Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 29/7/2003
Brancheorganisationen OIS (Organization for Internet Safety) har offentliggjort den endelige version af en specifikation for, hvordan sikkerhedsforskere skal offentliggøre sårbarheder. En forsker mener, at den kun vil blive brugt i snævre kredse.Specifikationen, "Guidelines for Security Vulnerability Reporting and Response," er et forsøg på at løse en konflikt mellem to grupper i it-sikkerhedsverdenen. På den ene side står de uafhængige sikkerhedsforskere, der opdager sårbarheder i programmer. De er ofte interesserede i at offentliggøre deres opdagelse hurtigt, så brugere af programmerne kan tage skridt til at sikre dem. På den anden side står softwareproducenterne. De ønsker som regel at vente med at offentliggøre en sårbarhed, til de kan levere en løsning på problemet.
OIS består primært af producenter og nogle sikkerhedsfirmaer. Hvis man vil følge organisationens retningslinier for offentliggørelse, skal sikkerhedsforskeren aftale med softwareproducenten, hvor lang tid der skal gå, før sårbarheden må offentliggøres. Som udgangspunkt anbefaler specifikationen 30 dage. Herudover skal der yderligere gå nogen tid, før man må offentliggøre eksempler på angrebsprogrammer, der udnytter sårbarheden.
En del sikkerhedsforskere har kommenteret specifikationen, siden det første udkast blev sendt i offentlig høring i starten af juni. En af dem er danske Thor Larholm, der kan glæde sig over, at halvdelen af hans indvendinger er kommet med i den endelige udgave af specifikationen. Alligevel mener han, at den fortsat har så store problemer for de uafhængige sikkerhedsforskere, at den aldrig vil blive bredt anvendt.
"Jeg mener stadig, at dette er en specifikation lavet af softwareproducenterne til softwareproducenterne. Der er ingen praktisk grund for størstedelen af alle forskere til overhovedet at benytte processen," siger han.
Thor Larholm mener, at processen vil gøre forskernes arbejde langsommere og belemre dem med unødigt bureaukrati. Han synes, den kan være et udmærket værktøj for firmaer, der leverer sikkerhedsforskning på bestilling og mod betaling. Men den duer ikke til de uafhængige sikkerhedsforskere.
"Problemet opstår, når virksomheder som Microsoft forsøger at pådutte eksterne forskere processen. Så bliver OIS blot et politisk værktøj, man kan trække frem og bruge til at kalde uafhængige forskere for uansvarlige," mener han.
OIS fremlægger specifikationen i morgen under hackerkonferencen Black Hat i USA.