CERT gaat software-fouten openbaar maken

Waakhond-organisatie CERT gaat zijn beleid veranderen naar meer openheid met betrekking tot het openbaar maken van fouten in software:

Openheid of terughoudendheid, het is een discussie die al tijden loopt in de computer-gemeenschap. Ontdekte fouten vrijgeven (met code en al), zo zeggen tegenstanders van een liberalere omgang met het probleem, leidt tot een hausse aan script kiddies; kwaadwillenden die de kwetsbare code uitbuiten en misbruiken.

Macus Ranum, veiligheidsexpert en producent van software voor inbraak-detectie, drong de afgelopen tijd aan op volledige geheimhouding over de gaten in de veiligheid van software.
Makers van instrumenten die gebruik maken van de kwetsbaarheid van software zijn, aldus Ranum en gelijkgestemden, 'virtuele wapenhandelaars'. Die moet je volgens hardliners tegen elke prijs de wind uit de zeilen nemen.

Een toenemend aantal veiligheidsexperts bepleit een grotere - zo niet een totale - openheid. Dit zal weliswaar munitie leveren aan hackers, maar het betekent wel dat klanten zich bewuster zijn van de gevaren van diverse producten.

CERT (Computer Emergency Response Team) zoekt de gulden middenweg tussen het al dan wel of niet bekend maken van software fouten. Afgelopen week maakte het instituut zijn nieuwe richtlijnen bekend, en kondigde het een beleid aan dat het openbaar maken van software-fouten ondersteunt.

CERT zal niet meteen foute code openbaar maken, maar het instituut gaat meer eisen stellen aan bedrijven. Een onderneming krijgt 45 dagen de tijd om een fout te verhelpen. Gebeurt dit niet, dan zal CERT het bedrijf en de software met naam publiekelijk aan de schandpaal nagelen. Deskundigen hopen dat bedrijven zo worden gedwongen betere en veiligere software te produceren. Lees het volledige artikel op nl.internet.com.

Door Robin van Rootseler

Developer

Feedback • 09-10-2000 15:33 21

09-10-2000 • 15:33

21

Bron: nl.internet.com

Lees meer

Software

Reacties (21)

-Moderatie-faq
21
20
19
6
0
0
Wijzig sortering

Sorteer op:

Weergave:
Verwijderd 9 oktober 2000 15:37
Een goeie zaak... maar weet niet of het wel wat zal helpen.... een bedrijf gaat niet moedwillig een progje op de markt brengen waar fouten in zitten (althans neem ik aan van niet)... maar het zorgt er nu wel voor dat er veel beter op fouten zal worden gecontroleerd..... (mits de bedrijven hier zich wat van aantrekken)
irrelevant @Verwijderd9 oktober 2000 15:53
een bedrijf gaat niet moedwillig een progje op de markt brengen waar fouten in zitten (althans neem ik aan van niet)
Waarom niet? De meeste bedrijven hebben harde deadlines en dan kan ik me best voorstellen dat ze iets maar even laten zitten in de hoop dat niemand het ontdekt.
(Dat kunnen ze nu nog steeds doen als het maar iets is wat in 45 dagen te herstellen is }> )

Ik zie hier toch wel een nadeel van, want alles wat misbruikt kan worden zal misbruikt worden, en niet elke thuisgebruiker zal continu al het internetnieuws volgen en patches downloaden.
Maar het is wel een goed pressiemiddel, dus zal het waarschijnlijk niet veel meer voorkomen dat een gat blijft bestaan, wat juist het doel is. Het voorkomen van fouten zul je er echter niet mee bereiken helaas.
Devour 9 oktober 2000 16:08
Het is maar wat je als een fout bestempelt. Is het een fout als er een achterdeurtje in een browser zit?? Ik zou het als gebruiker wel graag willen weten, maar of dit een foutje in de software is vraag ik mij ten zeerste af.

Dit betekend wel dat bedrijven hun software zo moeten maken dat het makkelijk update-baar is. Een foutje is snel gemaakt maar om een hele nieuwe versie uit te moeten brengen binnen 45 dagen is toch lastig. Ik hoop dat er meer internet-updatefuncties binnen programma's komen. :)
Verwijderd @Devour9 oktober 2000 17:07
Je hebt gelijk dat software gemakkelijk te onderhouden moet zijn. Maar internet-update functies gaan niet ver genoeg. Foutloze software schrijven is vrijwel onmogelijk, maar gemakkelijk te onderhouden software is een goed alternatief.

Als je het mij vraagt moeten er meer bedrijven komen die herbruikbare software componenten maken. Deze componenten worden dan door softwaremakers op een bepaalde manier gekoppeld, en klaar is het programma. Als er een component kapot is vervang je dat (uiteraard doe je dat zelf niet, dat doet de maker van de componenten).

Dit is de gewoonste zaak van de wereld in ongeveer iedere industrie (bijvoorbeeld voor auto's), maar in de softwareindustrie vinden sommige lui het blijkbaar nodig om het wiel tien keer opnieuw uit te vinden omdat zit zogenaamd sneller zou zijn (in de zin van executietijd).

Hopelijk komt hier snel verandering in... Die actie van CERT is een stap in de goede richting.
Verwijderd 9 oktober 2000 15:46
Het openbaar maken van bugs is toch niets nieuws? Ik vind het een van de mooie kanten van open source software zoals linux > Bug gevonden... wordt gepost op het net... een paar dagen later is er een patch beschikbaar!
AuteurVerwijderd @Verwijderd9 oktober 2000 15:49
Openheid of terughoudendheid, het is een discussie die al tijden loopt in de computer-gemeenschap. Ontdekte fouten vrijgeven (met code en al), zo zeggen tegenstanders van een liberalere omgang met het probleem, leidt tot een hausse aan script kiddies; kwaadwillenden die de kwetsbare code uitbuiten en misbruiken.
MetalStef 9 oktober 2000 15:51
Het gaat dus niet om dat een bedrijf alleen nog maar foutloze software mag uitbrengen, dat is niet haalbaar. Het is onmogelijk om tussen een miljoen regels code precies nul fouten te hebben staan.

Waar het hier om gaat, is dat als er een fout ontdekt wordt, dat het bedrijf dan nog 45 dagen heeft om de fout op te lossen.

In IE5 worden toch ook nog wekelijks fouten ontdekt door die Hongaarse vent die niks beters te doen heeft dan wazige situaties te verzinnen? M$ heeft dan na elke bug weer 45 dagen om hem op te lossen.

Niemand heeft er iets aan als direct de fout en de code openbaar gemaakt wordt (dus wordt dat ook niet direct gedaan), maar het helpt vast wel om te dreigen (dat gaat men dus ook doen).

Dit nieuws betekent niet dat er sofware met minder bus uitkomt. Het betekent dat er meer gedaan gaat worden om die bugs op te lossen. Reken voor de komende tijd dus op een stortvloed aan patches.

MetalStef
The System 9 oktober 2000 16:17
ik weet niet of dit wel zo goed is van ze...

het is makkelijk om andermans fouten rond te vertellen maar als je toch iets wilt doen zorg er dan voor dat je die fout verwijderd of anders dat je die patches voor de desbtreffende probleem op je site zet zodat mensen ze daar naast de fouten kunnen vinden en niet hele web moeten afzoeken voor een patch...

naja en dan weet ik nog niet wie ze het recht geeft om die fouten openbaar te maken... en ook nog een ultimatum van 45 dagen te geven... ze zijn toch niet van de regering of wel ? zo niet moeten ze maar zelf sotware maken die bugfree is (of bijna) maar niet de fouten van anderen publiceren... dat vind ik een beetje lam... maar ja het is maar net hoe je ertegenaan kijkt...


* 786562 -the----
typfoutjes..
dextertje @The System9 oktober 2000 16:48
naja en dan weet ik nog niet wie ze het recht geeft om die fouten openbaar te maken... en ook nog een ultimatum van 45 dagen te geven... ze zijn toch niet van de regering of wel ? zo niet moeten ze maar zelf sotware maken die bugfree is (of bijna) maar niet de fouten van anderen publiceren... dat vind ik een beetje lam... maar ja het is maar net hoe je ertegenaan kijkt...
Bugfree software maken is helemaal geen taak van de CERT® (volgens hun FAQ staat CERT® nergens voor, maar is het wel ontstaan uit een computer emergency response team, zie www.cert.org/faq/cert_faq.html#A2 ).
Zo lang ze niet aan closed source code zitten, hebben ze mijns inziens helemaal het recht om fouten te publiceren niet nodig. 't werkt ongeveer als volgt: mensen ontdekken een security hole in een pakket en informeren CERT. Deze onderzoekt de fout en maakt de softwaremakers hierop attent. Na 45 dagen wordt de fout openbaar gemaakt, zodat iedereen weet dat de fout bestaat en er bedacht op kan zijn.
Ze zijn net een soort consumentenbond voor systeembeheerders etc. Het is geen geweldige vergelijking, maar de consumentenbond krijgt soms tips van leden over bijvoorbeeld een slecht produkt of een ernstige fout van een bedrijf. De consumentenbond kaart dit vervolgens aan bij het bedrijf en meldt het daarna in hun consumentengids. Voordat het probleem in de consumentengids verschijnt, zal (als het goed is) eerst het bedrijf de gelegenheid gegeven te worden de fout goed te maken.
Om verder te gaan met MetalStefs vergelijking: de CERT is een organisatie die eieren controleert -> bedrijf dat rotte eieren levert wordt aangesproken en krijgt de gelegenheid die rotte eieren te vervangen. Daarna wordt gepubliceerd wat de rotte eieren waren, zodat mensen die in bezit zijn van de rotte eieren, deze kunnen vervangen of weggooien... :) Echter, bedrijfsgeheimen zoals: hoe worden de eieren geverfd en in eierdoosjes gestopt ;) (oftewel: de exacte fouten in de code), daar doet de CERT geen melding over.
The System @dextertje9 oktober 2000 18:03
ahh zo...

nee ik vind het nu wel een stuk duidelijker... en snap nu inderdaad ook de standpunt van cert en van jullie...

dus voor zover ik het heb begrepen is cert een bedrijf die meldingen binnenkrijgt en dan stuurt naar de makers van software en dan na dat er na 45 dagen een patch is uitgekomen vertellen ze het pas... en dan kunnen mensen de patch downloaden zodat ze weer hele eieren hebben...


* 786562 -the
MetalStef @The System9 oktober 2000 16:39
De CERT maakt geen software. De CERT maakt dus ook geen patches. Dat is het werk van de maker van de software.

Het is een instantie die software controleert.

Ik ben geen kip, ik leg dus geen eieren. Maar ik weet wel hoe een ei eruit hoort te zien... ;)

Dat doet de CERT dus met suckware.

MetalStef
The System @MetalStef9 oktober 2000 17:57
ja maar ik neem ook niet aan dat als jij een minder ovale eitje krijgt je meteen Klara(kip) op internet gaat zetten en dan zeggen dat ze binnen 45 dagen een mooi eitje moet geven...

en ik weet dat ze geen software maken maar dat zouden ze wel moeten maken willen ze alle software bugfree maken... maar ik ben ff vergeten wat ik verder wou vertellen.. ik kom hier later wel ff op terug als ik weer nuchter kan denken... :P

maarre ik snap je standpunt
maar ik vind dit persoonlijk niet goed maar ik snap dat dit wel handig is om te weten... ook om software met elkaar te vergelijken...


* 786562 -the
looskuh 9 oktober 2000 15:47
Wie geeft Cert daar het recht toe? Als ik niet wil dat er in mijn code wordt gekeken, wordt er niet ingekeken. dus dat ze fouten openbaar maken ok, maar van code hebben ze in principe af te blijven.
cuylfrits @looskuh9 oktober 2000 16:44
Dat kan ik heel goed begrijpen...

Maarre het decompileren van software zodat de source code zichtbaar is, is toch ook verboden???

Dan zou wat CERT wilt gaan doen naar mijn inzien dus illegaal zijn.
Verwijderd @cuylfrits9 oktober 2000 17:47
decompileren is onzin want je krijgt toch alleen maar een hoop regels code terug waar je geen bal van begrijpt. (geen commentaren, onbegrijpbare identifiers etc.)
afterburn @looskuh9 oktober 2000 20:04
Het heeft dus NIETS met de software code van het bedrijf te maken; wat ze gaan doen is als een fout na 45 dagen niet hersteld is, uitgebreid uitleggen wat de fout is, unclusief de source code van een eventuele exploit, waarmee het probleem te reproduceren is.

Die bijdehandte script-kiddies hoeven dan dus alleen maar die source to compilen om in principe een hoop ellende te kunnen veroorzaken...
blouweKip @afterburn9 oktober 2000 22:30
Of bedrtijven dienen eens meer naar de klant te luisteren en proberen hun producten veiliger te maken...
feuniks 9 oktober 2000 18:36
Er is wat voor te zeggen. Microsoft (we zullen dat paard maar weer eens van stal halen) heeft een knowledge base. Hierin staan oplossingen voor hun problemen. Daarnaast hebben ze technet. Ook daar zitten problemen en oplossingen in.

Vandaag kon ik eens op Premier Support kijken. Daar zitten dus veel meer dingen in. Veel zaken waarvan Microsoft weet dat het mis is , en waar de partners wel gebruik van mogen maken, maar waar de gewone gebruiker niets van mag zien of horen...

Mag dat ff wel aan de kaak worden gesteld? (Nee ik mag dat niet, want ik heb mijn woord moeten geven, en dat breek ik dus niet).
Verwijderd 9 oktober 2000 18:44
Jongens, het lijkt mij dat hier de eventuele code wordt bedoeld die het mogelijk maakt een bug te exploiten. Die mensen gaan niet decompileren, dat mag niet.

Wat ze dus doen, is het verzamelen van exploits van mensen over de hele wereld, en vervolgens dit goed bekijken (is het reproduceerbaar?), om dit vervolgens aan de fabrikant door te spelen.

CERT is een organisatie die bijvoorbeeld tegen Microsoft zegt dat er een gat zit in Windows 2000 ofzo.

Als ze DAN niet binnen 45 dagen een patch maken bij de fabrikant, zal CERT dus alles publiceren en zo een flink probleem veroorzaken (schadeclaims aan de fabrikant). Zo wordt dus gezorgd dat men er echt iets aan doet.
acq 10 oktober 2000 16:29
Ik vind dit een goede zaak, dit komt, denk ik, de veiligheid op internet ten goede. Goed er komen misschien meer hackers bij, maar wie zegt dat dat per definitie fout is?! Als er geen hackers waren, zouden veel fouten niet gemeld worden en kunnen met name scriptciddies hun gang gaan (let op het verschil tussen hackers, crackers en scriptciddies).

Neem bijvoorbeeld de bug in IE dat lokale files gelezen kunnen worden ( www.tweakers.net/nieuws.dsp?ID=13082 ), bij mijn weten is daar nog steeds geen patch voor, of heb ik iets gemist :o

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq