Verdens største dusør-program for sikkerhedshuller sætter nu software-leverandørerne stolen for døren.
Hvis der ikke er udviklet en rettelse til en sårbarhed inden seks måneder, vil TippingPoints Zero Day Initiative (ZDI) offentliggøre informationer om hullet.
Det er konsekvensen af, at mange leverandører ikke får rettet fejl i den software, de producerer.
ZDI er en organisation, der køber informationer om sårbarheder fra uafhængige sikkerhedsfolk, og rapporterer dem videre til leverandørerne, der så kan bruge informationerne til at lappe huller i programmerne.
Indtil nu har disse informationer været et anliggende mellem software-leverandørerne og ZDI, men nu skærpes rutinerne.
Undtagelser, men ikke fripas
Efter seks måneder vil ZDI give "detaljer" om sårbarheden og eventuelle midlertidige muligheder for at lukke den, videre til offentligheden, skriver Computerworlds nyhedstjeneste.
Der er dog undtagelser.
"For sårbarheder, som kan have stor indvirkning, eksempelvis et hul i operativsystemets kerne, vil vi gøre undtagelser. Vi vil vurdere fra sag til sag, men information om et hul i Windows-kernen vil få forlænget tidsfristen," siger Aaron Portnoy, der er leder af forsker-teamet i HP TippingPoint.
Der er dog ikke tale om et fripas, hvis sårbarheden ikke lukkes inden for et halvt år.
"Hvis vi giver udsættelse, vil vi sørge for gennemsigtighed i processen, og således offentliggøre hele kommunikationen mellem os og leverandøren, når hullet er lappet."
"Denne kommunikation kan være mindst lige så interessant som selve hullet, fordi den giver et kig ind bag kulisserne, og afslører software-leverandørens holdning til it-sikkerhed," siger han.
Slappe producenter
Begrundelsen for den nye skærpede politik er, at ZDI er træt af leverandører, der er alt for langsomme i optrækket.
"Vi har sårbarheder der er op til tre år gamle. Det er helt uansvarligt," siger Aaron Portnoy.
"Helt konkret har vi en log med 31 kritiske huller, som vi har fortalt leverandørerne om for mere end et år siden."
Derved forsøger ZDI at lægge større pres på udviklerhusene, så de retter sikkerhedsfejl hurtigere.
"Når vi slipper lidt information fri, sætter det leverandøren i søgelyset."
Der bliver dog ikke sluppet så mange informationer ud, at hackere direkte kan misbruge sårbarhederne, lyder det fra ZDI.
DK-Cert: Et skridt på vej
Microsoft, der hyppigt modtager rapporter fra ZDI, er ikke særlig begejstrede for de nye stramninger.
"Det er kun, når der sker aktive angreb, at man bør offentliggøre informationer, så folk kan sikre sig. Samtidig bør man koordinere en eventuel offentliggørelse," siger Microsoft-direktør Dave Forstrom til Computerworlds nyhedstjeneste.
Den opfattelse deles delvist af chefen for DK-Cert.
"Der er ingen tvivl om, at der eksisterer et problem med en række producenter, der ikke får lukket huller. Generelt er branchen dog samvittighedsfuld, og den gør en stor indsats på området," siger Shehzad Ahmad fra DK-Cert.
"Offentliggørelse af et sikkerhedshul vil give et stort prestigetab for en producent, hvilket kan medvirke til, at de får lukket hullerne."
Han vurderer dog, at der er flere aspekter i sagen.
"Økonomien kan have stor indflydelse på, om en sårbarhed lukkes, da det kan kræve rigtig meget arbejde. Derfor mener jeg ikke, at denne løsning vil løse alle problemerne, men det vil hjælpe," siger han.
