Als het gaat om het inbreken in andermans computer kun je verschillende partijen onderscheiden

058 00-10-12 CERT en hacking

Herbert Blankesteijn

Makers van software zullen de veiligheid van hun produkten serieuzer moeten gaan nemen.

Het Computer Emergency Response Team of CERT, een nationale organisatie in de VS die zich met computerveiligheid bezighoudt, zal programmeerfouten die software onveilig maken in het vervolg publiceren als ze niet snel genoeg worden verholpen. Het CERT hoopt dat softwarefabrikanten bang zijn voor de effecten van die publiciteit, en meer aan veiligheid gaan doen.

Als het gaat om het inbreken in computers kun je verschillende partijen onderscheiden. In de eerste plaats natuurlijk de hacker. In de tweede plaats zijn slachtoffer, de eigenaar van de computer die het doelwit is. Ten derde de maker van de software op de pc die wordt aangevallen. Hoe liggen hier de verantwoordelijkheden?

In veel landen wordt de hacker al als een misdadiger gezien. Het lukt steeds beter om computercriminelen op te sporen en te straffen, dank zij het gebrek aan privacy op internet.

Eigenaars en gebruikers van computers zijn zelf verantwoordelijk voor het nemen van behoorlijke maatregelen, zoals het installeren van beveiligingssoftware en het verstandig gebruik van wachtwoorden. Zij ondervinden zelf de gevolgen als de beveiliging tekort schiet. Gebruikers zijn vaak nalatig, maar bedrijven spannen zich behoorlijk in voor computerveiligheid.

Maar dat kan niet voldoende zijn zolang de gebruikte programmatuur, bijvoorbeeld het besturingssysteem of de internetbrowser, structureel onveilig is. Wekelijks, zo niet dagelijks, komen er veiligheidsproblemen aan het licht die om zo te zeggen zijn ingeprogrammeerd door de maker van essentiële software. Het komt erop neer dat de wereld één groot testgebied is voor onrijpe software. Omdat de vraag groot is en potentiële gebruikers zich laten verblinden door knopjes, toeters en bellen, is het voor softwaremakers altijd winstgevend geweest om slordig gemaakte produkten op de markt te gooien en de eigen slordigheid te verzwijgen.

De stap van CERT is erop gericht deze strategie minder winstgevend te maken. Als een bug wordt ontdekt, wordt de maker erop geattendeerd en als er na 45 dagen niets aan is gedaan, volgt publicatie. Dat is slecht voor het imago en het vergroot de kans dat hackers van de bug gebruik maken. Hopelijk leidt dit tot software die aan de buitenkant minder opgemaakt en gepoederd is, en van binnen betrouwbaarder.