Openbaarmaken van beveiligingslekken

Dit artikel delen:

Sommige waardevolle inspanningen zijn van het begin af aan tot mislukken gedoemd. De gevolgen kunnen ernstig zijn, en dan is ingrijpen gewenst. Een van de laatste pogingen is de vorming van een groep die regels opstelt hoe informatie over gaten in de beveiliging aan het publiek wordt vrijgegeven.

Dit voorstel is geformuleerd door een groep softwarebedrijven en een aantal beveiligingsspecialisten. Gezien het bijna dagelijkse nieuws over weer een lek in de beveiliging van Windows, SQL Server, Internet Explore, enzovoort, is het niet verbazingwekkend dat Microsoft bij deze groep betrokken is. Maar Windows is niet het enige doelwit voor hackers en dus is Linux-specialist SCO (voorheen Caldera) een ander interessant lid. Het is niet altijd de systeemsoftware die gevoelig is voor gaten in de beveiliging. Databasemanagementsystemen en veel applicaties onttrekken zich aan besturingssysteemfuncties en kunnen dus kwetsbaar zijn.
Oracle is ook een opmerkelijk lid. Andere leden van de groep zijn beveiligingsspecialisten als ISS, Symantec en Birdview. Een van de eerste dingen die opvallen zijn de bedrijven die er, althans voorlopig, niet bij zijn. Waar zijn IBM, Sun en HP? En waar zijn leveranciers van communicatieapparatuur zoals Cisco?
Het is een feit dat ze niet te kampen hebben met de hack-problemen die op pc-gebaseerde systemen hebben. Mainframes zijn in feite inherent veel veiliger dan pc's en trekken dus niet in dezelfde mate de aandacht van hackers.
Daarom is SCO erbij betrokken; de rest van de leveranciers van Linux en andere open source software zou ook moeten meedoen. Microsoft is duidelijk een doelwit van de doorsnee hacker omdat die het bedrijf aanstootgevend vindt vanwege zijn arrogantie, excessief profiteergedrag en slechte productkwaliteit. Dezelfde mensen zijn ook Windows-experts. Ongetwijfeld zullen Linux en andere oss-producten, bijvoorbeeld Apache, in populariteit gaan winnen en dan hackers aantrekken.
Deze hackers weten weinig van grotere Unix- of mainframesystemen en hebben niet dezelfde middelen en vaardigheden om ze aan te vallen.
De zwakte in bovengenoemde argument is dat de ellende bij pc's slechts veroorzaakt wordt door een horde irritante nerds die meent dat het leuk is om eigendommen van anderen te verzieken. Maar cyber-terrorisme is een veel ernstiger zaak dan hacken van pc's via internet. Terroristen hebben veel geld en kunnen de middelen en vaardigheden kopen om in elk systeem in te breken. Hoewel zij dus met minder zijn, zijn ze veel gevaarlijker. Daarom moeten ook overheidsinstellingen bij iedere beveiligingsinspanning worden betrokken.
Terug naar de nieuwe groep. Die claimt niet een nieuwe beleidsuitvoerende organisatie te zijn, of straffen te kunnen opleggen. Zijn doel is richtlijnen te geven betreffende de manier waarop beveiligingsproblemen aan het publiek worden meegedeeld. Momenteel ligt er een grote kloof tussen de softwareleveranciers en de beveiligingsadviseurs. Eerstgenoemde groep is zich meestal maar al te zeer bewust van problemen met zijn software, en verwelkomt in het algemeen een ieder die helpt ze te identificeren. Het probleem ligt in het timen van publieke aankondigingen. Softwarehuizen willen graag tijd hebben om aan een probleem te werken, om een fix beschikbaar te hebben zodra het probleem bekendgemaakt wordt. De beveiligingsconsultants hebben daarentegen een andere agenda en proberen elkaar de loef af te steken, wat betekent dat ze, zodra ze dat kunnen, zoveel mogelijk geruchten in de pers strooien. Allemaal onder het mom van het feit dat gebruikers het recht hebben zo snel mogelijk geïnformeerd te worden.
Vanwege deze beide kanten aan de zaak wordt er niets definitiefs bereikt. De pers is altijd ontvankelijk voor ieder item met nieuwswaarde en hoewel we allen genoeg krijgen van de aankondiging van weer een nieuw virus, is het nog steeds goede kopij voor de krant! Er is dus altijd een markt voor een hack-verhaal, en als de leden van de nieuwe groep tot een of ander compromis komen, zal altijd wel iemand van buiten de groep de krantenkoppen willen halen.
Het is een schande dat de internet-autoriteiten dit netelige probleem niet aanpakken en dat het dientengevolge wordt overgelaten aan de betrokken commerciële partijen. Maar ze eigenen zich het probleem tenminste toe en proberen er iets aan te doen. Ik wens ze succes, ze staan voor een moeilijke taak.

 
Martin Healey, pionier ontwikkeling van op Intel gebaseerde computers en c/s-architectuur. Directeur van een aantal it-bedrijven en professor aan de Universiteit van Wales.

x

Om te kunnen beoordelen moet u ingelogd zijn:

Dit artikel delen:

Stuur dit artikel door

Uw naam ontbreekt
Uw e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
article 2002-10-25T00:00:00.000Z Martin Healey
Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.