"Standaard voor oplossen softwareproblemen nodig"

WebWereld schrijft over een probleem dat al jaren in de softwarewereld bestaat, namelijk de publicatie van beveiligingsfouten in computerprogramma's. De ene partij vindt dat fouten direct naar buiten gebracht moeten worden om de softwaremakers onder druk te zetten; full disclosure. Anderen zeggen echter, dat deze methode helemaal niet in het voordeel van de gebruiker is. Als hackmogelijkheden en dergelijke al uitgelegd worden voordat er een patch beschikbaar is, kan iedereen namelijk misbruik maken van deze situatie door het lek uit te buiten. Volgens de onderzoekers Steve Christey en Chris Wysopal "doet iedereen maar wat", en moet er dan ook een eenduidige standaard komen voor de openheid die gegeven moet worden in dergelijke situaties.

MitreDe medewerkers van non-profitorganisatie Mitre laten weten dat er nog weinig vaste regels zijn, en het kort gezegd dus eigenlijk een kleine chaos is op dit gebied. Onder de naam 'Responsible Vulnerability Disclosure Process' hebben de twee daarom een voorstel aan het Internet Engineering Task Force gedaan, waarin ze strakke regels opgesteld hebben. Volgens het protocol dat beschreven wordt, zal de ontdekker van een probleem vanzelfsprekend als eerste de softwaremaker op de hoogte stellen. Daarna heeft deze een periode van zeven tot tien dagen om te reageren op het probleem. Is het lek na deze periode nog niet opgelost, dan zal elke zeven dagen contact gehouden moeten worden met de ontdekker(s). Uiteindelijk is een oplossing binnen een maand vereist, om te voorkomen dat een ander ondertussen ook het probleem ontdekt en er misbruik van maakt.

Met dank aan Verwijderd voor de tip.

Door Mark Timmer

Feedback • 27-02-2002 10:18 15

27-02-2002 • 10:18

15

Bron: WebWereld

Lees meer

IBM breidt kopieerbeveiligingssoftware uit
IBM breidt kopieerbeveiligingssoftware uit Nieuws van 10 april 2002
Software

Reacties (15)

-Moderatie-faq
15
14
12
3
0
0
Wijzig sortering

Sorteer op:

Weergave:
Verwijderd 27 februari 2002 10:24
Het blijft mij echter onduidelijk wat de taak dan precies is van Mitre. Stellen zij alleen maar het protocol op, is het ook een meldpunt, wie gaat het lek na een maand openbaar maken. Hoe weten we dat leden van Mitre niet zelf exploits gaag gebruiken, ofwel hoe wordt Mitre zelf dan gecontroleerd. Allemaal vragen die niet meteen uit het artikel naar voren komen.

* 786562 plok
Martijn02 27 februari 2002 10:29
Klinkt goed...

Alleen moeten we maar weer hopen dat het in de praktijk gaat werken, er zijn zoveel belangen in verstrengeld.

Mischien zou er iets in moeten staan wat zegt dat de maker het lek meteen moet publiceren als er op een of andere manier een proffesorische fix mogelijk is.

Dus als Internet explorer (schechts voorbeeld, geen flame) weer eens een bug heeft die, ik moet maar wat hoor te fixen is door het gebruik van coockies uit te zetten. Dan vind ik dat ze dat meteen moeten publiceren zodat gebruikers zo weinig mogelijk risico lopen...


Alhoewel... Dat is mischien weer juist wat de stichting niet wil... Als er geen mogelijkheid om de kwetsbaarheid te omzeilen dan is het inderdaad goed dat het lek stilgehouden wordt...
[ti] 27 februari 2002 10:29
Er is al een 'policy' die door wat grote namen (rfp, aleph1(exmoderator van bugtraq), weld pond) in de security industrie is opgezet. Zie http://www.wiretrip.net/rfp/policy.html ...

Vind de rfp-policy persoonlijk beter...
mvds 27 februari 2002 11:16
Lijkt mij een beter plan om iets op te zetten om de kwaliteit van software te verhogen. Oftewel bugs/beveiligingslekken te voorkomen voor ze uberhaupt op de markt komen. De tijd nemen om te testen ipv een naam te willen maken door elk jaar iets nieuws op de markt te zetten.

Er zijn genoeg methodieken en methodes die het mogelijk maken een groot deel van de fouten die je nu aantreft in software te voorkomen.

Een goed opgezet ontwikkelingstraject om een goed produkt te krijgen heeft imho meer zin dan een goed opgezet aftersales traject te hebben om ondersteuning te bieden voor een buggy produkt.
roelio @mvds27 februari 2002 13:33
Maar het is gewoon een feit dat je nooit alle bugs (dus ook beveiligingsproblemen) uit je software kunt halen tijdens testprocedures, dan kun je tot in de eeuwigheid testen... Dus: een initiatief of een discussie over de aanpak van deze problemen is een goed idee. Daarnaast zal ik natuurlijk niet plannen voor het beter testen van software tegenspreken ;) Kortom: je kunt beter jouw ideeen en die van het nieuwsbericht combineren.
Nibble 27 februari 2002 20:22
* 786562 nibble
Verwijderd @Nibble27 februari 2002 23:11
* nibble heeft er weinig vertrouwen in dat hackers zich hieraan gaan houden. Ze bepalen tenslotte ZELF wanneer ze iets naar buiten brengen.
Precies... Vaak is het zelfs zo dat hackers eerst de softwarefabrikant op de hoogte steld. Als ze dan niet snel genoeg aktie ondernemen of als de hacker een antwoord terugkrijgt met van "dat is niet zo, dat kan niet" dan vraag je er natuurlijk ook om dat het de publiciteit ingegooid wordt.
buum 27 februari 2002 10:21
OK, uitstekend initiatief, maar welke (grote) partijen staan er achter Mitre?
Verder wordt er nog steeds niets gezegd over het vrijgeven zelf. Een maand (dat haal ik er dan uit) vind ik persoonlijk een beetje te lang!
Beaves @buum27 februari 2002 10:27
Nog belangrijker is, welke hackers zullen zich aan de overeenkomst houden? Want als de hacker doodleuk zegt dat hij niet wacht totdat de fabrikant klaar is met een oplossing, heeft de hele overeenkomt geen zin.

Dat geld helemaal voor crackers, die zullen zich helemaal niet aan de overeenkomst houden.

Maar het is in ieder geval goed dat er toch iets geprobeerd wordt, want ik ben ook van mening dat bedrijven eerst de kans moeten krijgen om een oplossing te maken en zo het grote publiek te beschermen tegen mensen die de bugs gebruiken voor minder leuke praktijken.
zomertje 27 februari 2002 10:33
Zie ook dit artikel:

http://www.tweakers.net/nieuws/20707

Ook @stake is deel van deze organisatie :)
zyxnor 27 februari 2002 11:21
Hoe groot is eigenlijk wereldwijd de economische/persoonlijke schade per bug momenteel?
Is het 't wel waard om daar een protocol voor in het leven te roepen? Immers, een "brave" bug-ontdekker meldt zijn ontdekking netjes, en kwaadwillenden blijven toch ook gewoon hun gang gaan. Ik denk dat die laatste groep zich zelfs suf lacht om zo'n initiatief, omdat het in feite mosterd na de maaltijd is.
Verwijderd 27 februari 2002 13:01
Zoals ze zelf al zeggen, er bestaat daar veel verschil van mening over. Bruce Schneider schrijft er ook regelmatig over. Aan zo'n protocol heb je dus geen zak, iedereen doet toch wat [z,h]ij zelf denkt dat goed is en trekt zich er niks van aan.

Typisch weer zo'n project van een stel managers/beleidsbobo's die wat om handen moeten hebben en daar geen productiever bezigheid voor konden bedenken.
TumbleCow 27 februari 2002 14:33
En toch vind ik dit een slechte ontwikkeling, want het komt er op neer dat beveiligingslekken onder een klein groepje blijven.

Dat lijkt gunstig, maar komt er in de praktijk op neer dat mensen beveiligingslekken hebben, zonder dat zei het weten. 'false sence of security' dus.

Zeker als een lek bekend is bij een kleinere groep mensen, dan hebben politieke hackersgroeperingen e.d. er enorm veel belang bij om achter die informatie te komen. Zo lang niemand het weet kan je ongestoord een beveiligingslek uitbuiten.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq