De afgelopen week onthulde hacker groep Goatse Security duizenden e-mail-adressen van iPad-gebruikers die waren verkregen door een gat in de AT&T website. Daarbij zaten adressen van hoge Amerikaanse militairen, politici en zakenmensen. Bijna tegelijkertijd heeft een Google engineer een lek in Windows XP openbaar gemaakt, voordat Microsoft de kans had om het te dichten. Het wordt uitgebuit terwijl ik dit schrijf.

Held of schurk?

Er zijn opvallende overeenkomsten tussen deze twee gevallen, waarvan de rechtvaardiging de meest opvallende is. Zowel Goatse en Tavis Ormandy hebben gebruikers in gevaar gebracht door hun bevindingen met de hele wereld te delen, maar ze beweren beide dat ze daar een hoger doel mee dienen. Ze zeggen dat ze hun bevindingen openbaar maakten omdat Microsoft, AT&T en Apple niet de nodig stappen ondernamen waarmee ze hun gebruikers snel en goed beschermen.

De argumenten die ze daarvoor geven, werpen een interessante vraag op: Moeten we Goatse en Ormandy zien als heroïsche Robin Hoods die de veiligheid in eigen handen nemen, waarbij er her en der wat spaanders vallen? Of moeten we ze zien als schurken die chaos veroorzaken voor hun eigen plezier?

Hoger doel

Ormandy van Google puliceerde het lek in Windows XP slechts vijf dagen nadat hij het aan Microsoft had gemeld. Hij zegt dat hij de informatie openbaar heeft gemaakt omdat Redmond weigerde om binnen 60 dagen een patch te maken. “Ik word een beetje moe van alle ‘5 dagen’-hate mail”, twittert hij. “Die vijf dagen heb ik gebruikt om hen ertoe te bewegen om binnen 60 dagen een fix uit te brengen.”

Escher Auernheimer van Goatse (die dinsdag overigens is gearresteerd) zei op zijn beurt op zijn blog dat AT&T zijn verdiende loon kreeg, omdat het bedrijf zijn gebruikers niet waarschuwde dat hun gegevens waren gestolen. “AT&T had tijd genoeg om het publiek te informeren voordat wij het openbaar maakten. Dat deden ze niet, terwijl ze het direct hadden moeten doen nadat ze een patch hadden gemaakt, binnen het uur. Dagen naderhand is onacceptabel”, schreef hij. “Theoretisch is het mogelijk dat in die dag (zeker nadat het gat was gedicht) een criminele organisatie zou besluiten om de oude data te gebruiken tegen de gebruikers, voordat de gebruikers waren ingelicht over het lek.”

Die gegevens, gecombineerd met een gat in Safari voor de iPad, waarvan Apple volgens Goatse al sinds maart afwist maar dat ze nog niet gepatcht hadden, zou iPad-gebruikers volgens Auernheimer in serieus gevaar brengen. “Toen wij dit openbaar maakten, bewezen we onze natie een dienst. We houden van Amerika en het idee dat Russen of Chinezen de Amerikaanse infrastructuur kunnen ondermijnen is voor ons een nachtmerrie.”

Twee maanden

Nu komt opnieuw de vraag op of Ormandy en Goatse juist handelden. Aan de ene kant hebben ze met hun daden would-be slechteriken het gereedschap in handen gegeven om onschuldige eindgebruikers uit te buiten. Misschien hadden Microsoft, AT&T en Apple wel goede redenen om in hun eigen tempo aan het dichten van deze lekken te werken, bijvoorbeeld om er zeker van te zijn dat die gaten ook echt goed gedicht werden.

Aan de andere kant is twee maanden best lang als het om een patch gaat van een ernstig beveiligingslek, of het nu over Windows XP gaat, of over Safari voor de iPad. Als een white hat hacker een kwetsbaarheid kent, of als een security engineer er een ontdekt, dan is het best mogelijk dat een professionele cybercrimineel of een misdaadsyndicaat er ook achter komt.

Algemeen bekend

Het werkelijke verschil zit hem erin dat de problemen nu bij iedereen bekend zijn. En die bekendheid betekent twee dingen: Ten eerste kunnen gebruikers stappen ondernemen om hun data te beschermen. Ten tweede komt er grote druk te staan op Microsoft, AT&T en Apple, vanuit klanten, aandeelhouders en het grote publiek. Ze moeten het lek zo snel mogelijk dichten. En zulke slechte PR, gecombineerd met het gevaar dat ze klanten verliezen, geeft ze wat dat betreft natuurlijk vleugeltjes.

Eindgebruikers en organisaties vertrouwen erop dat bedrijven als Microsoft, Apple en AT&T hun data beschermen en zo veilig mogelijk houden. En ja, het is lastig om de slechteriken bij te benen, die 24 uur per dag werken om beveiligingsgaten te vinden. De vraag is dan of Microsoft, Apple en AT&T net zo hard werken om de gaten te dichten die op een ‘verantwoorde manier’ met hen worden gedeeld. Mijn innerlijke cynicus antwoordt daarop 'nee', ze zetten hun middelen vooral in op zaken waar ze winst kunnen behalen. Voorlopig denk ik dus dat white hat hackers een nuttig doel dienen.

Wat denk jij? Geef je mening in de poll, of in de commentaren Bron: Techworld