De meerderheid van de Techworldlezers staat achter Ormandy, maar lang niet iedereen is het met hem eens. Graham Cluley van Sophos noemt Ormandy op zijn blog erg onverantwoordelijk. Hij vond dat Ormandy het hackers wel erg gemakkelijk maakte. Maar vooral Mike Reavey van Microsoft haalde fel uit naar Ormandy. Hij zei dat het openbaar maken van de bug grote aanvallen mogelijk maakte, en dat Ormandy het probleem niet goed begreep. Daarnaast wees hij herhaaldelijk op het feit dat Ormandy voor Google werkte, waardoor deze zaak onderdeel werd van de controverse tussen Microsoft en Google.

Walging

Nu hebben twee experts het voor Ormandy opgenomen. Vrijdag schreef Brad Sprengler een lange reactie op de gebeurtenissen. Hij walgt van de reactie van de pers en van het gebrek aan reactie van de beveiligingsgemeenschap, die Ormandy volgens Sprengler had moeten verdedigen. Hij stelt dat de enige fout die Ormandy heeft gemaakt is dat hij aanname dat de mensen zijn situatie begrepen. Ormandy zelf dacht dat hij vergeven zou worden omdat hij zoveel bugs rapporteert, maar daarin heeft hij zich blijkbaar vergist, zoals hij zelf opmerkt op Twitter.

‘Responsible Disclosure’

Sprengler neemt het Microsoft erg kwalijk dat die de integriteit van Ormandy in twijfel trok door zijn actie te verbinden aan Google, terwijl Ormandy in deze als onafhankelijk onderzoeker opereerde. Dit werd massaal overgenomen door de pers. Verder werpt Sprengler de term ‘responsible disclosure’ op de schroothoop, omdat die term suggereert dat alle andere vormen van openbaar maken onverantwoordelijk zouden zijn. En dat is verre van waar, aldus Sprengler.

“‘Responsible disclosure’” is een uitvinding van de leveranciers om te voorkomen dat ze in het openbaar voor schut worden gezet en om zichzelf de mogelijkheid te geven om bugs te laten bestaan zo lang als ze willen, zolang ze maar excuses kunnen verzinnen”, schrijft hij.

Het publiek krijgt ook een veeg uit de pan. Dat heeft volgens Sprengler boter op het hoofd. Het klaagt steen en been als Microsoft niet direct met een patch komt als er een exploit wordt gevonden, maar vindt het vreemd als datzelfde bedrijf geen 60 dagen krijgt om een ernstig lek te patchen.

Niets meer waard

Lurene Grenier, een ontwikkelaar van Metasploit, doet er nog een schepje bovenop. Zij komt met nog twee belangrijke argumenten. Volgens Grenier heeft Tavis Ormandy heel verantwoordelijk gehandeld. Met het openbaar maken van de bug heeft hij die bug waardeloos gemaakt voor serieuze aanvallers. Volgens haar zijn namelijk niet alle doelwitten even belangrijk. De acht jaar oude XP desktop van je grootmoeder is minder waardevol dan systemen met financiële informtie, servers van de marine of systemen die je zelf beheert. Door de bug openbaar te maken kan iedere professionele beheerder zichzelf beschermen.

Dat is belangrijk, volgens Grenier, omdat waarschijnlijk niet alleen Ormandy van de bug afwist. Dat onderbouwt ze met haar eigen ervaringen. Zelf heeft ze verschillende bugs gevonden die al heel lang bestonden, maar die ongeveer op hetzelfde tijdstip door verschillende onderzoekers werden gevonden. Als zij de enige was geweest, dan zouden die bugs haar per stuk zo’n 65.000 dollar op hebben geleverd. Nu heeft ze er niets aan verdiend.

Op dezelfde manier heeft Ormandy de bug in Windows XP en Server 2003 gedevalueerd, zo redeneert Grenier, omdat iedereen zich er nu tegen kan beschermen.

Bron: Techworld