Nolldagars brister i svansar är inte till salu, säger sårbarhetsmäklaren

Ett företag som specialiserat sig på att sälja information om programvaresårbarheter har gjort en debatt om hanteringen av sådan information igen, särskilt när det gäller sekretessfokuserade verktyg.

Exodus Intelligence, baserat i Austin, Texas, tweetade på måndag och hade hittat flera sårbarheter i Tails, ett operativsystem och svit av applikationer som är utformade för att göra det svårare att spåra en användares aktivitet online.

Exodus forskar och säljer information om programvaresårbarheter, ett juridiskt företag men som lockar kritik för sin ogenomskinliga karaktär och oroar sig över hur regeringar eller andra enheter kan använda informationen.

Företaget har sedan dess meddelat att det kommer att leverera en rapport med sårbarhetsinformation till Tails utvecklare i slutet av denna vecka. Exodus kommer inte att dela den informationen utanför företaget innan dess, skrev Aaron Portnoy, vice president, i ett e-postutbyte tisdag med IDG News Service.

På frågan om Exodus gjorde ett speciellt undantag för Tails, skrev Portnoy: "Vi utvärderar varje sårbarhet vi hanterar från fall till fall. Därför är Tails-sårbarheten inte ett undantag eftersom vi inte har någon baslinjestandard."

Tails är ett Linux-baserat operativsystem som använder flera verktyg för förbättring av sekretess som Tor för att göra Internet mer anonymt. Det är utformat för att användas på farten, till exempel på offentliga Internet-åtkomstpunkter, och anses vara ett av de bästa men inte idiotsäkra sätten att minska att lämna ett digitalt fotavtryck på en dator.

Tweeten från Exodus framkallade en reaktion från Tails, som skrev på sin blogg att den inte kontaktades före tweeten. Men Tails var nöjd med att det skulle få chansen att se informationen.

"Vi får höra att de inte kommer att avslöja dessa sårbarheter offentligt innan vi har korrigerat det, och Tails-användare har haft en chans att uppgradera," läste blogginlägget. "Vi tror att det här är rätt process för att ansvarsfullt avslöja sårbarheter och vi ser verkligen fram emot att läsa den här rapporten."

Portnoy sa att Exodus inte utesluter vissa typer av programvara från sin analys och att "vi fokuserar på saker som är distribuerade i stor utsträckning."

Det var inte tydligt om allmänhetens påverkan påverkade Exodus beslut att avslöja informationen privat till Tails. Hur problemet hanterades genererade en till stor del negativ reaktion mot Exodus på Twitter, med vissa som anklagade företaget för att potentiellt sätta användare i riskzonen.

Portnoy noterade några tweets från Christopher Soghoian, som är den huvudsakliga teknologen med tal-, integritets- och teknikprojektet vid American Civil Liberties Union. Soghoian har länge varit kritisk mot sårbarhetsmäklareverksamheten.

Soghoian tog en svep på Portnoy och skrev ”Jag är ganska säker på att @aaronportnoy inte är intresserad av att skydda någon. Han är intresserad av att sälja fantastiska 0-dagars för pengar. ”

Portnoy sa i ett e-postmeddelande att han förstod varför Tails utvecklare "kan ha varit irriterade på grund av de hyperboliska reaktionerna från några av de mer vokala individerna i utkanten av denna bransch som var under intrycket av att vi sålde informationen till andra."

Med hänvisning till Soghoian skrev Portnoy: "När människor har upp till 35 000 följare kan falska idéer lätt spridas utan valideringsförsök."

Gå med i nätverkets världssamhällen på Facebook och LinkedIn för att kommentera ämnen som är övertygade.