Redactioneel commentaar
Horen, zien en zwijgen ...
De afgelopen weken was het weer raak: nieuwsberichten die op twee manieren te lezen zijn. Beveiligingsonderzoekers (of crackers) hebben gaten (of potentiële kwetsbaarheden) gevonden en daarvoor gewaarschuwd (of prematuur informatie erover naar buiten gebracht).
Het is het aloude euvel van beveiligingsproblemen: houdt de ontdekker zijn mond of waarschuwt hij mogelijke slachtoffers? Of, in de ogen van veel leveranciers: informeert een ontdekker de softwareproducent en wacht hij vervolgens af wat komen gaat of voorziet hij kwaadwillenden van informatie waarmee zij misbruik kunnen maken van de potentiële kwetsbaarheden?Het is Oracle onlangs overkomen, maar het Duitse beveiligingsbedrijf dat informatie over de gaten nu heeft gepubliceerd, zegt dat het de leverancier al lang geleden op de hoogte heeft gebracht. Oracle zegt dat het problemen behandelt in volgorde van belangrijkheid. Cisco heeft nu een zelfde akkefietje, maar heeft eerst geprobeerd de geest terug in de fles te stoppen.
Is het aan de leverancier om het belang van een gat te bepalen of een communicatiestilte op te leggen? Is het aan de ontdekker om die twee zaken te bepalen? Zoiets zou je in de ideale situatie altijd met vol vertrouwen van een leverancier kunnen verwachten. In de praktijk is het echter wel eens nodig dat een externe partij grondigheid of snelheid afdwingt. Dat kan door het (potentiële) gat eerst aan de leverancier en daarna aan de buitenwereld te melden - niet direct daarna, maar na een redelijke termijn. Wat is een redelijke termijn? Wie bepaalt dat? Creëert een te korte termijn extra of nieuwe problemen? Haastige spoed is immers zelden goed.
De melding aan de buitenwereld kan gepaard gaan met de onthulling van details. Gebruikers hebben die gegevens nodig om zich te wapenen tegen misbruik. Details zijn ook nodig om de gebruikers te doordringen of te overtuigen van de ernst van de zaak, zodat ze bij de leverancier aandringen op oplossingen. Dat zijn echter ook de gegevens die kwaadwillenden nodig kunnen hebben om hun wapens voor misbruik te smeden. Zo bl�jven we bezig.
10-02 Het einde van het begin van cloud en virtualisatie
10-02 De windwakken van de cloud-sector
09-02 Citoto
09-02 Lang leve de hackers!
09-02 Modder gooien in ICT-land
08-02 Reseller verliest slag om het groene huishouden
08-02 Hadoop lijkt een alleskunner
07-02 Hou zicht op de informatie bij HNW
07-02 Eigen werknemer kan ook een vijand zijn
06-02 Krachtenbundeling NGI en TestNet is goede zaak
10-02 SecureLink migreert Microsoft-diensten Atradius
09-02 Vodafone: Wij spelen klantinformatie niet door
09-02 Lang leve de hackers!
09-02 'Ook met cookiewet is gebruiker niet anoniem'
09-02 'KPN koppelt ID aan internetverkeer'
08-02 'Nieuwe cookiewet is eenvoudig te omzeilen'
07-02 Eigen werknemer kan ook een vijand zijn
03-02 'Overheid vreest voor veiligheid in de cloud'
01-02 F5 beschermt openbare websites
31-01 Publieksvoorlichting is belangrijke taak voor NCSC
|
|
Gerelateerde artikelen
06-08-08 Microsoft houdt gaten niet langer geheim
Best Practices om laptop-data te beschermen
In een tijd waarin steeds meer werknemers mobiel hun werk doen en de hoeveelheid data exponentieel toeneemt, is......
Top 10 Reagerende members
| Aantal reacties met 3+ sterren | Gemiddelde waardering | |||
 | 1 | 154 | 6.4 | |
 | 2 | 120 | 6.7 | |
 | 3 | 109 | 6.4 | |
 | 4 | 79 | 6.6 | |
| 5 | 53 | 6.1 | |
| 6 | 49 | 6.3 | |
 | 7 | 47 | 6.5 | |
| 8 | 43 | 6.1 | |
| 9 | 43 | 6.0 | |
| 10 | 40 | 6.3 | |
Computable.nl is onderdeel van VNU Media, uitgever van o.a.: NationaleVacaturebank.nl | Intermediair | IntermediairPW | Carrièregids.nl | CompanyRating | NationaleStagebank.nl | Banen.nl | HRbase.nl | HRdirectory.nl | Financebase.nl | InIct.nl | InInterim.nl | InOverheid.nl | Overheidscircuit.nl | Computable | CRN | IT Knowledge Base | Tweakers.net | Recruitmentbloggers
Sitemap | Abonneren | Adverteren | Algemene voorwaarden | Disclaimer | Privacy | Alle rechten voorbehouden © 1995-2012 VNU Media