2min

Gisteren heeft beveiligingsbedrijf Matasano per ongeluk de details van een zeer gevaarlijk DNS-lek gepubliceerd. Dit is de tweede keer dat het beveiligingsbedrijf met dit DNS-lek de fout in gaat.

De eerste keer betrof het namelijk de ernst van de kwetsbaarheid. Volgens Thomas Ptacek, medewerker van dat bedrijf, was het lek niet zo serieus. Na telefonisch contact met de ontdekker van het lek, Dan Kaminksy, maakte hij publiekelijk zijn excuses, raadde hij iedereen aan DNS-updates direct te installeren en stelde hij zijn mening bij.

Gisteren kwam reverse-engineergoeroe Halvar Flake met de onthullingen van de details van het lek, waarop Matasano zijn verhaal bevestigde. Echter was dat niet afgesproken met Kaminsky, de afspraak was namelijk dat de blog zou wachten met de details tot de Black Hat-conferentie in Las Vegas voorbij was.

De posting werd dan ook snel weer verwijderd door Matasano, en er werd opnieuw een excuses aangeboden, echter was het kwaad al geschied. De informatie gepubliceerd is namelijk nog steeds te bezichtigen op andere websites. Kaminksy hoopte met het uitstel bedrijven en overheidsinstellingen de tijd te geven om het lek te patchen.

De actie van het beveiligingsbedrijf heeft, hoewel slordig, wel de discussie aangewakkerd over of details van beveiligingslekken wel of niet gepubliceerd zouden moeten worden. Het beleid ‘nu patchen, later vragen’ valt niet bij iedereen in goede aarde.

"De rode draad in dit verhaal is dat als we het geheim houden, we aanvallen voorkomen, wat op twee punten niet klopt. De bad guys gebruiken dit waarschijnlijk al en het schept een moreel gevaar dat ons allemaal kan beschadigen. We hebben het recht om geïnformeerde beslissingen te maken. Het hele proces achter het verantwoordelijk onthullen van het lek, en de meeste lekken vandaag de dag, beïnvloeden dat doel," vertelt Rudd-O.