Microsoft houdt gaten niet langer geheim

Informatie over beveiligingsgaten wordt vaak geheim gehouden.

Informatie over beveiligingsgaten wordt vaak geheim gehouden.

Microsoft maakt een opvallende omslag met zijn nieuwe strategie om informatie over beveiligingsgaten eerder te onthullen. De Windows-producent deelt die beveiligingsdata - in beperkte kring - vanaf oktober vóór er een patch is.

Vanaf oktober dit jaar deelt Microsoft informatie over beveiligingsgaten voordat het een patch klaar heeft. Dat is een opvallende ommekeer. In het verleden drong het bedrijf met klem aan op geheimhouding. Het vroeg onthullen van informatie over gaten zou alleen maar crackers helpen. Het argument was dat die dan namelijk sneller met code komen die misbruik maakt van die gaten.

In de praktijk was het echter vaak andersom; exploitcode was er toch al eerder. Beveiligingsonderzoekers die gaten ontdekten, neigden er dan ook steeds meer toe informatie wel vroeg te openbaren. Dit is enerzijds beheerders te waarschuwen, zodat die beschermende maatregelen kunnen nemen. Anderzijds is dit natuurlijk ook een middel om druk uit te oefenen op ict-leveranciers om haast te maken met een patch. Informatie over zo'n lapmiddel is vaak ook weer nuttig voor kwaadwillenden.

Het expertpanel van Computable's topic Security is ook verdeeld hierover. De één vindt dat je moet onthullen, de ander dat je informatie over beveiligingsgaten juist moet stilhouden. Duidelijk is in ieder geval dat er sprake is van conflicterende belangen. Ict-leveranciers, beheerders en eindgebruikers hebben elk een ander belang.

Blijft beperkt

Microsoft zegt nu juist de informatie te delen om de kwetsbare periode te beperken. Het voortijdig onthullen gebeurt echter in beperkte kring: Microsoft deelt de data met beveiligingsbedrijven. Dat omvat leveranciers van antivirussoftware, firewalls, software voor indringersdetectie en -preventie (ids), en producten voor netwerkbeheer en -beveiliging.

Opvallend genoeg is die onthulling in beperkte kring juist iets wat in de reacties van Computable's Security-panel is voorgesteld. Cio Erik Westhovens van DeltaISIS is vóór bekendmaking (disclosure), maar pleit ervoor dat in kleine kring te doen. "Er moet een gesloten circuit komen van beveiligingsexperts die de informatie krijgen en daarmee aan de slag gaan. Zodra er dan een oplossing is, is er ruimschoots tijd om juiste maatregelen te treffen."

Geen goed idee

Enkele andere Security-experts vinden dat echter niet zo'n goed idee. Sinclair Koelemij, operations teamleader bij Honeywell Process Solutions, is tegen. "Ik zou niet zo goed weten wie er in dat "gesloten circuit van beveiligingsexperts" plaats moeten nemen. Wie zou buitengesloten moeten (en kunnen) worden?"

Zijn vraag wordt later dit jaar dus beantwoord door Microsoft. Diens nieuwe initiatief voor informatiedeling, Active Protections Program (MAPP), omvat beveiligingsleveranciers. Op dit moment zijn slechts drie bedrijven officieel aangemeld: IBM, Juniper Networks en de beveiligingsdivisie Tipping Point van 3Com. Microsoft selecteert de beveiligingsleveranciers die zich aanmelden voor deze vroege waarschuwingsdienst.