Wat het initiatief ‘No More Free Bugs’ en de ‘Zero-day awareness weken' van Evgeny Legerov niet voor elkaar kregen, is Tavis Ormandy gelukt. Nadat hij zijn 0-day bug openbaar had gemaakt is er een heftige discussie ontstaan over ‘Responsible Disclosure’ en ‘Full Disclosure’.

Niet alleen de pers heeft zich op dit verhaal gestort, maar ook beveiligingsexperts laten zich niet onbetuigd. De eerste die reageerde was Graham Cluley, die het volkomen onverantwoord vond wat Ormandy heeft gedaan. Ook Robert Hansen heeft geen enkel begrip voor de daden van Ormandy. Bovendien kan hij zich niet voorstellen dat Google er helemaal niets mee te maken heeft, zoals Ormandy stelt.

Vervolgens gooide Brad Sprengler de knuppel in het hoenderhok. In zijn reactie haalt hij hard, persoonlijk en op de man uit naar Cluley, Andrew Storms en Robert Hansen. Hij vindt het ongelooflijk dat niemand Tavis Ormandy verdedigt.

Ook Lurene Grenier van Sourcefire neemt het voor Ormandy op. Zij stelt dat Ormandy de bug waardeloos heeft gemaakt voor criminelen. Chad Perrin neemt het ook voor Ormandy op, en stelt dat de reactie van Microsoft erg kinderachtig was.

Maar dan klimt ook Tyler Reguly van nCircle in de pen. Hij stelt dat Ormandy helemaal geen Full Disclosure heeft gepleegd. Full Disclosure doe je na een maand, of na twee maanden, als de softwareproducent geen actie onderneemt. Je doet het niet na 5 dagen. Ormandy wil alleen maar aandacht, zo schrijft hij.

Maar Reguly erkent wel dat Full Disclosure verantwoord kan zijn, wat Sprengler en Grenier ook betogen. Tot slot van deze kleine bloemlezing komt nog Ray Marsh aan het woord. Hij legt de vinger op de zere plek en noemt de vijf opties die onderzoekers hebben als ze een bug vinden.

Hun eerste optie is niets doen, en het gat gewoon open laten. Daarnaast kunnen ze voor Full Disclosure gaan en de hele gemeenschap over zich heen krijgen. Dan kunnen ze de bug verkopen aan verantwoordelijke derden, zoals Vreugdenhil dat bijvoorbeeld doet. Maar ze kunnen de bug natuurlijk verkopen aan de hoogste bieder, waardoor die in criminele handen kan komen. Tot slot kunnen ze de bug heel verantwoordelijk aan Microsoft geven en beloven dat ze niets zullen zeggen. Daardoor krijgen ze dan, als de patch eenmaal uitkomt, hun naam te zien in een klein font helemaal onderaan het security bulletin. Hij suggereert dat Microsoft daar misschien iets aan moet doen.

Het is niet waarschijnlijk dat dit het laatste is wat we hierover horen. Misschien gaan de experts openlijk met elkaar op de vuist en kunnen we daar nog sappige verhalen over vertellen. Maar hopelijk wordt er door al dat gekrakeel wel een gulden middenweg gevonden waarin iedereen zich kan vinden. Want het is nu wel duidelijk dat er te grote nadelen zitten aan zowel Responsible Disclosure, zoals Microsoft dat voorstaat, als Full Disclosure, wat Ormandy heeft gedaan.

Bron: Techworld