Deze aankondiging van ZDI komt na veel discussie over de manier waarop er met bugs moet worden omgegaan. De discussie werd aangezwengeld door Tavis Ormandy, die na vijf dagen een bug in Windows openbaar maakte, compleet met proof-of-concept aanvalscode, omdat Microsoft zich niet wilde vastleggen op het patchen binnen twee maanden.

Ormandy kreeg veel kritiek over zich heen, maar hij werd ook fel verdedigd. En blijkbaar heeft de discussie ook echt iets losgemaakt, want de ingegraven stellingen worden hier en daar verlaten. Eerder liet Microsoft al de term ‘responsible disclosure’ los, en verving die voor ‘coordinated disclosure’. Dit lijkt een triviale zet, maar de oude terminologie maakte het debat wel onnodig moeilijk. Onderzoekers die een andere visie hadden dan Microsoft voelden zich namelijk weggezet als ‘onverantwoordelijk’, en dat praat niet prettig.

Deadline van zes maanden

Nu heeft het ZDI dus een volgende zet gedaan. Het zet de deadline voor actie op zes maanden. Daarna wordt een aantal details over de kwetsbaarheden openbaar is gemaakt. Het Zero Day Initiative koopt kwetsbaarheden van onafhankelijke beveiligingsonderzoekers, zoals Peter Vreugdenhil, en rapporteert die vervolgens aan de softwareleveranciers. Daarna wordt de informatie gebruikt om klanten te beveiligen tegen eventuele aanvallen op de zero-day lekken.

Voorheen werd het helemaal aan de leverancier overgelaten wanneer/of er patches werden uitgebracht, maar die situatie is nu voorbij. Als de deadline van zes maanden niet wordt gehaald, dan zullen er een aantal details over de bugs openbaar worden gemaakt. Bovendien zullen er workarounds worden gepubliceerd. Op deze manier wil ZDI de leveranciers dwingen om sneller met patches te komen. Een grote ergernis van onderzoekers is namelijk dat sommige gevonden bugs veel te lang blijven liggen.

Drie jaar

Aaron Portnoy van ZDI zegt overigens tegen Computerworld dat deze zet niet direct is ingegeven door wat er is gebeurd nadat Ormandy de Windows-bug openbaar maakte. “We denken hier al langer aan”, zei hij. Dat komt vooral doordat ZDI sommige bugs twee of drie jaar lang in de gaten moet houden, wat het programma niet efficiënter maakt. Blijkbaar heeft het programma op dit moment maar liefst 31 bugs die ouder zijn dan een jaar.

Deze bugs zullen over een half jaar openbaar worden gemaakt als de leveranciers er nog niets aan hebben gedaan. Op 4 februari 2011 kunnen we dus een hele zwik aan openbare zero-days verwachten. Dat zal de aandacht vestigen op de vendoren, wat precies de bedoeling is van ZDI, aldus Pornoy.

Microsoft negatief

Microsoft is het niet met ZDI eens. In een email aan de IDG nieuwsdienst reageerde het bedrijf negatief op de aankondiging. “Alleen als er actief misbruik wordt gemaakt van een bug is het openbaar maken ervan, met als doel het tegengaan van besmettingen, de beste manier om ermee om te gaan”, schrijft Dave Forstrom van Microsoft. “En zelfs dan moet het gebeuren in nauwe samenwerking.” Anderen, zoals HD Moore van Metasploit, zeggen dat het een goede zet is. Al is de termijn van zes maanden ietwat aan de genereuze kant.

Bron: Techworld