risico's voor andere wil
veroorzaken door de lekken puliek te maken duidelijk zien
dat het hem niet om de veiligheid gaat maar de daad op
zich.

Zal wel allemaal zo zijn maar als ik lees dat Apple al 7
maanden van deze lekken op de hoogte was dan vind ik dat
Apple hier niet echt behoorlijk mee omgaat. Lekken zijn er
om gedicht te worden, ze worden gegarandeerd gevonden (en
misbruikt).
28-01-2005, 16:36 door Anoniem
Ik vind direct openbaar maken niet zo netjes. Maar b.v. eerst aan de
leverancier bekendmaken met melding dat de info over twee weken op de
website te vinden is, lijkt me wel goed. Dat zorgt voor wat druk zegmaar.
Maar David Aitel is natuurlijk niet de enige die naar lekken speurt. Alles wat
hij ontdekt, kan een kwaadwillende onderzoeker ook ontdekken en
misbruiken!
28-01-2005, 21:37 door Anoniem
Door Anoniem
Zal wel allemaal zo zijn maar als ik lees dat Apple al 7
maanden van deze lekken op de hoogte was dan vind ik dat
Apple hier niet echt behoorlijk mee omgaat. Lekken zijn er
om gedicht te worden, ze worden gegarandeerd gevonden (en
misbruikt).
Klein detail vergeet je: personen als Aitel gebruiken dat
als smoes om die lekken dan te 'mogen' verspreiden en
ondertussen maken ze het dus alleen maar erger ipv beter.
Als de een iets doet wat niet netjes is geeft dat nmm geen
vrijheid om zelfs dus maar even erg of zelfs erger te handelen.
28-01-2005, 21:46 door Anoniem
Door Anoniem
Dat zorgt voor wat druk zegmaar. Maar David Aitel is
natuurlijk niet de enige die naar lekken speurt. Alles wat
hij ontdekt, kan een kwaadwillende onderzoeker ook ontdekken
en misbruiken!
Die extra druk heeft nog nooit gezorgd voor snellere
releases van fixes. Twee weken is daarbij zelfs beschamend
korte tijd om met een fix te komen die en goed patched en
goed getest is. Zelfs securitybedrijven als eeye die
regelmatig exploits publiceren vinden een maand pas redelijk.

Software bevat altijd fouten. Reken er maar op dat de meeste
security bugs niet eens gevonden worden in closed source
software. Garantie dat een fout ontdekt wordt is er niet,
maar garantie dat een exploit die vrijgegeven wordt, zoals
personen als Aitel doen, misbruikt worden is er helaas wel.

Ik vind de aanpak van eeye eigenlijk de beste van de kwaden:
ze zorgen er wel helaas voor dat exploits misbruikt kunnen
worden, maar ze geven die tenmiste pas vrij nadat een
bedrijf met de patch gekomen is. Tot die tijd wordt als
drukmiddel het bekendmaken van een bug (zonder details te
noemen) en de zwaarte ervan getoont aan het publiek. Zo zet
je en druk op de ketel en voorkom je dat gebruikers onnodig
last hebben van die makkelijke misbruik mogelijkheden.
30-01-2005, 16:19 door Anoniem
Zie het zo:

Je kennis komt er achter dat je 's nachts niet je achterdeur op slot doet. Je
vergeet het gewoon, je weet niet beter dan dat je het gewoon niet op slot
doet.

Je kennis gaat meteen in de locale krant melden dat jouw deur openstaat,
zonder jou uit te leggen waarom dat niet zo slim is. Met naam en toenaam
komt je adres in de krant met het gegeven dat je het niet zo nauw neemt
met de veiligheid.

In plaats daarvan zou je kennis beter eerst jou op de hoogte stellen van het
voorval. Uitleggen wat er tegen te doen is ( een slot, een beter slot of
sowieso het slot dan op slot doen enz.) en daarna pas gaan rondbazuinen
dat op jouw adres er een achterdeur openstaat al gelange tijd.

Ik weet niet wat sympathieker is en dus ethischer verantwoord.

Ieder ander dan die kennis kan natuurlijk hetzelfde ontdekken en je huis
leeghalen. Maar het rondbazuinen via een krant maakt het dat
kwaadwillenden eerder naar je achterdeur gaan kijken, dan dat ze zelf 1
voor 1 zouden gaan kijken uit eigen initiatief.

Ik ben niet voor obscurity en het daar bij laten, maar obscurity is wel een
onderdeel van security. Die, mits juist toegepast, je security kan verhogen
voor een periode waar tijdelijk geen alternatief voor is.

Het is geen sport de meeste exploits te vinden en die meteen te melden
aan de krant of welk medium dan ook. Het gaat er om dat er wat aan
gedaan moet worden, niet dat het meteen algemeen bekend moet worden.

- Unomi -
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.