Security vendoren – good guys en bad guys

Van security specialisten is veel kritiek te horen als het gaat om het bundelen van cryptominers door vendoren. Waar ze stiller over zijn is een lopende rechtszaak in Amerika, waarbij security onderzoek de façade was voor insider trading.

Cryptominer

Over de actie van NortonLifeLock een cryptominer te bundelen met de software is het laatste woord nog niet gesproken. Ook al gaat het om een opt-in, de vraag is of een dergelijke “module” naar Europees recht door de beugel kan. Het gebruik leidt tot onduidelijke meerkosten en zoiets staat op gespannen voet met het consumentenrecht van de EU.

Binnen security kringen wordt de bundeling ook om andere redenen met argusogen gevolgd. Als dit de manier is om “gratis” AV software te blijven aanbieden doet dat wel iets met de reputatie. Niet alleen van de bedrijven als Norton en Avira, maar ook met de rest van de sector. Kunnen security vendoren het zich permitteren dat voor de buitenstaander het verschil tussen good guys en bad guys moeilijk is te maken?

Nogmaals, het laatste woord over deze manier gratis AV in de markt te zetten is nog niet gesproken. Dat NortonLifeLock dit ook met de betaalde versies doet zal het vuurtje onder die discussie alleen maar doen aanwakkeren.

“Pentesten”

Veel minder kritiek is er te horen op de lopende zaak tegen Vladislav Klyushin. Waarschijnlijk komt dat omdat die zaak buiten Amerika weinig aandacht heeft gekregen. Toch is het wel iets waar de heel sector beter naar mag kijken.

Klyushin is eind december op het vliegtuig van Zwitserland naar Amerika gezet. Dat land heeft zijn uitlevering gevraagd en die aanvraag is gehonoreerd. Als ceo van M-13 heeft Klyushin leiding gegeven aan een groep security expert. Een van de diensten die ze internationaal aanboden was pentesten. Dat is een veel gevraagde dienst. Voor bijna elke app is het eigenlijk nodig. De trackrecord van het bedrijf was positief en de lijst van klanten indrukwekkend.

Het bleek echter een façade te zijn voor minder frisse bedoelingen. De aanklacht tegen Klyushin en zijn bedrijf is dat onder het mom van pentesten gericht is gezocht naar koersgevoelige informatie. Met die kennis kon via stromannen voor officiële publicaties van kwartaalcijfers en ander belangrijk nieuws een positie worden ingenomen. Op die manier heeft M-13 mogelijk $82,5 miljoen winst behaald.

Als deze aanklacht klopt is het de bijna perfecte misdaad die is verhinderd. Het is dan ook wel weer het signaal dat in de security sector de good guys lastig te scheiden zijn van de bad guys.