De Windows-maker stelt dat verantwoord omgaan met beveiligingsgaten niet simpelweg een kwestie is van melden bij een softwareproducent en dan zwijgen. Het bedrijf gaat echter ook niet voor de tegenovergestelde ‘filosofie’; die van gedetailleerd onthullen. Dat zogeheten ‘full disclosure’ is gebaseerd op de gedachte dat beheerders en gebruikers met die informatie beperkende maatregelen kunnen nemen en dat de softwareproducenten worden aangejaagd om patches uit te brengen.

Gedeelde verantwoordelijkheid

Microsoft stelt nu een tussenvorm voor, en tooit die met de naam ‘Coordinated vulnerability disclosure’. “Verantwoordelijkheid is nog steeds absoluut noodzakelijk, maar het is een gedeelde verantwoordelijkheid, verdeeld over de gemeenschap van security-onderzoekers, de aanbieders van security-producten en andere softwareleveranciers”, schrijft algemeen directeur Matt Thomlinson van Microsofts security-initiatief Trustworthy Computing.

Het bedrijf volgt hiermee Google die zich deze week heeft uitgesproken tégen ‘responsible disclosure’. De internetreus stelt dat ontdekkers lekken wel moeten melden, maar na 60 dagen publiekelijk moeten onthullen. Stilhouden tot een softwareproducent met een patch komt, is niet in het belang van gebruikers en beveiliging in het algemeen.

Klanten beschermen

Thomlinson van Microsoft erkent dat er een eindeloze discussie woedt over de twee uitersten in overtuigingenover het onthullen van beveiligingsgaten. De Microsoft-topman stelt dat die discussie afleidt van betekenisvolle en productieve samenwerking in de ict-industrie, en van de verdediging van klanten.

“Wij vinden dat de gedachtengang van de gemeenschap om moet; coördinatie en samenwerking zijn vereist om kwesties op te lossen op een manier die risico en verstoring minimaliseren voor klanten.” Hij laat nog in het midden wie dan de coördinatie voert; softwareleverancier of lek-ontdekker.

Security-strateeg Katie Moussouris van Microsoft geeft een hint in haar blogpost hierover: “Microsoft vraagt onderzoekers om met ons mee te werken aan ‘coordinated vulnerability disclosure’.” Zij stelt dat er qua timing overeenstemming moet zijn tussen de betreffende softwareproducent en de ontdekker van een lek. De door Google voorgestelde deadline van 60 dagen is voor Microsoft dus niet aan de orde.

Geen grote verandering

Volgens Thomlinson is de tussenvorm die de Windows-maker nu omarmt geen grote verandering ten opzichte van ‘responsible disclosure’. “Wij zien het algemeen bekendmaken van details over kwetsbaarheden nog steeds als het onnodig in gevaar brengen van klanten. ‘Coordinated vulnerability disclosure' staat echter meer gerichte coördinatie toe over hoe kwesties publiekelijk worden aangepakt.”

“De kernprincipes zijn simpel: leveranciers en ontdekkers moeten hecht samenwerken om tot een oplossing te komen, omvangrijke inspanningen moeten gedaan worden om tot een tijdige reactie te komen, en alleen in het geval van actieve aanvallen is publieke onthulling de beste koers.”

Wel/geen aanvallen

Die publieke onthulling moet dan wel gericht zijn op het beperken van het risico, en het bieden van workarounds om lekken, of het misbruik ervan, af te dichten, stelt de Microsoft-topman. “En zelfs dan moet het zo goed mogelijk gecoördineerd worden.”

Zijn collega Moussouris geeft ook aan dat het omslagpunt tussen stilhouden en ‘gecoördineerd’ onthullen ligt bij aanvallen in de praktijk. Dat is een gebeurtenis die objectief te observeren valt door vele onafhankelijke partijen, schrijft zij.

Haar blogpost is ‘ondertekend’ door een reeks topmensen van partners als McAfee, Cisco en Intel, maar ook door diverse security-onderzoekers. Daaronder bevindt zich ook Dan Kaminksy die een fundamentele fout in ‘internet-adresboek’ DNS (domain name system) heeft ontdekt, gemeld aan de vele ict-leveranciers die dit raakt, en vervolgens gedurende maanden in het geheim heeft meegewerkt aan een oplossing.