Nederlandse deskundigen op het gebied van computerbeveiliging reageren kalm maar in het algemeen afwijzend op de suggestie van Microsoft om fouten in software alleen in beperkte kring bekend te maken. De monopolist begon deze week op zijn Trusted Computing Forum in Mountain View (Californië) met het lobbyen voor een striktere omgang met informatie over veiligheidsproblemen.
Scott Culp, manager van Microsofts Security Response Center, opende vorige maand het debat, met een artikel op de website van het bedrijf. Het afgelopen jaar hebben wormvirussen als Code Red, Ramen en Nimda veel schade aangericht in netwerken, zo schrijft Culp. Hij legt een deel van de schuld bij de deskundigen, die op websites en elders gedetailleerde informatie beschikbaar stellen over veiligheidsproblemen van computersystemen. De computerbeveiliginggemeenschap hielp daarmee de makers van virussen. "Het is de hoogste tijd dat deze gemeenschap ophoudt met het aanleveren van blauwdrukken om deze wapens te maken. Het is ook de hoogste tijd dat gebruikers de veiligheidsexperts duidelijk maken dat ze de verplichting hebben hen te beschermen. We kunnen en moeten veiligheidsproblemen bespreken, maar op een verstandige en verantwoordelijke manier."
De manager is ervan overtuigd dat het publiceren van precieze stap-voor-stap beschrijvingen van veiligheidsproblemen de virusmakers op ideeën brengt. "Niet alleen buiten de virussen juist die veiligheidslekken uit, ze gebruiken zelfs de beschreven techniek, bestandsnamen en programmeercode. Het is geen toeval. Publicatie van de details van de lekken draagt eraan bij dat ze gebruikt worden voor wapens."
Culp, per e-mail: "Er is een klein aantal knappe koppen dat kwaadaardig genoeg is om veiligheidslekken op te sporen en er een programma voor te schrijven. Maar alle schadelijke wormen totnogtoe zijn ontwikkeld door onkundige mensen die niets méér deden dan gereedschappen van anderen te gebruiken. Als we hun de toegang tot die middelen kunnen onthouden, worden systemen ogenblikkelijk een stuk veiliger."
"Microsoft wil hierover consensus bereiken met de andere groten in de industrie. We gaan ook onze gebruikers vragen deze gedragsverandering bij de beveiligingsexperts aan te moedigen." Meer details over deze campagne wilde Culp voor de conferentie niet kwijt.
Thomas Greene, een journalist verbonden aan de website ’the Register’ zegt dat het artikel van Culp een schot voor de boeg is voor een "aanval van de lobbyisten van Redmond die de gemeenschap van beveiligingsdeskundigen haar wil gaat opleggen". Volgens hem leurt Microsoft met een overeenkomst die alleen partners toegang geeft tot informatie over veiligheidsproblemen, en anderen buitensluit. Partners wordt tegelijkertijd verboden om gedurende een bepaalde periode details over problemen naar buiten te brengen. "Die periode kan 45 dagen zijn, à la Cert (Computer Emergency Response Team), zes maanden, of wellicht nog veel langer."
Greene kraakt het plan van Microsoft genadeloos af: "De steriele rapporten waarmee MS totnogtoe zijn lapmiddelen naar buiten brengt, zullen wel model staan voor de aanpak. Volledige openheid van zaken wordt verboden tot het Beest een stoplap klaar heeft; het ziet ernaar uit dat het bedrijf daar net zo lang over mag doen als het wil. Met de bekende schelmenstreken zal MS uitvlooien welke schurkachtige aanbieders van computerbeveiligingsdiensten de censoren uit Redmond durven te weerstaan"
Goed uitgangspunt
In Nederland wordt niet of nauwelijks opgekeken van de aankondiging van Culp. Het ministerie van Verkeer en Waterstaat ziet het liefst meer Certs tot stand komen. Begin dit jaar sloeg het ministerie alarm met de beleidsnota Kwetsbaarheid op Internet (Kwint) over de bedreigingen voor het Nederlandse deel van internet.
Een woordvoerder van het Directoraat Generaal Telecommunicatie en Post: "Of en wanneer beveiligingslekken openbaar moeten worden gemaakt, zal afhankelijk zijn van de aard van de problematiek en het beleid dat een Cert daarin voert. Het beleid dat bijvoorbeeld de internationaal coördinerende Cert in de VS hanteert, vindt V&W een goed uitgangspunt bieden. Zij maakt software-gaten na 45 dagen bekend. De achterliggende gedachte is dat gebruikers er belang bij hebben om van het veiligheidsrisico op de hoogte te worden gebracht en dat de softwarefabrikant op deze manier voldoende tijd heeft om het gat te kunnen repareren."
Paul de Graaf, secretaris informatiebeleid van werkgeversorganisatie VNO Nccw, heeft weinig begrip voor het plan van Microsoft om informatie alleen in beperkte groep bekend te maken. "Producenten moeten duidelijk zijn over veiligheidsproblemen in hun software. Die dingen geheimhouden of alleen in beperkte kring delen, daar zijn we het niet mee eens. Het is net zo vreemd als achterdeuren in encryptie-software in te bouwen. We vinden dat niets, hoe prachtig een voorstander het ook kan uitleggen. VNO Nccw probeert dit beleid al sinds lang uit te dragen. Alleen al de suggestie dat sommige bedrijven spullen leveren die minder betrouwbaar zijn en over die problemen alleen in beperkte kring mededelingen doen, doet afbreuk aan ons werk."
In een eerder interview met dit blad noemt Rob Gonggrijp, hacker en oprichter van het computerbeveiligingsbedrijf Itsx, het publiceren van een ddos-programma nuttig: een praktijk waar Culp het liefst een einde aan wil maken. Gonggrijp ziet in de roep van Culp een kern van waardheid. "Een alternatief zie ik echter niet: als we dit soort informatie geheim gaan houden dan komen de softwareleveranciers niet van hun kont. Dat was in het verleden juist de reden waarom iedereen ervan overtuigd raakte dat ‘full-disclosure’ het best was."
Veranderende groep
Edo Roos Lindgreen, partner bij Kpmg Information Risk Management, leest in het artikel van Culp niet de voorbode van een of ander offensief. "Het lijkt me eerder een oprechte hartenkreet van een betrokken beveiligingsman." Roos vindt de redenering van Culp goed afgewogen. "Culp heeft ergens gelijk. Er zijn genoeg beveiligingsbedrijven die het mooi vinden om kant en klare ‘exploits’ te publiceren. Een bedrijf heeft daar weinig aan bij het oplossen van veiligheidsproblemen. Daar gaat het toch vooral om het installeren van de meest recente ‘patch’. Goed gedocumenteerde veiligheidslekken maken het 15-jarige hackertjes nog gemakkelijker dan ze het al hebben."
Net als Gonggrijp is Roos echter van mening dat het probleem niet wordt opgelost met het verwijderen van dergelijke informatie op beveiligingssites. Niet omdat de software-leverancier dan niet onder druk wordt gezet om snel te reageren, maar omdat de informatie toch wel te vinden is. "Wie echt wil klieren, vindt binnen een paar minuten een ondergrondse site met tools om een nieuwe worm in elkaar te zetten." Culps opzetje om zich te richten op de gemeenschap van computerbeveiligingsdeskundigen, noemt Roos ‘interessant’. "Die gemeenschap bestaat niet. Er is een wereldwijde en voortdurend veranderende verzameling systeembeheerders, consultants, hackertjes, spionnen, vandalen, journalisten met allemaal toegang tot dezelfde informatie. Die kun je niet uit elkaar houden, laat staan collectief verantwoordelijk stellen voor een specifiek probleem."
Marinus van Oers, computervirusdeskundige bij Network Asscociates, denkt dat het gros van de gemeenschap van veiligheidsdeskundigen voldoende verantwoordelijk omgaat met problemen met software. Hij zoekt niets vreemds achter het pleidooi van Culp. "Bij het schrijven van programma’s moet je kiezen tussen veiligheid en flexibiliteit. Microsoft heeft dat laatste hoog in het vaandel staan. In de Unix-wereld is een systeem wel veilig te maken, maar dat wordt dan wel onhandig in gebruik. Bij Microsoft is er echter geen sprake van kwade wil."
Gijs Hillenius Redacteur
