Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 30/9/2002
Den nydannede Organization for Internet Safety (OIS) er i færd med at udarbejde regler for, hvordan information om sårbarheder i it-systemer kan offentliggøres. Reglerne ventes klar næste år.Ifølge en artikel fra Computerwire vil organisationen kræve, at sikkerhedsforskere venter 30 dage, før de offentliggør nye sårbarheder. Det svarer til et forslag, som Chris Wysopal fra @stake og Steve Christey fra Mitre offentliggjorde tidligere i år. De foreslog, at standardiseringsorganisationen IETF (Internet Engineering Task Force) gjorde deres plan til en standard, men organisationen mente, det lå uden for dens arbejdsområde.
For øjeblikket er der ingen fælles standard for offentliggørelse af information om sårbarheder, som der er bred enighed om. Nogle sikkerhedsforskere offentliggør sårbarheder, så snart de opdager dem. Andre kontakter først leverandøren af det sårbare program og venter med at offentliggøre sårbarheden, til der findes en rettelse. Atter andre kontakter leverandøren og giver vedkommende en tidsfrist, hvorefter de offentliggør sårbarheden.
Undersøgelser har tidligere vist, at it-ansvarlige helst vil høre om sårbarheder, så snart de er opdaget - også selvom det skulle betyde, at hackere begynder at udnytte dem, før der findes rettelsesprogrammer.
Scott Blake fra OIS oplyser til Computerwire, at gruppen vil modarbejde offentliggørelse af kode, der viser, hvordan en sårbarhed kan udnyttes. Disse såkaldte "exploits" kan udnyttes af hackere uden større teknisk viden, "script kiddies".
"Vi vil ikke have, at sikkerhedsforskere giver ladte pistoler til script kiddies," siger han.
OIS består både af sikkerhedsfirmaer og softwarehuse. Blandt stifterne er Microsoft, @stake, Foundstone, Oracle og Symantec.
Gruppen har mødtes uformelt i et års tid. Men først nu er den dannet officielt. De første bud på anbefalinger ventes klar i starten af næste år. På samme tid vil gruppen også offentliggøre navne på deltagerne i et rådgivningspanel, som skal knyttes til gruppen. De skal hentes blandt sikkerhedsansvarlige fra hele verden.