Microsoft ber hackere slutte å hjelpe crackere

Culp peker på at systemadministratorer må holdes informert om hvordan de kan beskytte sine systemer. Det betyr at de må vite hvor sårbarheten finnes, hva slags følger den kan få, og hvordan de skal installere fiksen. De trenger ikke noen detaljert oppskrift på hvordan sårbarheten kan utnyttes av uvedkommende.

Hullene som Code Red og Nimda utnyttet, hadde fått sine fikser flere måneder før ormene dukket opp. Culp tar selvkritikk på Microsofts vegne for at prosessen med å få fikser ut til brukerne er for dårlig, og peker på at selskapet nylig har tatt et initiativ for å bedre dette forholdet. Han legger til at nettopp erkjennelsen av mangler i fiks-prosessen burde fått folk til å la være å legge ut oppskrifter for hvordan sårbarhetene kunne utnyttes.

Culp tar spesielt opp diagnoseverktøy som lages for å fastslå hvorvidt man er sårbar eller ikke for en spesiell type angrep. Han peker på at i noen tilfeller kan dette gjøres på en ansvarlig måte. Men verktøyene spres vanligvis tilnærmet fritt, og kan like gjerne brukes av crackere til å identifisere sårbare systemer, som av systemansvarlige til å vurdere sin egen sårbarhet.

Microsoft varsler at selskapet de kommende måtene vil komme med flere utspill for å vinne støtte for disse synspunktene blant IT-sikkerhetsfolk.

Culps artikkel er lagt ut her.

De allmenne reaksjonene hittil er både at Microsoft ber for sin syke mor, og at selskapet utvilsomt har et poeng.