Stelletjes mutsen.....laat ze de krachten bundelen om zo tot een oplossing te komen ipv modder te gooien.

Als de gelinkte pagina's leest zie je dat Fyodor alleen ageert tegen het feit dat er geen details bekend zijn gemaakt. Verder toont hij aan dat Robert Lee zichzelf meerdere malen heeft tegengesproken. Er zijn ook nog geen andere gerespecteerde security researchers die de bevindingen heeft kunnen (mogen?) bevestigen. Dit was bij het DNS probleem wel anders. Daar probeerde men de onzekerheid weg te nemen door een aantal vooraanstaande DNS experts het probleem te laten zien en publiekelijk te laten bevestigen. Verder zijn er afgelopen vrijdag geen details vrij gegeven (zoals eerder beloofd). Het blijft dus allemaal erg vaag, en er is geen zicht op verbetering.

Ik ben het eens met het punt dat Fyodor maakt: als het allemaal zo erg en geheim is, waarom hangt men het dan toch aan de grote klok met interviews en presentaties? Wacht dan gewoon tot het is opgelost of in ieder geval totdat de tijd rijp is om alle details vrij te geven.

Waarom lopen die twee prutsers alleen maar rond te roepen hoe erg het is in plaats van actief aan een oplossing te werken? Ze mogen me altijd mailen (josv at osp dot nl) om hulp...

Zouden ze op de hoogste bieder wachten of totdat iemand het nagemaakt heeft? Of zijn ze gewoon publiciteitsgeil?
Ik begin er een vieze smaak van in mijn mond te krijgen zolangzamerhand.

Dit was in de eerste posting al geschreven Jos!

Nu maar hopen voor je dat ze dit artikel ook lezen, dan kunnen ze je in ieder geval mailen en vragen om jouw hulp.

Ps: Beide zijn zeker GEEN prutsers!

Een paar highlights uit het stuk, met de mening van een wannabeh techneut (ik dus, voor wat het waard is...)


Welke 'strijd'? Ik zie alleen een gezond meningsverschil, gebaseerd op 1 partij met een overtuiging en een (hele rits) andere partijen, Fyodor voorop, die de potentiele impact van het probleem dermate serieus neemt en er dus heel sceptisch mee omgaat. Het is geen kattenpis wat ze claimen, dus daar moet goed naar gekeken worden.
Scepsis betekent automatisch dat iemand niet onmiddelijk gelijk krijgt. Da's slecht voor het ego en in mijn optiek het begin van deze ellende.


Dat kon 5 jaar geleden al, met nog wel minder packets... Iemand die zich de 'Ping of Death' nog herinnert?
Bovendien is deze uitspraak nogal stemmingmakend .... 'Een complete webserver'.. Tja.. Ernstig hoor.. Niet zomaar een deel van de webserver, niet zomaar een groot deel van de webserver maar de COMPLETE WEBSERVER, IN ZIJN TOTALITEIT!!!1!oneeleven.
Het gaat hier toch om een kwetsbaarheid in TCP/IP? Zo ja, dan is het niet zo verwonderlijk.. Immers: het opblazen van een IP-stack resulteert meestal in het totaal offline halen.


Terecht. Er is nogal wat gelegenheid tot scepsis en de discussie breidde zich ook uit tot de website van Fyodor zelf. Ik denk dat de beheerder van een site volledig gerechtigd is om ongezouten (binnen de kaders van de wet en de redelijke omgang uiteraard) zijn mening te verkondigen op iets dat op zijn eigen site gepubliceerd wordt.


Ik heb zowel de aankondigingen gelezen als de reactie van Fyodor.. Ik kan me niet aan de indruk onttrekken dat Fyodor de spijker op de kop heeft geslagen met stellen dat het om aandacht voor de presentatie ging en niet om het beveiligingsprobleem zelf. Plus daarbij vind ik de geleverde info erg mager en ben ook van mening dat ze niet waargemaakt hebben wat ze beweren.


Bijzonder laf gedrag en hiermee spelen ze iedereen in de kaart. Ze hebben toch gelijk, claimen ze zelf? Als dat inderdaad zo is, moeten hun uitspraken de druk van peer-review kunnen doorstaan. Stampvoetend in je eigen kamertje janken dat de wereld slecht is omdat ze je geen gelijk geven verandert daar niets aan. Gelijk is gelijk.


Whiskey-Tango-Foxtrot????
Iemand aan de andere kant van de wereld gaat eventjes bepalen wat een journalist in een compleet ander land wel en niet mag publiceren?

EPIC FAIL

Toegegeven: ik vond het stuk ook niet echt veel toevoegen, maar dat doet niet terzake. Wij hebben in ieder geval allemaal vrijelijk kennis kunnen nemen.


Dat mag je wel zeggen ja. Hoewel ikzelf denk dat ze daar zelf debet aan zijn: Meervoudige, elkaar tegensprekende uitspraken, niet leveren wat gevraagd wordt etc.


Laat zien dan! Als het zo'n probleem is, kom met info zodat we er wat aan kunnen doen! Hou op met Karma-whoring!


Prachtig voorbeeld van de tegenstrijdige info.
Lees nog eens de derde zin van het stuk: mogelijk om met een tiental pakketten vanaf één computer staat recht tegenover wat hierboven staat: 30 tot 40 per seconde drie tot vier minuten

Al met al ben ik dus van mening dat deze jokers niet helemaal goed weten waar ze mee bezig zijn. Of: ze weten het wel, maar is het geen beveiliging maar ego-trippen.

Of je blijft onder non-disclosure en werkt met de leverancier samen om het probleem op te lossen. Tot die tijd hou je je kop!

Of je gaat voor full-disclosure en gooit alles op straat wat je weet om ervoor te zorgen dat niemand met verborgen kennis een voordeel haalt.

Inderdaad. Kaminsky kwam ook pas naar buiten nadat de partijen die bij de microsoft-meeting waren hun voorlopige patch klaar hadden. En toen alleen maar om mensen ervan te overtuigen dat je de patch ook daadwerkelijk moet installeren. Naar mijn mening is het allemaal niet optimaal gegaan, maar het is zeker anders dan wat hier nu gebeurt.

Men heeft het eerst onder non-disclosure geprobeerd. Echter is er toen geen respons op gekomen door de vendors. De "responsible"-disclosure van nu is de reactie daarop. Men heeft het orginele probleem in 2005 (als ik het me goed herinner) al aangedragen bij vendors.




Er zijn verschillende aanvals methodes. Elke aanval methode heeft een andere impact. Dus dit is geen tegenstrijdige info maar zijn twee verschillende stukken informatie.




Brenno is naar de presentatie geweest (vorige week vrijdag). Hierover mag hij geen informatie prijsgeven. Dit was de prijs voor het feit dat hij überhaupt aanwezig mocht zijn op de presentatie, aangezien ze normaal geen pers toelaten. Lijkt me een fair deal.

------------

PS: Dit staat volledig los van mijn mening over de manier waarop de "disclosure" geschied.