Gyurkity Péter
A legtöbb szoftverhiba nem kerül nyilvánosságra
Az IBM Internet Security Systems egyik igazgatója szerint a legtöbb szoftverhibát és sebezhetőséget nem hozzák nyilvánosságra, így aki kizárólag a publikussá tett rések ellen védekezik, alapvető hibát követ el.
Gunter Ollmann, az IBM Internet Security Systems biztonsági stratégiáért felelős igazgatója egy terjedelmes blogbejegyzésben közölte észrevételeit, amelyek szerinte figyelmeztető jelként szolgálhatnak mindazoknak, akik a munkahelyükön, vagy otthoni gépeiken szeretnének még hatékonyabb védelmet kialakítani. Itt ugyanis a legtöbben szinte kizárólag a publikus csatornákon is elérhető, nyilvánosság elé kerülő hibák és sebezhetőségek ellen készülnek fel, miközben a legtöbb ilyen problémát elhallgatják a nagyközönség elől, illetve csak akkor osztják meg a részleteket, amikor már sikerült megtalálni az ellenszert.
Ollman saját becslése szerint tavaly mintegy 132 ezer szoftverhibára hívták fel a fejlesztő cégek figyelmét, akár a belső, hivatásos tesztelők, a külső partnerek vagy éppen a felhasználók. Eközben alig valamit több mint 7200 esetben került nyilvánosságra valamilyen sebezhetőség, vagyis az összes probléma 5,5 százalékát ismerhettük meg. "Túl sokan becsülik alá a sebezhetőségek valódi számát, legyen szó a munkahelyi rendszerekről, vagy akár az otthoni számítógépekről. A nyilvánosságra hozott figyelmeztetések és értesítők csak egy kicsinyke részét jelentik a valódi mennyiségnek" - írja az igazgató a naplóban.
A probléma valószínűleg abban rejlik, hogy a fejlesztő cégek gyakran elhallgatják a hibák létezését, vagy egészen addig nem hozzák nyilvánosságra azt, amíg elő nem állnak a megfelelő foltozással. A minden értesítés, figyelmeztetés nélkül alkalmazott frissítések mellett olyan is előfordul, hogy a tesztelők túlságosan apró hibának vélnek egy-egy jelenséget.
Mindez különösen a vállalati rendszerek védelmét érintheti érzékenyen, hiszen itt sok esetben a publikussá vált hibákat kiszűrő megoldásokat alkalmaznak. Márpedig ez - amennyiben Ollmann számai stimmelnek - csak a meglévő gondok 5,5 százalékát szűrik ki, a fennmaradó tekintélyes rész ellen nincs védekezés, hacsak nem alkalmaznak megelőző jellegű védelmi megoldásokat.
Gunter Ollmann, az IBM Internet Security Systems biztonsági stratégiáért felelős igazgatója egy terjedelmes blogbejegyzésben közölte észrevételeit, amelyek szerinte figyelmeztető jelként szolgálhatnak mindazoknak, akik a munkahelyükön, vagy otthoni gépeiken szeretnének még hatékonyabb védelmet kialakítani. Itt ugyanis a legtöbben szinte kizárólag a publikus csatornákon is elérhető, nyilvánosság elé kerülő hibák és sebezhetőségek ellen készülnek fel, miközben a legtöbb ilyen problémát elhallgatják a nagyközönség elől, illetve csak akkor osztják meg a részleteket, amikor már sikerült megtalálni az ellenszert.
Ollman saját becslése szerint tavaly mintegy 132 ezer szoftverhibára hívták fel a fejlesztő cégek figyelmét, akár a belső, hivatásos tesztelők, a külső partnerek vagy éppen a felhasználók. Eközben alig valamit több mint 7200 esetben került nyilvánosságra valamilyen sebezhetőség, vagyis az összes probléma 5,5 százalékát ismerhettük meg. "Túl sokan becsülik alá a sebezhetőségek valódi számát, legyen szó a munkahelyi rendszerekről, vagy akár az otthoni számítógépekről. A nyilvánosságra hozott figyelmeztetések és értesítők csak egy kicsinyke részét jelentik a valódi mennyiségnek" - írja az igazgató a naplóban.
A probléma valószínűleg abban rejlik, hogy a fejlesztő cégek gyakran elhallgatják a hibák létezését, vagy egészen addig nem hozzák nyilvánosságra azt, amíg elő nem állnak a megfelelő foltozással. A minden értesítés, figyelmeztetés nélkül alkalmazott frissítések mellett olyan is előfordul, hogy a tesztelők túlságosan apró hibának vélnek egy-egy jelenséget.
Mindez különösen a vállalati rendszerek védelmét érintheti érzékenyen, hiszen itt sok esetben a publikussá vált hibákat kiszűrő megoldásokat alkalmaznak. Márpedig ez - amennyiben Ollmann számai stimmelnek - csak a meglévő gondok 5,5 százalékát szűrik ki, a fennmaradó tekintélyes rész ellen nincs védekezés, hacsak nem alkalmaznak megelőző jellegű védelmi megoldásokat.