Google: lekken na 60 dagen onthullen
Gepubliceerd: Woensdag 21 juli 2010
Auteur: Jasper Bakker
Google spreekt zich uit tegen het stilhouden van lekken tot een softwareleverancier toekomt aan het dichten daarvan. Wachten is niet in het belang van gebruikers en beveiliging.
De internetgigant onderschrijft daarmee de handelingen van werknemer Tavis Ormandy die eerder kritieke lekken in Windows, maar ook Linux, heeft ontdekt en geopenbaard. De security-onderzoeker is daarvoor flink bekritiseerd, maar ook geprezen. Hij heeft de lekken niet meteen onthuld, maar de betrokken leverancier 60 dagen de tijd gegeven om een patch uit te brengen. Dat is Microsoft laatst wel gelukt.
Maanden of jaren openstaan
Google hekelt nu de term 'responsible disclosure', dat is het melden van het lek aan de maker van de software, en dat verder stilhouden. Het bedrijf stelt dat het netjes melden van gaten bij softwareproducenten en het vervolgens stilhouden ervan helemaal niet verantwoord is. Gebruikers zijn daar namelijk niet mee geholpen, zeker niet als gaten daardoor maanden of zelfs jaren open blijven staan.
Terwijl een softwareleverancier niet aan een patch werkt, of daar ruim de tijd voor neemt, is de kans zeer groot dat de stilgehouden gaten herontdekt worden. Dat kan dan ook door een kwaadwillende ontdekker zijn.
Aanvallers met veel kennis en ervaring gebruiken 0-day kwetsbaarheden in de praktijk, blogt het securityteam van Google. "Er is een toenemend aantal gevallen van 0-day aanvallen die kwetsbaarheden gebruiken die al enige tijd bekend zijn bij de softwareleverancier, en situaties waarbij het duidelijk is geworden dat een kwetsbaarheid actief werd misbruikt nadat de bug is gedicht of onthuld."
Binnen 60 dagen
Google nuanceert in de blogpost nog wel de kritiek op de twee tegengestelde modellen (full en responsible disclosure) die gebruikt worden bij het omgaan met lekken. "Wij menen dat 'responsible disclosure' twee kanten op moet werken. Leveranciers moeten zich, net als onderzoekers, verantwoord gedragen. Serieuze bugs moeten binnen een redelijke termijn worden opgelost."
De security-experts erkennen dat elke bug uniek is, maar stellen dat een periode van 60 dagen toch echt wel een redelijk maximum is voor het dichten van een echt kritiek gat in software die breed ingezet is. Zoals het marktdominante Windows, hoewel ze dat besturingssysteem niet met naam noemen.
"Deze termijn is alleen bedoeld om van toepassing te zijn op kritieke zaken. Sommige bugs worden verkeerd als 'kritiek' aangemerkt, maar wij kijken naar geaccepteerde richtlijnen om dat belangrijke onderscheid te maken." De experts verwijzen naar Google's eigen 'severity guidelines' voor Chromium (de open source-uitvoering van de Chrome-browser) en naar de richtlijnen van Firefox-maker Mozilla.
Bugs-premie verhoogd
Ondertussen heeft Google ook de premie verhoogd voor kritieke lekken die ontdekkers bij het bedrijf melden. Sinds begin dit jaar betaalt Google het symbolische bedrag van 1337 dollar per gemeld serieus lek in zijn browser Chrome. Nu bedraagt die beloning 3.133,70 dollar. De verhoging volgt vlak na een verhoging die Mozilla doorvoerde van 500 naar 3000 dollar per lek.
