Berta Sándor

Teljesen kiszolgáltatottak a szoftvercégek

A szoftverek biztonsági réseinek nyilvánosságra hozásának időpontjáról komolyan megoszlanak a vélemények a számítógépes biztonsági szakemberek és a szoftverfejlesztők között.

A téma ezúttal a Shmoocon hackerkonferencia napirendi pontjai között szerepelt. Egyes szoftverfejlesztőket, például a Microsoftot gyakran ér az a vád, hogy túl lomhán reagálnak a biztonsági hibákra és csak hetek vagy akár hónapok múlva javítják ki azokat.

"A programok elemzésének hatalma a fejlesztők kezében van. Azonban a biztonsági hibák nyilvánosságra hozatalának időpontjait tekintve a cégek teljesen ki vannak szolgáltatva a hackereknek. Ők döntik el, hogy mikor derül fény egy adott biztonsági résre és ők ellenőrzik az azzal kapcsolatos információkat. S innentől kezdve már mindegy, hogy egy szoftverfejlesztő cég gyorsan vagy lassan reagál a problémára" - jelentette ki Window Snyder, a Mozilla Alapítvány szoftverbiztonsági főnöke.

Amennyiben egy hibát azonnal szétkürtölnek a világba, az azért rossz, mert az adott programot készítő vállalatnak csak nagyon kevés ideje marad annak befoltozására. Ráadásul így a bűnözők pontosan tudják, hol csaphatnak le, hogyan béníthatják meg a rendszert. Ezért a cégek inkább a "felelősségteljes nyilvánosságra hozatal" (responsible disclosure) elve mellett állnak ki, mert így sokkal több idő marad a hibák kijavítására.

"Egy biztonsági rés felfedezésekor először a fejlesztőt kellene értesíteni, hogy minél előbb elkészíthesse a megfelelő javítást. Mi mindig csak akkor tájékoztatjuk az embereket egy biztonsági résről, ha már elkészültünk a javítócsomaggal is, alaposan teszteltük és a licencpartnereink számára elérhetővé tettük azt" - hangsúlyozta Olaf Lindner, a Symantec EMEA (európai, közel-keleti és afrikai) régióigazgatója.

Nem osztja azonban a "felelősségteljes nyilvánosságra hozatal" elvét Dave Aitel, az Immunity számítógépes biztonsági cég munkatársa, aki szerint a bugvadászoknak inkább át kellene adniuk neki a felderített résekkel kapcsolatos információkat, hogy ő az alkalmazásai segítségével így tesztelhesse a programok működését például egy szimulált hackertámadás esetén. Mindenesetre bármelyik fél véleményét is fogadjuk el, abban a legtöbb felhasználó alighanem egyetért, hogy a legjobb megoldás az lenne, ha a jövőben a hibák kijavítása nem venne heteket vagy hónapokat igénybe, hanem mielőbb megtörténne egy adott biztonsági résről szóló információk nyilvánosságra kerülése után.

Hozzászólások

A témához csak regisztrált és bejelentkezett látogatók szólhatnak hozzá!
Bejelentkezéshez klikk ide
(Regisztráció a fórum nyitóoldalán)
  • turul16 #10
    int main(){ return 0;}

    int main()
    {
    int *a;
    *a=a;
    return -1;
    }
  • irkab1rka #9
    Ki a hibás a bugért:

    1, a hakker, mert megtalálta
    2, a cracker, mert kihasználta
    3, a user, mert hülye
    4, az újságíró, mert publikálta

    Ki nem hibás a bugért:
    1, a kiadó
    2, a programozó
    3, a QA

    Hibátlan kód?
    Tessék:

    for (int i = 0;i<10;i++){};

    Ez hibátlanul beállítja i-t 10-re, egy jobb fordító egyszerűen kioptimalizálja egy warning mellett :)

    És legyen itt egy hibás kód is:

    for (int i = 0;i<10;i++);{}

    ;-)
  • hiftu #8
    Én egy nagyobb szoftvercégnél dolgozom. Nem titok, hogy miként folyik a hibakezelés.
    1. (Még nem hibakezelés..) A program (új funkciója) készüljön el időre, mert az
    emberóra méregdrága.
    2. Hiba nem létezik, amik valaki (főleg partner/vevő) nem jelzi.
    2.1. Ha Te veszed észre a hibát és nincs időd javítani, akkor a hiba (még) nem létezik.
    3. A hibáknak több fajtája van:
    I. Szarjunk bele, ráér még, majd az utolsó pillantban javítom
    II. Kellemetlen hiba. Ezt még le lehet döngölni a vevő torkán.
    III. Súlyos hiba. Ez leginkább az adott funkció (teljesen) rossz működését jelenti. Itt már kapkodni kell a kacsókat, hogy elkészüljön.
    IV. Azonnali javítás - főnök seggberúg - átadást/átvételt megakadályozó hiba.

    Ennyit erről. Röviden pénz beszél...
  • abelr #7
    hat igen! termeszeres kivalasztodas?
  • messen #6
    A hibakeresésnek több szintje van. Komoly cégnél akad egy/több tester, aki végignyálazza a programot. Első szint, biztos maradnak hibák, de nem kell rohanni.
    A második szint, amikor a kint lévő programban a userek fedeznek fel hibát. Az okot megtalálni megintcsak hibaanalízissel és kódnyálazással kezdik, de itt sem kell még túlzottan rohanni.
    A harmadik szint, amikor feltörték a programot és mindenki habzó szájjal esik a gyártónak (a fejlesztő szót direkt nem használom). No akkor már ég a ház alapon a "csak foltozzuk be" elv alapján a jelzett hibát megszüntetik, de figyelmetlenségből ziher, hogy másik kerül bele. Ciklus indul.

    Szóval összetett dolog ez kéremszépen. A legjobb az első két szinten megfogni a dolgot, vagy hibátlan kódot írni... ami meg utópia ;)

    És aki azzal mer példálózni, hogy máshol nincsenek hibás termékek, az gondoljon vadi új, mégis felrobbanó mikrosütő esetére!
  • irkab1rka #5
    responsible disclosure = hacker + microsoft összefognak a user ellen.
  • htmm #4
    Csak azt felejtik el, ha én jelzek egy hibát pl a microsoftnak, akkor magasról teszi rá a barna ürülékét. Ha viszont nyilvánosságra hozom, már nem tudja ugyan ezt megcsinálni. Arról nem is beszélve, hogy lehet, hogy a vírusírók már tudnak régóta a hibáról...
  • turul16 #3
    "S innentől kezdve már mindegy, hogy egy szoftverfejlesztő cég gyorsan vagy lassan reagál a problémára"
    Window Snyder tud hülyeségeket beszélni.
    Kurvara nem mindegy, hogy 1 vagy 1millio potenciélis támadó tud egy biztonsági hibárol.
    És az sem mindegy, hány napjuk van ezzel rendszereket törögetni.

    Black Hat Hacker is hacker attólmég, hogy sokan nemszeretnek egy ketegóriába sorolódni velük. :(
  • A1274815 #2
    Miért nem lehet felfogni, hogy a sajtó a többség (hétköznapi számítógéphez nem igen értő emberek) segítségével meg változtatta a hacker definicióját, sőt a warez a cracker szó definicióját is módosítani készül.
  • csibra #1
    Miért nem lehet megérteni, hogy nem a hackerek támadják a kiszolgáltatott rendszereket, hanem a crackerek?