Kontroversielle sikkerhetsråd trukket fra IETF

Et kontroversielt forslag til retningslinjer for håndtering av opplysninger om sikkerhetshull, er trukket fra IETF.

I november klaget Scott Culp, sjefen for Microsofts senter for sikkerhetsrespons, over at nyoppdagede sårbarheter ble omtalt for raskt og i for stor detalj i forhold til leverandørenes behov for å fikse dem i ro og fred, og distribuere oppdateringer til kundene så diskret som mulig.

Etter dette utbruddet tok Microsoft en rekke initiativ. Det ble skissert en egen Organization for Internet Safety som fortsatt er under organisering, og det ble etablert en uavhengig gruppe som skulle foreslå retningslinjer for hvordan folk som oppdaget nye sårbarheter skulle gå fram. Denne gruppen på to mann la i februar ut et forslag til Responsible Vulnerability Disclosure Process som skulle vokse til en egen Internet Engineering Task Force-standard.

Utkastet prøver å trekke opp et kompromiss mellom to svært ulike fløyer. Programvareleverandører vil gjerne at sårbarheter skal meldes så diskret som mulig, slik at de kan utarbeide fikser og informere kundene før hackermiljøet får vite om sårbarheten. Uavhengige eksperter peker gjerne på at programvareleverandører helst overser sårbarheter med mindre de utsettes for blest. Det er spesielt mye uenighet rundt distribusjon av kode som viser hvordan en sårbarhet kan utnyttes - og som systemansvarlige ønsker seg for å forsikre seg at fiksene de installerer faktisk fungerer etter hensikten.

I sin nyeste månedlige "Cryptogram" skriver den uavhengige eksperten Bruce Schneier at forslagene i utkastet var for vage, slik at de kunne brukes til å holde tilbake både fikser og opplysninger om sikkerhetshull. Hvis det skulle skje, vil IETF stå som garantist for en standard som undergraver sikkerheten på nettet, skriver han.

Forfatterne har trukket dokumentet fra IETF-prosessen, men varslet at de vil søke å finne et annet forum for å fortsette diskusjonen. Om nødvendig vil di opprette et eget forum, sier de.

Til toppen