Evgeny Legerov is de oprichter van Intevydis, een klein beveiligingsbedrijf uit Moskou. Hij heeft de komende weken uitgeroepen tot de 'zero-day awareness' weken. Hij stelt op zijn blog dat grote softwareproducenten gebruik maken van de beveiligingsonderzoekers door hen het onderzoek gratis te laten doen. Zij verdienen miljoenen dollars met de verkoop van hun buggy software, en dan willen ze ook nog dat onderzoekers de resultaten van hun harde werk gratis weggeven. Ze zouden er beter aan doen hun amateur softwareontwikkelaars wat goede codegewoonten bij te brengen, zo stelt Legerov.

Tot nu toe heeft Legerov lekken onthuld in Sun Directory Server 7.0 en in Tivoli Directory Server 6.2, samen met een proof-of-concept exploit. Daarmee zet hij zijn stellingen kracht bij. Deze week zal er zeker nog een zero-day in Novell eDirectory bij komen.

'Samenwerking levert niets op'

In een interview met Kreb on Security stelt hij dat het samenwerken met de producenten niets oplevert. Hij geeft het voorbeeld van een bug in RealPlayer. Die bug is twee jaar oud en keurig bekend gemaakt aan de producent, maar er is nog niets mee gedaan. Legerov stelt dat die bug wel zou zijn aangepakt als de kwetsbaarheid openbaar was gemaakt.

Aan het eind van het interview komt overigens naar voren dat hij zijn werk niet helemaal gratis hoeft te doen. Met verschillende programma's is het voor onderzoekers niet moeilijk om tussen 5000 en 10.000 dollar per maand te verdienen met het verkopen van kwetsbaarheden. Maar hij geeft er de voorkeur aan om ze openbaar te maken. “Dat stelt mensen in staat te publiceren wat ze denken, zonder dat de scherpe kantjes er vanaf worden gehaald”, zegt hij.

Onverantwoordelijk

Niet iedereen denkt daar hetzelfde over. Volgens Dmitri Alperovitch van McAfee is wat Legerov doet onverantwoordelijk, aangezien er een groot aantal bedrijven afhankelijk is van de software. Volgens hem zou het goed zijn om producenten van tevoren informatie te sturen, met een aankondiging dat de bug op een bepaalde datum gepubliceerd zal worden. Dan kunnen ze zich voorbereiden.

Graham Cluley is het met hem eens. Op zijn blog stelt hij dat je met het direct publiceren van bugs een pistool tegen het hoofd van een producent zet, met het risico dat je ook onschuldige gebruikers neerknalt. Er zijn nog andere manieren om een producent onder druk te zetten. Cluley stelt voor om de macht van de media te gebruiken. Zoek een journalist die bereid is om het verhaal op te schrijven en leg hem uit hoe de exploit werkt. Maak desnoods een video die het probleem laat zien, maar zonder details weg te geven. Dat levert een uitstekend nieuwsitem op en zo pak je de producent op zijn goede naam.

Zeldzaam

Charly Miller, bekend als meervoudig winnaar van de Pwn2Own hackerwedstrijd op de CanSecWest conferentie en medeoprichter van No More Free Bugs, heeft wel sympathie voor de actie van Legerov. Volgens hem zou het vinden van kritische beveiligingskwestie in veelgebruikte software een zeldzaamheid moeten zijn, als de producenten hun werk goed zouden doen. “De conclusie moet zijn dat een aantal producenten niet genoeg doen om hun software veilig te maken”, zegt hij. Bron: Techworld