De afgelopen weken was het weer raak: nieuwsberichten die op twee manieren te lezen zijn. Beveiligingsonderzoekers (of crackers) hebben gaten (of potentiële kwetsbaarheden) gevonden en daarvoor gewaarschuwd (of prematuur informatie erover naar buiten gebracht).
Het is het aloude euvel van beveiligingsproblemen: houdt de ontdekker zijn mond of waarschuwt hij mogelijke slachtoffers? Of, in de ogen van veel leveranciers: informeert een ontdekker de softwareproducent en wacht hij vervolgens af wat komen gaat of voorziet hij kwaadwillenden van informatie waarmee zij misbruik kunnen maken van de potentiële kwetsbaarheden?
Het is Oracle onlangs overkomen, maar het Duitse beveiligingsbedrijf dat informatie over de gaten nu heeft gepubliceerd, zegt dat het de leverancier al lang geleden op de hoogte heeft gebracht. Oracle zegt dat het problemen behandelt in volgorde van belangrijkheid. Cisco heeft nu een zelfde akkefietje, maar heeft eerst geprobeerd de geest terug in de fles te stoppen.
Is het aan de leverancier om het belang van een gat te bepalen of een communicatiestilte op te leggen? Is het aan de ontdekker om die twee zaken te bepalen? Zoiets zou je in de ideale situatie altijd met vol vertrouwen van een leverancier kunnen verwachten. In de praktijk is het echter wel eens nodig dat een externe partij grondigheid of snelheid afdwingt. Dat kan door het (potentiële) gat eerst aan de leverancier en daarna aan de buitenwereld te melden – niet direct daarna, maar na een redelijke termijn. Wat is een redelijke termijn? Wie bepaalt dat? Creëert een te korte termijn extra of nieuwe problemen? Haastige spoed is immers zelden goed.
De melding aan de buitenwereld kan gepaard gaan met de onthulling van details. Gebruikers hebben die gegevens nodig om zich te wapenen tegen misbruik. Details zijn ook nodig om de gebruikers te doordringen of te overtuigen van de ernst van de zaak, zodat ze bij de leverancier aandringen op oplossingen. Dat zijn echter ook de gegevens die kwaadwillenden nodig kunnen hebben om hun wapens voor misbruik te smeden. Zo bl�jven we bezig.