In een essay op de site van Microsoft schrijft Scott Culp, hoofd van het Microsoft Security Response Center, dat de gemeenschap van veiligheidsdeskundigen medeverantwoordelijk is voor recente virussen als Code Red en Nimda. "De mensen die virussen maken, worden terecht veroordeeld als criminelen. Maar ze hebben hulp nodig om onze netwerken te vernietigen. En wij, veiligheidsdeskundigen, geven hun die hulp", aldus Culp. Culp veroordeelt de bestaande praktijk waarbij veiligheidsdeskundigen en hackers die een bug ontdekken, daarover publiceren. Volgens Culp leidt dit tot een 'informatie anarchie', waarbij handleidingen op internet verschijnen waarin stap voor stap wordt uitgelegd hoe je een veiligheidslek kunt exploiteren. Virusschrijvers en hackers gebruiken deze informatie vervolgens om grote schade aan te richten.

Full disclosure

De oproep van Culp komt niet uit de lucht vallen. Als er een bedrijf is dat heeft te lijden onder veiligheidsproblemen, dan is het Microsoft wel. Verreweg de meeste computervirussen maken handig gebruik van alle gaten die de marktleider in zijn software heeft zitten. Met zijn essay mengt Culp zich in de al langer lopende discussie die de beveiligingswereld voert over 'full disclosure', zoals de praktijk van het publiceren over veiligheidslekken wordt genoemd. Voorstanders van full disclosure menen dat de veiligheid van computersystemen op termijn alleen maar gebaat is bij zoveel mogelijk openheid, terwijl de tegenstanders ervan zeggen dat deze praktijk ertoe leidt dat virusschrijvers de recepten voor hun virussen op een presenteerblaadje krijgen aangereikt.

'Kwalijke zaak'

Marius van Oers, computervirusdeskundige van Network Associates, is het gedeeltelijk met Culp eens. "Het zou niet goed zijn als alles werd verzwegen, maar het is ook een kwalijke zaak als informatie over een softwarelek wordt gepubliceerd, zonder dat de softwaremaker van tevoren is ingelicht." In tegenstelling tot Culp is Van Oers echter van mening dat het grootste deel van de gemeenschap van veiligheidsdeskundigen wel verantwoordelijk omgaat met informatie over veiligheidslekken. "Meestal wordt de code om een veiligheidsgat uit te buiten, niet meteen gepubliceerd, maar wordt eerst de softwaremaker ingelicht. Die krijgt dan een paar weken de tijd om het gat te dichten." Volgens Van Oers zijn het vooral hackers die snel naar buiten treden met informatie over bugs. "Dan zie je inderdaad dat diezelfde code een paar dagen later wordt gebruikt voor een virus of een hack. Maar de meeste mensen in de beveiligingswereld lopen niet met de code voor het exploiteren van veiligheidsgaten te koop."