Vijf it-beveiligingsbedrijven gaan samen met Microsoft informatie over beveiligingsproblemen beperkt openbaren. Hoofdoelstelling van de groep is het ontmoedigen van ‘full disclosure’ ; het gebruik om alle details van een veiligheidslek te publiceren, ook wanneer dit kwaadwilligen juist helpt.
De bedrijven Bindview, Foundstone, Guardent, @Stake en Internet Security Systems maakten eind vorige week aan het slot van de driedaagse Trusted Computing Forum bekend dat ze zich aansluiten bij het initiatief van Microsoft. De coalitieleden willen bij het geven van informatie over veiligheidsproblemen details weglaten die door kwaadwillenden gebruikt kunnen worden. Dertig dagen na deze eerste bekendmaking, kunnen de leden meer gedetailleerde informatie publiceren.
De nieuwe organisatie wil de komende maanden een aantal verzoeken om commentaar (requests for comments, RFC’s) openbaren, waarin het uiteenzet hoe informatie over veiligheidslekken bekend te maken. De RFCs bespreken details als de manier van rapporteren, e-mail adressen en de termijn waarbinnen leveranciers moeten reageren. Samen met het commentaar worden deze voorstellen ingediend bij Internet Engineering Task Force, waar het publiek ze kan bestuderen. Mogelijk neemt deze organisatie de RFCs aan als opties voor standaarden.
Blauwdrukken
Het inititiatief voor de aankondiging ligt bij Scott Culp, manager van Microsofts Security Response Center. Hij plaatste vorige maand een artikel op de website van het bedrijf, waarin hij de gemeenschap van computerbeveiligingsdeskundigen oproept te stoppen met het aanleveren van een teveel aan details over veiligheidslekken, "de blauwdrukken van wapens zoals virussen".
Het aankondigen van de lobby op de Trusted Computing Forum in Californië ontlokte meteen veel kritiek. "Voor Microsoft is het een manier om aan sommige beschamingen te ontkomen", reageerde Marc Maiffret van eEye Digital Security in een artikel op de website The Register.
