Hackere, forskere og dygtige computerbrugere, som opdager et hul i sikkerheden på arbejdspladsens computere, skal holde tand for tunge, indtil fejlen er rettet. Ellers kan hackere med kendskab til hullet udnytte det til at lægge vigtige systemer ned. Det skriver det amerikanske nyhedssite Cnet.
- Der må ikke slippe informationer ud, der - i de forkerte hænder - kan bruges til at udrette skade, sagde vicedirektøren for USA´s nationale sikkerhedsråd, Richard Shaeffer. Det nationale sikkerhedsråd har til opgave at rådgive præsidenten i spørgsmål om nationens sikkerhed.
Det går godt i tråd med præsidentens IT-sikkerhedsrådgiver Richard Clarkes udtalelser fra sidste uge. Ved den netop overståede Black Hat-konference for IT-sikkerhedsfolk sagde Clarke, at nok er det vigtigt at få fundet huller, men det er afgørende at sørge for, at kendskabet til dem ikke bliver udbredt til de forkerte mennesker.
Fejl i software
Regeringens udvalg for IT-sikkerhed, der har til opgave at rådgive staten om IT-sikkerhed, er også ude med riven over for de store softwarehuse. Et medlem af udvalget, Marcus Sachs, benyttede lejligheden til at lange ud efter softwareproducenterne for at levere programmer, der fyldt med fejl. Han advarer branchen om, at regeringen vil bruge checkhæftet til at tvinge producenterne til at udvikle bedre og mere sikre produkter.
- Staten er store indkøbere af udstyr og software. Ved at forlange bedre software kan staten være med til at påvirke sikkerhed og kvalitet, sagde Marcus Sachs.
Debatten om diskretion i forbindelse med huller i sikkerheden er blusset op i takt med, at sikkerheden bliver prioriteret stadig højere. Sikkerhedskonsulenter, der finder huller, bruger dem ofte til at skabe en pinlig situation for konkurrenten.
I sidste uge truede Hewlett Packard en privat sikkerhedskonsulent med en erstatningssag, efter at vedkommende havde offentliggjort et hul i firmaets nye serversoftware, Tru64. HP har siden droppet sagen igen.
Marcus Sachs mener ikke, at en sådan taktik er den rigtige. Men han understregede vigtigheden af, at informationer om huller i sikkerheden ikke offentliggøres, før de er lukket.