Microsoft beloofde dit zaterdag op de ToorCon veiligheidsbijeenkomst in Seattle. The Register noemt het een belangrijk besluit van de softwaregigant.

Open gulp

Hoewel veiligheidsonderzoekers software die op hun eigen hardware draait mogen 'aanvallen', kunnen zij vervolgd worden als zij dit doen op servers van anderen. Enkele organisaties hebben al gerechtelijke stappen ondernomen tegen onderzoekers die online lekken hebben aangetoond. Bekend is ook het voorbeeld van de bug-klokkenluider Eric McCarty die in 2006 werd beschuldigd van computerinbraak.

Microsofts veiligheidsmedewerkster Katie Moussouris sprak afgelopen zaterdag schande van het vervolgen van ethische hackers. "Als iemand zo aardig is om je erop te wijzen dat je gulp open staat, dan moet je die persoon bedanken in plaats van de politie bellen en hem voor viespeuk uit te maken."

ISO-standaard

Moussouris zegt bezig te zijn een bepaling te laten toevoegen op een bij de International Organization for Standardization (ISO) voorgestelde standaard. Hierdoor zouden ethische hackers worden beschermd die op verantwoordelijke manier kwetsbaarheden in sites van bedrijven blootleggen. Waarschijnlijk gaat het hier om het voorstel ISO/IEC NP 29147.

Schroom

Met het toelaten van ethisch hacken zouden websites veiliger moeten worden, aangezien wordt gebruikgemaakt van de kennis van talloze onafhankelijke onderzoekers die veiligheidslekken kunnen vinden. "Mensen die ons proberen te helpen moeten niet worden ontmoedigd uit angst voor eventuele vervolging", stelt Moussouris. Volgens Alex Stamos van iSEC Partners hebben onderzoekers inderdaad veel schroom om lekken in publieke webtoepassingen op te speuren. "Je weet immers nooit hoe bedrijven zullen reageren. En dat is slecht, want zo vinden alleen boeven deze lekken", aldus Stamos.

Gewild doelwit

Microsoft blijft een gewild doelwit voor hackers, ziet Moussouris. Zij vertelde verder over de maatregelen die het bedrijf op veiligheidsgebied neemt. Zo moeten IT-medewerkers die zich met veiligheid gaan bezighouden de tweedaagse cursus 'Defend the Flag' volgen. Ook adviseert het softwarebedrijf andere organisaties bij veiligheidsvraagstukken.