In het kort
De richtlijnen/etiquette voor het melden van beveiligingslekken is over het algemeen vrij duidelijk: meldt je bij de softwareontwikkelaar, geef duidelijk aan wat er mis is, communiceer je verwachtingen, wacht enige tijd en meldt het publiek als de ontwikkelaar geen actie onderneemt.
Het probleem wat ik nu heb: wat doe je met bestanden waarvan je verwacht dat ze beveiligingslekken bloot zullen leggen, sterker nog, waarvan het doel is om beveiligingsproblemen aan het licht te brengen? Er is niet één ontwikkelaar om aan te spreken (het zijn er tientallen/honderdenen), het is niet redelijkerwijs mogelijk alle software/hardware te testen, maar voor het algemeen belang is het praktisch dat zulke bestanden er zijn?
Ik ben op zoek naar meningen en hun argumenten, anekdotes, tips etc. voor dit geval.
In detail
Sinds een tijdje werk ik in mijn vrije tijd aan FLAC, een audio codec. Naast code ben ik ook bezig met standaardisatie. Hiervoor heb ik ook een set bestanden samengesteld die alle 'features' van het FLAC formaat afgaan, zodat andere ontwikkelaars hun FLAC implementatie kunnen testen. Momenteel bestaat deze set enkel uit valide bestanden, allen conform de specificatie.
Nu heb ik deze bestanden op veel verschillende hardware en software geprobeerd, en daarbij tientallen crashes en freezes langs zien komen. Ik heb nergens gekeken of er mogelijkheden zijn deze crashes te misbruiken, maar het lijkt me redelijk om te verwachten dat deze er zijn.
Bij publicatie van deze bestanden heb ik niet echt stilgestaan bij het veiligheidsaspect: deze bestanden zijn valide, en ik heb niks speciaals gedaan om ze te maken, de meeste komen zo uit de beschikbare software rollen. Nu overweeg ik echter ook gemodificeerde bestanden aan de set toe te voegen, met duidelijk gedefinieerde fouten. Als de valide bestanden al apparatuur laten crashen, dan zullen deze bestanden dat ook zeker gaan doen.
Is het publiceren van zulke bestanden verantwoord? Is het verdedigbaar? Is er iets wat ik kan doen om publicatie (meer) verantwoord te maken?
De richtlijnen/etiquette voor het melden van beveiligingslekken is over het algemeen vrij duidelijk: meldt je bij de softwareontwikkelaar, geef duidelijk aan wat er mis is, communiceer je verwachtingen, wacht enige tijd en meldt het publiek als de ontwikkelaar geen actie onderneemt.
Het probleem wat ik nu heb: wat doe je met bestanden waarvan je verwacht dat ze beveiligingslekken bloot zullen leggen, sterker nog, waarvan het doel is om beveiligingsproblemen aan het licht te brengen? Er is niet één ontwikkelaar om aan te spreken (het zijn er tientallen/honderdenen), het is niet redelijkerwijs mogelijk alle software/hardware te testen, maar voor het algemeen belang is het praktisch dat zulke bestanden er zijn?
Ik ben op zoek naar meningen en hun argumenten, anekdotes, tips etc. voor dit geval.
In detail
Sinds een tijdje werk ik in mijn vrije tijd aan FLAC, een audio codec. Naast code ben ik ook bezig met standaardisatie. Hiervoor heb ik ook een set bestanden samengesteld die alle 'features' van het FLAC formaat afgaan, zodat andere ontwikkelaars hun FLAC implementatie kunnen testen. Momenteel bestaat deze set enkel uit valide bestanden, allen conform de specificatie.
Nu heb ik deze bestanden op veel verschillende hardware en software geprobeerd, en daarbij tientallen crashes en freezes langs zien komen. Ik heb nergens gekeken of er mogelijkheden zijn deze crashes te misbruiken, maar het lijkt me redelijk om te verwachten dat deze er zijn.
Bij publicatie van deze bestanden heb ik niet echt stilgestaan bij het veiligheidsaspect: deze bestanden zijn valide, en ik heb niks speciaals gedaan om ze te maken, de meeste komen zo uit de beschikbare software rollen. Nu overweeg ik echter ook gemodificeerde bestanden aan de set toe te voegen, met duidelijk gedefinieerde fouten. Als de valide bestanden al apparatuur laten crashen, dan zullen deze bestanden dat ook zeker gaan doen.
Is het publiceren van zulke bestanden verantwoord? Is het verdedigbaar? Is er iets wat ik kan doen om publicatie (meer) verantwoord te maken?