Berta Sándor
Teljesen kiszolgáltatottak a szoftvercégek
A szoftverek biztonsági réseinek nyilvánosságra hozásának időpontjáról komolyan megoszlanak a vélemények a számítógépes biztonsági szakemberek és a szoftverfejlesztők között.
A téma ezúttal a Shmoocon hackerkonferencia napirendi pontjai között szerepelt. Egyes szoftverfejlesztőket, például a Microsoftot gyakran ér az a vád, hogy túl lomhán reagálnak a biztonsági hibákra és csak hetek vagy akár hónapok múlva javítják ki azokat.
"A programok elemzésének hatalma a fejlesztők kezében van. Azonban a biztonsági hibák nyilvánosságra hozatalának időpontjait tekintve a cégek teljesen ki vannak szolgáltatva a hackereknek. Ők döntik el, hogy mikor derül fény egy adott biztonsági résre és ők ellenőrzik az azzal kapcsolatos információkat. S innentől kezdve már mindegy, hogy egy szoftverfejlesztő cég gyorsan vagy lassan reagál a problémára" - jelentette ki Window Snyder, a Mozilla Alapítvány szoftverbiztonsági főnöke.
Amennyiben egy hibát azonnal szétkürtölnek a világba, az azért rossz, mert az adott programot készítő vállalatnak csak nagyon kevés ideje marad annak befoltozására. Ráadásul így a bűnözők pontosan tudják, hol csaphatnak le, hogyan béníthatják meg a rendszert. Ezért a cégek inkább a "felelősségteljes nyilvánosságra hozatal" (responsible disclosure) elve mellett állnak ki, mert így sokkal több idő marad a hibák kijavítására.
"Egy biztonsági rés felfedezésekor először a fejlesztőt kellene értesíteni, hogy minél előbb elkészíthesse a megfelelő javítást. Mi mindig csak akkor tájékoztatjuk az embereket egy biztonsági résről, ha már elkészültünk a javítócsomaggal is, alaposan teszteltük és a licencpartnereink számára elérhetővé tettük azt" - hangsúlyozta Olaf Lindner, a Symantec EMEA (európai, közel-keleti és afrikai) régióigazgatója.
Nem osztja azonban a "felelősségteljes nyilvánosságra hozatal" elvét Dave Aitel, az Immunity számítógépes biztonsági cég munkatársa, aki szerint a bugvadászoknak inkább át kellene adniuk neki a felderített résekkel kapcsolatos információkat, hogy ő az alkalmazásai segítségével így tesztelhesse a programok működését például egy szimulált hackertámadás esetén. Mindenesetre bármelyik fél véleményét is fogadjuk el, abban a legtöbb felhasználó alighanem egyetért, hogy a legjobb megoldás az lenne, ha a jövőben a hibák kijavítása nem venne heteket vagy hónapokat igénybe, hanem mielőbb megtörténne egy adott biztonsági résről szóló információk nyilvánosságra kerülése után.
A téma ezúttal a Shmoocon hackerkonferencia napirendi pontjai között szerepelt. Egyes szoftverfejlesztőket, például a Microsoftot gyakran ér az a vád, hogy túl lomhán reagálnak a biztonsági hibákra és csak hetek vagy akár hónapok múlva javítják ki azokat.
"A programok elemzésének hatalma a fejlesztők kezében van. Azonban a biztonsági hibák nyilvánosságra hozatalának időpontjait tekintve a cégek teljesen ki vannak szolgáltatva a hackereknek. Ők döntik el, hogy mikor derül fény egy adott biztonsági résre és ők ellenőrzik az azzal kapcsolatos információkat. S innentől kezdve már mindegy, hogy egy szoftverfejlesztő cég gyorsan vagy lassan reagál a problémára" - jelentette ki Window Snyder, a Mozilla Alapítvány szoftverbiztonsági főnöke.
Amennyiben egy hibát azonnal szétkürtölnek a világba, az azért rossz, mert az adott programot készítő vállalatnak csak nagyon kevés ideje marad annak befoltozására. Ráadásul így a bűnözők pontosan tudják, hol csaphatnak le, hogyan béníthatják meg a rendszert. Ezért a cégek inkább a "felelősségteljes nyilvánosságra hozatal" (responsible disclosure) elve mellett állnak ki, mert így sokkal több idő marad a hibák kijavítására.
"Egy biztonsági rés felfedezésekor először a fejlesztőt kellene értesíteni, hogy minél előbb elkészíthesse a megfelelő javítást. Mi mindig csak akkor tájékoztatjuk az embereket egy biztonsági résről, ha már elkészültünk a javítócsomaggal is, alaposan teszteltük és a licencpartnereink számára elérhetővé tettük azt" - hangsúlyozta Olaf Lindner, a Symantec EMEA (európai, közel-keleti és afrikai) régióigazgatója.
Nem osztja azonban a "felelősségteljes nyilvánosságra hozatal" elvét Dave Aitel, az Immunity számítógépes biztonsági cég munkatársa, aki szerint a bugvadászoknak inkább át kellene adniuk neki a felderített résekkel kapcsolatos információkat, hogy ő az alkalmazásai segítségével így tesztelhesse a programok működését például egy szimulált hackertámadás esetén. Mindenesetre bármelyik fél véleményét is fogadjuk el, abban a legtöbb felhasználó alighanem egyetért, hogy a legjobb megoldás az lenne, ha a jövőben a hibák kijavítása nem venne heteket vagy hónapokat igénybe, hanem mielőbb megtörténne egy adott biztonsági résről szóló információk nyilvánosságra kerülése után.