30 dagers sperrefrist for detaljer om sikkerhetshull

På Microsofts "Trusted Computing" konferanse har fem sikkerhetsselskaper foreslått retningslinjer for hvordan man skal forholde seg til nyoppdagede sikkerhetshull.

Denne uken har Microsoft holdt en omfattende sikkerhetskonferanse, med deltakere fra sikkerhetsselskaper, USAs regjering og andre toneangivende brukere. I tillegg til å komme med utspill om kjente temaer i sikkerhetsdebatten, skal konferansen også bidra til å bøte på oppfatningen av Microsoft som useriøs i sikkerhetsspørsmål. En kjent internasjonal skikkelse innen sikkerhet, Rob Kolstad fra USENIX Association, sa på en noe mindre konferanse i Oslo i går, organisert av mnemonic as, at han faktisk har inntrykk av at Microsoft nå begynner å ta sikkerheten mer alvorlig - selv om han fortsatt anbefaler Unix som plattform.

Microsofts talsperson innen IT-sikkerhet, Scott Culp, offentliggjorde for tre uker siden et essay der han ber sikkerhetsfolk la være å forsyne crackere med så detaljerte opplysninger om nyoppdagede sikkerhetshull at det nærmest blir trivielt å nytte dem til datainnbrudd, en tilstand han karakteriserte som "informasjonsanarki".

På konferansen fikk Microsoft følge av fem anerkjente sikkerhetsselskaper - BindView, Foundstone, Guardent, Internet Security Systems og @stake i et forslag om retningslinjer for hvordan nyoppdagede sikkerhetshull skal behandles. Retningslinjene skal justeres løpende etter tilbakemeldinger fra IT-sikkerhetsfolk og så legges fram for et standardiseringsorgan, heter det.

De seks selskapene er enige om at publisering av detaljert informasjon om nyoppdagede sikkerhetshull må vente til minst 30 dager etter at det er utviklet en godkjent og effektiv fiks. Før det, skal det sendes ut hensiktsmessige varsler, men uten detaljer som kan gjøre det enkelt for ondsinnede hackere å utnytte sårbarheten.

Det er ikke enighet om dette blant ledende IT-sikkerhetsfolk. Ifølge Wall Street Journal sa en representant for Bugtraq at tilbakeholdingen av detaljer i 30 dager svarer til Microsofts behov for å tone ned blest rundt selskapets egne utilstrekkelige produkter. Bruce Schneier fra Counterpane Systems mener man ikke bør holde tilbake så mange detaljer at systemadministratorer ikke gis tilstrekkelig bakgrunn for selv å kunne avgjøre om de er tjent med å installere fiksen, og teste for hvorvidt den faktisk virker etter hensikten.

En annen tilnærming er valgt av FBI-organet Computer Emergency Response Team. De har valgt en abonnementsordning der bedrifter som betaler 50.000 dollar i året gis detaljerte varsler om nyoppdagede sikkerhetshull flere uker før varslene offentliggjøres.

Til toppen