Google: lekken moeten binnen 60 dagen gedicht

Een bijdrage van Ormandy en 6 collega’s op Googles Online Security Blog wijst uit dat het niet een spontane of geïmproviseerde actie van Ormandy was. In hun bijdrage zetten ze vraagtekens bij de morele verplichting die op de schouders van beveiligingsonderzoekers is gelegd om informatie over lekken stil te houden totdat er een patch is. Zeker als de betrokken softwareleverancier niet de verantwoordelijkheid neemt om zo’n lek binnen redelijke termijn te dichten. De kans dat anderen met minder nobele motieven zo’n lek vinden, is niet uit te sluiten. Integendeel zelfs, aldus de auteurs: het aantal aanvallen op ongepatchte lekken waarvan de softwareleverancier al op de hoogte is, neemt merkbaar toe.

Als softwareleveranciers van beveiligingsonderzoekers verwachten dat ze verantwoordelijk omspringen met informatie over lekken, mogen die onderzoekers, en vooral ook de gebruikers van de software, verwachten dat die softwareleveranciers binnen redelijke termijn reageren op de meldingen. Voor kritieke lekken zou patchen binnen 60 dagen het maximum moeten zijn, menen de experts.

Beveiligingsexperts zouden bij ieder lek dat ze melden een deadline moeten geven aan de betrokken leverancier, afhankelijk van de complexiteit van de benodigde reparatie. Na het verstrijken van die deadline zou men de informatie over het lek moeten vrijgeven, inclusief eventuele ‘workarounds’, aldus de Google-medewerkers. Ze nodigen collega-experts uit met hun in discussie te treden over deze voorstellen. Of ze hun voorstellen zelf in praktijk gaan brengen, en zo ja wanneer, is op dit moment nog onduidelijk.