Per Hellqvist om IT-säkerhet och sånt

Microsoft logotypeIgår kväll var det dags för ett nytt lass säkerhetsuppdateringar från Microsoft. Det som intresserade mig var inte att det fanns 6 kritiska uppdateringar varav många tillåter att nån kör kod på din maskin bara genom att du besöker en webbplats t ex. Nä, det som intresserade mig var att i princip samtliga var tidigare okända och att de rapporterats in som “Responsible Disclosure”.

Det innebär att det ännu inte finns (vad man vet) attack-kod publicerad för problemen och att företag och privatpersoner kan uppdatera sina maskiner i (förhållandevis) lugn och ro.

Responsible Disclosure, i motsats till Full Disclosure där man publicerar informationen till allt och dennes moster utan att meddela tillverkaren först, innebär att man enbart talar om för tillverkaren att man hittat problem med produkten i fråga. Det ger tillverkaren tid att ta itu med problemet och ta fram en fungerande lösning. Om man publikt annonserar saker, med exploit-kod, skapar man ett slags panikläge där alla som använder operativsystemet eller produkten som har en sårbarhet är våldsamt utsatta för snabba attacker. Då tvingas man till panikåtgärder som att införa workarounds eller helt stänga system. Men, till Responisble Disclosure finns även en tidsbegränsning. Har inte tillverkaren hört av sig i “rimlig tid” (normalt 1-3 månader) anses de inte intresserade av sina kunders bästa och den som har informationen kan då publicera informationen publikt.

Responsible Disclosure låter vettigt i alla fall. Den välkände Bruce Schneier skrev dock tidigare i år ett långt inlägg i debatten där han i princip tycker att ingen/inget blir säkrare av att nåt hålls hemligt (eftersom fler personer än den som rapporterade till tillverkaren kan ha hittat problemet och aktivt använt det till attacker, så kallade zero day attacker). Man talar ofta om att “Security through obscurity” (a.k.a Kerckhoffs princip) inte hjälper nån. Man menar på att det är bättre att inte dölja något, för har man gjort rätt från början har man inget att dölja. Men som alla vet så är alla system skapade av människor och människor är inte felfria. Ergo har alla system fel.

Båda sidorna har ju sina poänger, men jag lutar nog åt att rösta på valet för Responisble Disclosure om tillverkarna tar sitt ansvar. Det är oerhört viktigt att man tar de personer vill verka efter Responsible Disclosure på allvar och ger dem bekräftelse. Om ömsesidig respekt råder så känns det som en lyckad lösning.

Men, som så många andra diskussioner så råder delade meningar och alla har rätt på sitt sätt. Vad tycker du? Lämna gärna en kommentar!

Taggar: Allmänt, Microsoft, Säkerhetshål, Security through Obscurity

Kommentarer

Lämna en kommentar

Du måste vara inloggad för att lämna en kommentar.