Microsoft ber hackere slutte å hjelpe crackere

Microsoft oppfordrer hackere til å opptre diskret når de offentliggjør nyoppdagede sikkerhetshull, og ikke gi ondsinnede crackere gratisverktøy til nye innbrudd.

Oppfordringen er gitt i form av en artikkel på Microsoft Technet av sikkerhetssjef Scott Culp, med tittelen "It's Time to End Information Anarchy". Formuleringen "informasjonsanarki" viser til at ivrige hackere - blant dem også profesjonelle IT-sikkerhetsfolk - ofte har offentliggjort så mye informasjon rundt nyoppdagede sikkerhetshull at ondsinnede crackere nærmest har fått ferdig kode til å bryte seg inn på ubeskyttede nettsteder.

Culp mener dette er et svik mot brukerne, siden disse har krav på at IT-sikkerhetsfolk bidrar til å beskytte dem, i stedet for - kanskje ubetenksomt - å forsyne innbruddstyvene med det disse trenger i sin geskjeft. Han viser til at i forkant av ormer som Code Red og Nimda, ble det åpent spredd regelrette oppskrifter for å utnytte sikkerhetshullene som disse verdensplagene ormet seg gjennom. Analysen av ormekoden har siden avslørt at den baserte seg på disse oppskriftene. Microsoft erkjenner at det er sikkerhetshull i selskapets programvare, på samme måte som det er sikkerhetshull i all kompleks systemvare, også for eksempel Linux og Solaris. Sikkerhetshull er uunngåelig. Følgelig må det være en prosess der de som oppdager sårbarheter, melder fra til leverandøren, og der leverandøren svarer ved å varsle brukerne og legge ut fikser.


Culp peker på at systemadministratorer må holdes informert om hvordan de kan beskytte sine systemer. Det betyr at de må vite hvor sårbarheten finnes, hva slags følger den kan få, og hvordan de skal installere fiksen. De trenger ikke noen detaljert oppskrift på hvordan sårbarheten kan utnyttes av uvedkommende.

Hullene som Code Red og Nimda utnyttet, hadde fått sine fikser flere måneder før ormene dukket opp. Culp tar selvkritikk på Microsofts vegne for at prosessen med å få fikser ut til brukerne er for dårlig, og peker på at selskapet nylig har tatt et initiativ for å bedre dette forholdet. Han legger til at nettopp erkjennelsen av mangler i fiks-prosessen burde fått folk til å la være å legge ut oppskrifter for hvordan sårbarhetene kunne utnyttes.

Culp tar spesielt opp diagnoseverktøy som lages for å fastslå hvorvidt man er sårbar eller ikke for en spesiell type angrep. Han peker på at i noen tilfeller kan dette gjøres på en ansvarlig måte. Men verktøyene spres vanligvis tilnærmet fritt, og kan like gjerne brukes av crackere til å identifisere sårbare systemer, som av systemansvarlige til å vurdere sin egen sårbarhet.

Microsoft varsler at selskapet de kommende måtene vil komme med flere utspill for å vinne støtte for disse synspunktene blant IT-sikkerhetsfolk.

Culps artikkel er lagt ut her.

De allmenne reaksjonene hittil er både at Microsoft ber for sin syke mor, og at selskapet utvilsomt har et poeng.

Til toppen