Wordt de wereld veiliger door openbaar maken bugs?

Robin Hood

Artikelgereedschap

  • Tip ons
  • Printen
  • Reacties (2)
Aanbevelen

Gepubliceerd: Donderdag 17 juni 2010
Auteur:

Hackers die lekken ontdekken in software maken hun bevindingen regelmatig openbaar, hoewel grote producenten erop hameren dat ze die informatie 'verantwoordelijk' moeten delen. Is full disclosure een gevaar voor de wereld, of maakt het de wereld veiliger?

De afgelopen week onthulde hacker groep Goatse Security duizenden e-mail-adressen van iPad-gebruikers die waren verkregen door een gat in de AT&T website. Daarbij zaten adressen van hoge Amerikaanse militairen, politici en zakenmensen. Bijna tegelijkertijd heeft een Google engineer een lek in Windows XP openbaar gemaakt, voordat Microsoft de kans had om het te dichten. Het wordt uitgebuit terwijl ik dit schrijf.

Held of schurk?

Er zijn opvallende overeenkomsten tussen deze twee gevallen, waarvan de rechtvaardiging de meest opvallende is. Zowel Goatse en Tavis Ormandy hebben gebruikers in gevaar gebracht door hun bevindingen met de hele wereld te delen, maar ze beweren beide dat ze daar een hoger doel mee dienen. Ze zeggen dat ze hun bevindingen openbaar maakten omdat Microsoft, AT&T en Apple niet de nodig stappen ondernamen waarmee ze hun gebruikers snel en goed beschermen.

De argumenten die ze daarvoor geven, werpen een interessante vraag op: Moeten we Goatse en Ormandy zien als heroïsche Robin Hoods die de veiligheid in eigen handen nemen, waarbij er her en der wat spaanders vallen? Of moeten we ze zien als schurken die chaos veroorzaken voor hun eigen plezier?

Hoger doel

Ormandy van Google puliceerde het lek in Windows XP slechts vijf dagen nadat hij het aan Microsoft had gemeld. Hij zegt dat hij de informatie openbaar heeft gemaakt omdat Redmond weigerde om binnen 60 dagen een patch te maken. "Ik word een beetje moe van alle '5 dagen'-hate mail", twittert hij. "Die vijf dagen heb ik gebruikt om hen ertoe te bewegen om binnen 60 dagen een fix uit te brengen."

Escher Auernheimer van Goatse (die dinsdag overigens is gearresteerd) zei op zijn beurt op zijn blog dat AT&T zijn verdiende loon kreeg, omdat het bedrijf zijn gebruikers niet waarschuwde dat hun gegevens waren gestolen. "AT&T had tijd genoeg om het publiek te informeren voordat wij het openbaar maakten. Dat deden ze niet, terwijl ze het direct hadden moeten doen nadat ze een patch hadden gemaakt, binnen het uur. Dagen naderhand is onacceptabel", schreef hij. "Theoretisch is het mogelijk dat in die dag (zeker nadat het gat was gedicht) een criminele organisatie zou besluiten om de oude data te gebruiken tegen de gebruikers, voordat de gebruikers waren ingelicht over het lek."

Die gegevens, gecombineerd met een gat in Safari voor de iPad, waarvan Apple volgens Goatse al sinds maart afwist maar dat ze nog niet gepatcht hadden, zou iPad-gebruikers volgens Auernheimer in serieus gevaar brengen. "Toen wij dit openbaar maakten, bewezen we onze natie een dienst. We houden van Amerika en het idee dat Russen of Chinezen de Amerikaanse infrastructuur kunnen ondermijnen is voor ons een nachtmerrie."

« vorige 1 2

Nieuwsbrief

Ontvang dagelijks een overzicht van het laatste ICT-Nieuws in uw mailbox

Whitepapers

  • Maximaliseer het voordeel van SaaS

    Cloud-applicaties hebben grote invloed op het gebruik van de IT-architectuur en niet ieder project levert de verwachte voordelen op.

    Downloaden
  • Flexibele IT noodzaak voor bankenOnderzoeksrapport over de beperkte flexibiliteit van veel IT-systemen in de bancaire wereld. Lees meer!
  • Kostenbesparing voor long tail appsOplossing voor kostenkwesties in VDI. Technologie geschikt voor long tail apps.
» Meer whitepapers

Peiling

Loading Poll

Video: Review: HTC One X-smartphone met vijf...

Review: HTC One X-smartphone met vijf cores (video)