managing21.be

Onderzoekers naar programmafouten en lekken hebben te veel macht. Dat zegt Window Snyder, veiligheidsdirecteur bij Mozilla. Volgens haar zouden de softwareproducenten meer tijd moeten krijgen om problemen op te lossen, voor ze publiek gemaakt worden. Op dit ogenblik kunnen die onderzoekers volgens Snyder willekeurig beslissen wanneer ze problemen bekend zullen maken en of ze al dan niet de producent vooraf verwittigen.

Tijdens het ShmooCon-hackercongres in Washington gaf Snyder wel toe dat producenten van software sneller zouden moeten reageren op probleemmeldingen die ze binnen krijgen. Er gaat trouwens al langer een discussie over het melden en bekendmaken van software-problemen. “Ontwikkelaars worden soms geconfronteerd met problemen die de moeilijk of te duur zijn om op te lossen en dat frustreert uiteraard de onderzoekers,” aldus Snyder.

Om de druk op de producenten te verhogen, maken onderzoekers volgens het magazine The Register soms details over veiligheidsproblemen bekend vooraleer een oplossing is gevonden. “In een aantal gevallen wordt zelfs vooraf de fabrikant niet op de hoogte gebracht van het probleem,” aldus het magazine. “Meestal heeft dat te maken met een voorafgaandelijke wrevel tussen de onderzoeker en de producent.”

De producenten stippen aan dat deze bekendmaking hackers kan wijzen op tekorten die ze anders misschien nooit zouden ontdekt hebben, maar vele onderzoekers stellen dat de fabrikanten heel traag zijn bij het oplossen van problemen en de onderzoekers voor het melden van de gevaren ook geen erkentelijkheid krijgen. Daarbij wordt onder meer verwezen naar Apple, dat de onderzoekers David Maynor en Jon Ellch in diskrediet probeerde te brengen.

Een aantal beveiligingsfirma’s heeft inmiddels een beloning uitgeloofd aan onafhankelijke experts die betaald worden voor elk veiligheidsprobleem dat ze vinden.