Opinie: Het failliet van de beveiligingsindustrie

Vupen trad daar pas in maart 2014 mee in de openbaarheid, tijdens de Pwn2Own-wedstrijd in Vancouver. Het had eerder ook geen contact gezocht met Microsoft om te waarschuwen voor het lek - dat Microsoft dwong tot het ontwikkelen van een patch die de kwalificatie kritiek kreeg. Dat betekent dat het lek tot de ernstigste categorie behoort.

De reden dat Vupen de ontdekking van het lek stil hield, laat zich niet moeilijk raden: ordinair winstbejag. Met de kraak van Internet Explorer was op deze Pwn2Own 100.000 dollar te verdienen. Voor zo'n bedrag kon het Franse bedrijf kennelijk met een gerust gemoed gebruikers van Internet Explorer ruim 3 jaar lang het risico laten lopen dat iemand met kwade bedoelingen het lek ook vond, of al gevonden had, en zou gaan misbruiken.Want zo arrogant dat het denkt dat een ander niet kan vinden wat zijn experts hebben gevonden, kan Vupen toch niet zijn.

Ongetwijfeld zou Vupen zich tegen deze aantijging verdedigen met het argument dat het natúúrlijk Microsoft gewaarschuwd zou hebben als het gemerkt had dat het lek misbruikt werd. Maar dat is wel een heel groot 'als'. En los daarvan, Microsoft had een maand of drie nodig om voor dit lek een patch te ontwikkelen. Dus als Vupen na geconstateerd misbruik Microsoft had gewaarschuwd, was er toch nog geruime tijd een groot probleem geweest. Voor mij is de conclusie dan ook, dat Vupens gedrag een beveiligingsspecialist onwaardig is.

Vupen is niet de enige speurder naar lekken in de software waar vraagtekens rond zijn ontstaan. Eerder deze week kwam Exodus Intelligence negatief in het nieuws, na het bericht dat het de producenten van Tails wel wat laat op de hoogte stelde van lekken die het gevonden had in de Tails-software. Exodus Intelligence blijkt die informatie wel te verkopen aan derden. Wie dat zijn, en welk belang die derden bij die informatie hebben, is niet helemaal duidelijk. Dat betekent niet per definitie dat er iets schimmigs aan de hand is, maar het roept wel vragen op. Zeker ook omdat naar verluidt ook de NSA één van de klanten van Exodus Intelligence is.

Het riekt allemaal naar een wildgroei in de beveiligingsindustrie die niet in het belang is van de kopers van software. Terwijl softwarebedrijven daar makkelijk iets aan zouden kunnen doen. Eerder dit jaar lanceerden Stefan Frei en Francisco Artes van NSS Labs een even simpel als elegant voorstel om hackers de wind uit de zeilen te nemen. Softwarebedrijven zouden gewoon alle informatie over ontdekkingen van kwetsbaarheden in software op moeten kopen tegen een bedrag van 150.000 dollar. Met dat bedrag zou het voor hackers nauwelijks meer de moeite lonen om te proberen de hack zelf te exploiteren of aan een kwaadwillende te verkopen. En ook de Vupens van deze wereld hoeven niet mee op hun handen te gaan zitten totdat ze een gevonden lek kunnen gebruiken om een beloning te incasseren. Het lijkt veel geld, 150.000 dollar. Maar alle in 2012 ontdekte lekken zouden maar 0,3 procent van de omzet van de software-industrie gekost hebben.

De afgelopen tijd maken met name Google en Microsoft serieuzer werk van het opkopen van informatie over lekken, door het organiseren van of deelnemen aan hackerswedstrijden en het verhogen van de beloningen voor geslaagde hacks waarover informatie met hen gedeeld wordt. Maar gezien de manier waarop Vupen daarmee omgaat - en Vupen zal niet de enige zijn die zo werkt - lijkt het hoognodig dat softwarebedrijven een volgende stap maken. In het belang van hun klanten. Want de manier waarop het zoeken naar en bekendmaken van informatie over lekken nu georganiseerd is, biedt te weinig garanties dat cruciale informatie zo snel mogelijk beschikbaar komt bij de partijen die daarop actie moeten ondernemen.