Het is een fundamenteel twistpunt dat al bestaat zolang er ict is. Moeten security-onderzoekers lekken melden bij de maker van een product, of moeten ze ermee naar buiten treden? En dan onder eigen naam, of juist anoniem? Hiertussenin zitten nog overlopende en overlappende opties. Zoals: melden en de maker een deadline geven, of melden vlak voor - of tegelijk met - de publieke onthulling. Full disclosure versus responsible disclosure.

Luie leveranciers

Onthulling moet, want anders worden lekken nooit of veel te laat gepatched. Beweren de voorstanders van full disclosure, veelal zelf security-onderzoekers. Ze hebben daar wel een punt. Het kan weken, zo niet maanden duren voordat een gat gedicht wordt. Of zelfs jaren. Klinkt overdreven? Is het niet. Kijk maar naar dit 8 jaar oude lek, of deze van 17 jaar oud. Goed, die twee extreme voorbeelden zijn niet al die jaren bekend geweest en open gehouden.

Toch vertegenwoordigen gaten plots en dringend ontwikkelwerk, waar veel ict-leveranciers niet op zitten te wachten. Werk aan een product wat allang 'af' was. Denk aan de arme ontwikkelaars bij Microsoft die nog aan het antieke Windows XP moeten sleutelen, met alle beperkingen van dat oude besturingssysteem.

Bovendien hebben die bedrijven vaak een planning waarbij ze aan de volgende versie van hun product werken, dat meer biedt en sneller is maar ook weer veiliger. Sommige bedrijven gaan daarin zo ver dat ze security updates uitbrengen als integraal onderdeel van de nieuwe versie. De oudere voorganger staat dan in de kou, terwijl de gaten daarin dus wel gedicht kúnnen worden. Maar wat levert dat de leverancier op? Niet een verkoop van het nieuwe product.

Liever werken de ondernemingen in hun eigen tempo aan zaken die ze zelf ontdekken, bepalen, van een weging voorzien en dan inplannen. Het ritme van kwartaal- of maandupdates voor veelgebruikte programmatuur zoals Windows, Flash, Adobe Reader en Oracle is er heus niet alleen voor de voorspelbaarheid en het gemak van beheerders. Want dan zouden de verschillende leveranciers elkaars cyclus moeten mijden, om de ict'ers wat te ontzien.

Obscuur

Sterker nog, lekken liever niet (meteen) patchen en zeker niet onthullen is de strategie van de ict-leveranciers. Hun business model. Van de meeste dan. Jawel, het gehekelde security through obscurity. Geheimhouden hoe dingen werken, vooral en zeker de beveiliging, om daarmee ook zwakke plekken en gaten ook geheim te houden. Zodat een product of technologie veilig is.

Probleem is dat tegenwoordig iedereen slotenmaker kan zijn, en dus ook inbreker. De tools om sloten te analyseren en te verbeteren maar ook kraken zijn niet voorbehouden aan gecertificeerde en (dus) bekende slotenmakers. Het woord hacker is al jaren terug ingewisseld voor cracker, waar de echte hackers zich mateloos aan kunnen storen.

Daarbij is nog de categorie 'script kiddie' gekomen, iemand die niet zelf hackt of crackt maar simpelweg wat scripts en tools van anderen toepast. En door de voortschrijdende technologie is dat steeds vaker het geval. Je hoeft immers ook niet meer te kunnen programmeren om een computer te bedienen. Je hoeft dus ook niet echt zelf te kunnen hacken om een beveiligingstool annex inbreekkit als Metasploit te draaien.

Tuurlijk, het ontdekken van gaten is een meer complex werkje. Maar ook dat kunnen veel meer mensen tegenwoordig. En door de criminalisering van de hack- en malwarescene is er ook veel meer incentive. In sommige landen met lage lonen, slechte economieën en andere financiële hordes is voor een technisch onderlegd iemand dan ook moeilijk om white hat te zijn en blijven. Het carrièrepad leidt bijna vanzelf naar de gray of dark side. Beveiliging middels stilhouden, is niet meer houdbaar.

Afhankelijkheden

Nu even de andere kant. 'Responsible disclosure' klinkt misschien als een slap excuus van luie leveranciers om de doofpotstrategie te hanteren. Maar er komt veel meer kijken bij het analyseren en dichten van een gat dan bij het 'simpelweg' ontdekken ervan. Eerst moet de ontdekking van het lek worden gereconstrueerd, dan moet de exacte en verdere impact worden bepaald.

Daarna kan pas aan het echte dichtwerk worden begonnen, wat ook weer meerdere stappen omvat. Niet onbelangrijk, en erg tijdrovend, daarbij is het testen van de gemaakte patch of lapmethode. Want wat heeft die voor impact? Op de rest van het product, en op andere producten die in combinatie daarmee worden gebruikt. Het is een serieus ontwikkelproces, met procedures.

Kijk ook eens naar de recente XP-vastlopers door een patch van Microsoft. Dat blauwe scherm des doods (BSOD) bleek dus niet veroorzaakt door die patch, maar door een slordig gemaakte rootkit. Een stuk malware dat juist vanwege het gedichte gat ineens de hele, gep0wnede Windows-installatie onderuit haalde. Goed, een softwaremaker kan en moet op veel testen, maar op een infectie door een rootkit?

Het zijn niet alleen de grote, commerciële marktpartijen zoals Microsoft, Apple, Adobe en Oracle die vóór - al dan niet voorlopig - stilzwijgen zijn. In juli 2008 heeft Linux-schepper Linus Torvalds zich nog uitgesproken over deze kwestie. Opvallend genoeg is hij vóór stilhouden! Daarmee dus ingaand tegen het open source-mantra dat openheid het hoogste goed is en juist de beveiliging ten goede komt.

Patchtijd

Bedenk ook dat de meeste malware wordt gemaakt op basis van bekende gaten. Dus onthulde lekken. Microsoft heeft zelfs beweerd dat malwaremakers vaak uitgaan van de informatie die patches hun geven. En dan is er tenminste nog een patch. Bij het onthullen van lekken voordat de leverancier het weet of heeft kunnen dichten, duurt dat nog enige tijd.

Laten we even eerlijk zijn, het is vaak niet eens zo slecht gesteld met het patchen van gaten. Ook niet wat betreft de tijd die leveranciers daarvoor nodig hebben, of nemen. Zo komt aanstaande dinsdag in Microsofts maandelijks patchronde de oplossing voor de recente zero-day, die is ontdekt en onthuld door Tavis Ormandy. Daarmee blijft Microsoft ruim binnen de 60 dagen die de security-onderzoeker had geëist. Maar was dat ook gebeurd als Ormandy niet naar buiten was getreden met zijn ontdekking? Dat is en blijft de vraag.

Een vraag waarvan het antwoord wat gerelativeerd wordt door een ander tijdsprobleem. De duur tussen het verschijnen van een patch en het installeren daarvan. Daar blijkt in de praktijk ook een flink gat te zitten. Beheerders en gebruikers nemen de tijd. De meest misbruikte, lekken zijn echt niet de allernieuwste. De stilgehouden of topgeheime gaten waar alleen een handjevol experts - white, gray en/of black hats - van af weten. Nee hoor, de grote plagen waren rond voor oude gaten waar vaak ook al lang patches voor zijn.

Het gerenommeerde SANS Institute heeft in september vorig jaar naar buiten gebracht dat bedrijven patches rijkelijk laat na het verschijnen pas toepassen. Ook dat heeft overigens met testwerk te maken. Maar het is dus niet zo verstandig om de malwaremakers nog meer de tijd te geven. Hun voorsprong is al zo groot.

Impact

En tot slot een dilemma dat van toepassing is op wel en niet onthullen, dus op full én responsible disclosure. Doordat ict alomtegenwoordig is, en we als moderne maatschappij niet meer zonder kunnen, is de impact van gaten steeds groter. Enerzijds reden om maar niet voortijdig 'wolf' te roepen, om maar geen slapende cybercriminele honden wakker te maken. Anderzijds argument om juist wel de alarmklok te luiden, om de onwetende schapen te waarschuwen dat de wolf er echt wel is. Telkens weer.

Bonus: bonussen!

Om nog even een gerelateerde knuppel in het hoenderhok van 'disclosure' te gooien: het belonen van netjes melden van lekken is niet zo'n gek idee. Met meer dan alleen een schamele erkenning in de release notes bij een patch. Ja, belonen moedigt aan, dus lokt uit. En dat kost dus geld; voor de bonus zelf en voor het extra werk dat er dan op een leverancier afkomt.

Waarschijnlijk trouwens veel geld, want een leverancier van een veelgebruikt product moet dan opbieden tegen de zwarte markt. Waar een goed gat goud waard is. Maar waar de onderzoekers minstens zo slim zijn als de white hat hackers die buiten het illegale circuit staan. Kortom, we zijn er nog lang uit; of lekken onthuld of stilgehouden moeten worden.