Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 15 reacties
Bron: WebWereld

WebWereld schrijft over een probleem dat al jaren in de softwarewereld bestaat, namelijk de publicatie van beveiligingsfouten in computerprogramma's. De ene partij vindt dat fouten direct naar buiten gebracht moeten worden om de softwaremakers onder druk te zetten; full disclosure. Anderen zeggen echter, dat deze methode helemaal niet in het voordeel van de gebruiker is. Als hackmogelijkheden en dergelijke al uitgelegd worden voordat er een patch beschikbaar is, kan iedereen namelijk misbruik maken van deze situatie door het lek uit te buiten. Volgens de onderzoekers Steve Christey en Chris Wysopal "doet iedereen maar wat", en moet er dan ook een eenduidige standaard komen voor de openheid die gegeven moet worden in dergelijke situaties.

MitreDe medewerkers van non-profitorganisatie Mitre laten weten dat er nog weinig vaste regels zijn, en het kort gezegd dus eigenlijk een kleine chaos is op dit gebied. Onder de naam 'Responsible Vulnerability Disclosure Process' hebben de twee daarom een voorstel aan het Internet Engineering Task Force gedaan, waarin ze strakke regels opgesteld hebben. Volgens het protocol dat beschreven wordt, zal de ontdekker van een probleem vanzelfsprekend als eerste de softwaremaker op de hoogte stellen. Daarna heeft deze een periode van zeven tot tien dagen om te reageren op het probleem. Is het lek na deze periode nog niet opgelost, dan zal elke zeven dagen contact gehouden moeten worden met de ontdekker(s). Uiteindelijk is een oplossing binnen een maand vereist, om te voorkomen dat een ander ondertussen ook het probleem ontdekt en er misbruik van maakt.

Met dank aan Maori voor de tip.

Lees meer over

Moderatie-faq Wijzig weergave

Reacties (15)

Het blijft mij echter onduidelijk wat de taak dan precies is van Mitre. Stellen zij alleen maar het protocol op, is het ook een meldpunt, wie gaat het lek na een maand openbaar maken. Hoe weten we dat leden van Mitre niet zelf exploits gaag gebruiken, ofwel hoe wordt Mitre zelf dan gecontroleerd. Allemaal vragen die niet meteen uit het artikel naar voren komen.

* 786562 plok
Klinkt goed...

Alleen moeten we maar weer hopen dat het in de praktijk gaat werken, er zijn zoveel belangen in verstrengeld.

Mischien zou er iets in moeten staan wat zegt dat de maker het lek meteen moet publiceren als er op een of andere manier een proffesorische fix mogelijk is.

Dus als Internet explorer (schechts voorbeeld, geen flame) weer eens een bug heeft die, ik moet maar wat hoor te fixen is door het gebruik van coockies uit te zetten. Dan vind ik dat ze dat meteen moeten publiceren zodat gebruikers zo weinig mogelijk risico lopen...


Alhoewel... Dat is mischien weer juist wat de stichting niet wil... Als er geen mogelijkheid om de kwetsbaarheid te omzeilen dan is het inderdaad goed dat het lek stilgehouden wordt...
Er is al een 'policy' die door wat grote namen (rfp, aleph1(exmoderator van bugtraq), weld pond) in de security industrie is opgezet. Zie http://www.wiretrip.net/rfp/policy.html ...

Vind de rfp-policy persoonlijk beter...
Lijkt mij een beter plan om iets op te zetten om de kwaliteit van software te verhogen. Oftewel bugs/beveiligingslekken te voorkomen voor ze uberhaupt op de markt komen. De tijd nemen om te testen ipv een naam te willen maken door elk jaar iets nieuws op de markt te zetten.

Er zijn genoeg methodieken en methodes die het mogelijk maken een groot deel van de fouten die je nu aantreft in software te voorkomen.

Een goed opgezet ontwikkelingstraject om een goed produkt te krijgen heeft imho meer zin dan een goed opgezet aftersales traject te hebben om ondersteuning te bieden voor een buggy produkt.
Maar het is gewoon een feit dat je nooit alle bugs (dus ook beveiligingsproblemen) uit je software kunt halen tijdens testprocedures, dan kun je tot in de eeuwigheid testen... Dus: een initiatief of een discussie over de aanpak van deze problemen is een goed idee. Daarnaast zal ik natuurlijk niet plannen voor het beter testen van software tegenspreken ;) Kortom: je kunt beter jouw ideeen en die van het nieuwsbericht combineren.
* 786562 nibble
* nibble heeft er weinig vertrouwen in dat hackers zich hieraan gaan houden. Ze bepalen tenslotte ZELF wanneer ze iets naar buiten brengen.
Precies... Vaak is het zelfs zo dat hackers eerst de softwarefabrikant op de hoogte steld. Als ze dan niet snel genoeg aktie ondernemen of als de hacker een antwoord terugkrijgt met van "dat is niet zo, dat kan niet" dan vraag je er natuurlijk ook om dat het de publiciteit ingegooid wordt.
OK, uitstekend initiatief, maar welke (grote) partijen staan er achter Mitre?
Verder wordt er nog steeds niets gezegd over het vrijgeven zelf. Een maand (dat haal ik er dan uit) vind ik persoonlijk een beetje te lang!
Nog belangrijker is, welke hackers zullen zich aan de overeenkomst houden? Want als de hacker doodleuk zegt dat hij niet wacht totdat de fabrikant klaar is met een oplossing, heeft de hele overeenkomt geen zin.

Dat geld helemaal voor crackers, die zullen zich helemaal niet aan de overeenkomst houden.

Maar het is in ieder geval goed dat er toch iets geprobeerd wordt, want ik ben ook van mening dat bedrijven eerst de kans moeten krijgen om een oplossing te maken en zo het grote publiek te beschermen tegen mensen die de bugs gebruiken voor minder leuke praktijken.
Zie ook dit artikel:

http://www.tweakers.net/nieuws/20707

Ook @stake is deel van deze organisatie :)
Hoe groot is eigenlijk wereldwijd de economische/persoonlijke schade per bug momenteel?
Is het 't wel waard om daar een protocol voor in het leven te roepen? Immers, een "brave" bug-ontdekker meldt zijn ontdekking netjes, en kwaadwillenden blijven toch ook gewoon hun gang gaan. Ik denk dat die laatste groep zich zelfs suf lacht om zo'n initiatief, omdat het in feite mosterd na de maaltijd is.
Zoals ze zelf al zeggen, er bestaat daar veel verschil van mening over. Bruce Schneider schrijft er ook regelmatig over. Aan zo'n protocol heb je dus geen zak, iedereen doet toch wat \[z,h]ij zelf denkt dat goed is en trekt zich er niks van aan.

Typisch weer zo'n project van een stel managers/beleidsbobo's die wat om handen moeten hebben en daar geen productiever bezigheid voor konden bedenken.
En toch vind ik dit een slechte ontwikkeling, want het komt er op neer dat beveiligingslekken onder een klein groepje blijven.

Dat lijkt gunstig, maar komt er in de praktijk op neer dat mensen beveiligingslekken hebben, zonder dat zei het weten. 'false sence of security' dus.

Zeker als een lek bekend is bij een kleinere groep mensen, dan hebben politieke hackersgroeperingen e.d. er enorm veel belang bij om achter die informatie te komen. Zo lang niemand het weet kan je ongestoord een beveiligingslek uitbuiten.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True