Microsoft: geen verplichting binnen 60 dagen te patchen

Thomlinson noemt het niet, maar zijn blogentree kan niet los gezien worden van het initiatief van 7 Google-medewerkers. Die riepen eerder deze week alle betrokkenen op om een termijn van 60 dagen af te spreken voor het repareren van kritieke lekken in software. Als die termijn verstreken is moeten de details van het lek openbaar gemaakt worden, menen de Google-medewerkers. Langer stilhouden van lekken brengt gebruikers onnodig in gevaar; de kans dat hetzelfde lek door iemand met kwade bedoelingen wordt gevonden, is immers levensgroot, redeneren ze.

Dat initiatief volgde op een botsing van een van de initiatiefnemers – Tavis Ormandy – met Microsoft. Ormandy publiceerde details van een lek in Windows, toen Microsoft niet wilde toezeggen binnen afzienbare termijn met een patch te komen. Veel beveiligers konden daar begrip voor opbrengen. Softwareleveranciers reageren vaak zo lauwhartig op een melding, dat beveiligingsexperts zich niet echt serieus genomen voelen. Maar het kwam Ormandy ook van verschillende kanten op een reprimande te staan. Zijn gedrag was voor een beveiligingsonderzoeker onverantwoord, was de kritiek. In het 60-dageninitiatief brachten Ormandy en collega’s daar tegen in, dat het verantwoordelijkheidsgevoel van de beveiligingsonderzoeker softwareleveranciers geen vrijbrief mag geven om te talmen met patchen.

Met de term Coordinated Vulnerability Disclosure schuift Thomlinson op dat laatste punt misschien niet met zo veel woorden, maar inhoudelijk wel een beetje de kant op van Ormandy c.s. ‘Verantwoordelijkheid is noodzakelijk, maar het is een gedeelde verantwoordelijkheid tussen beveiligingsonderzoekers, leveranciers van beveiligingsproducten en andere softwareleveranciers’, schrijft Thomlinson. Bij die verdeling van verantwoordelijkheden hoort ook dat de leverancier van het kwetsbare product tijdig maatregelen neemt en publiceert, stelt hij.

Tot die tijd zou de ontdekker van een lek zich van publiciteit moeten onthouden, meent Thomlinson, om gebruikers van het product niet onnodig in gevaar te brengen. Tenzij geconstateerd wordt dat het lek in kwestie geëxploiteerd wordt. Het stellen van een termijn waarbinnen gerepareerd moet zijn, gaat Thomlinson kennelijk te ver.

Met de nadruk op coördinatie die hij in zijn blog aanbrengt geeft Thomlinson wel te kennen, dat softwareleveranciers de melders van een lek beter zouden kunnen samenwerken de voortgang bij het patchen ervan. Met als impliciet voordeel dat de melder op de hoogte blijft van de planning, en de inspanningen die het repareren van een bepaald lek kost. Voor Microsoft kunnen die nog wel eens behoorlijk oplopen, verduidelijkt Katie Moussouris in een aparte blogentree over hetzelfde idee: als een bepaalde patch in 1 procent van de gevallen problemen geeft, kan Microsoft miljoenen klanten duperen. Grondig testen is dus vereist. Dat, en het herstelwerk dat daaruit voort kan komen, kan voor aanmerkelijke vertraging bij het patchen leiden.

Microsoft is zelf van plan om de principes die het nu heeft uitgeschreven, in de praktijk te brengen. Ook als een beveiligingsonderzoeker ervoor kiest de details van een lek toch maar alvast naar buiten te brengen, zegt Moussouris er nadrukkelijk bij.