Gyurkity Péter

A legtöbb szoftverhiba nem kerül nyilvánosságra

Az IBM Internet Security Systems egyik igazgatója szerint a legtöbb szoftverhibát és sebezhetőséget nem hozzák nyilvánosságra, így aki kizárólag a publikussá tett rések ellen védekezik, alapvető hibát követ el.

Gunter Ollmann, az IBM Internet Security Systems biztonsági stratégiáért felelős igazgatója egy terjedelmes blogbejegyzésben közölte észrevételeit, amelyek szerinte figyelmeztető jelként szolgálhatnak mindazoknak, akik a munkahelyükön, vagy otthoni gépeiken szeretnének még hatékonyabb védelmet kialakítani. Itt ugyanis a legtöbben szinte kizárólag a publikus csatornákon is elérhető, nyilvánosság elé kerülő hibák és sebezhetőségek ellen készülnek fel, miközben a legtöbb ilyen problémát elhallgatják a nagyközönség elől, illetve csak akkor osztják meg a részleteket, amikor már sikerült megtalálni az ellenszert.

Ollman saját becslése szerint tavaly mintegy 132 ezer szoftverhibára hívták fel a fejlesztő cégek figyelmét, akár a belső, hivatásos tesztelők, a külső partnerek vagy éppen a felhasználók. Eközben alig valamit több mint 7200 esetben került nyilvánosságra valamilyen sebezhetőség, vagyis az összes probléma 5,5 százalékát ismerhettük meg. "Túl sokan becsülik alá a sebezhetőségek valódi számát, legyen szó a munkahelyi rendszerekről, vagy akár az otthoni számítógépekről. A nyilvánosságra hozott figyelmeztetések és értesítők csak egy kicsinyke részét jelentik a valódi mennyiségnek" - írja az igazgató a naplóban.

A probléma valószínűleg abban rejlik, hogy a fejlesztő cégek gyakran elhallgatják a hibák létezését, vagy egészen addig nem hozzák nyilvánosságra azt, amíg elő nem állnak a megfelelő foltozással. A minden értesítés, figyelmeztetés nélkül alkalmazott frissítések mellett olyan is előfordul, hogy a tesztelők túlságosan apró hibának vélnek egy-egy jelenséget.

Mindez különösen a vállalati rendszerek védelmét érintheti érzékenyen, hiszen itt sok esetben a publikussá vált hibákat kiszűrő megoldásokat alkalmaznak. Márpedig ez - amennyiben Ollmann számai stimmelnek - csak a meglévő gondok 5,5 százalékát szűrik ki, a fennmaradó tekintélyes rész ellen nincs védekezés, hacsak nem alkalmaznak megelőző jellegű védelmi megoldásokat.

Hozzászólások

A témához csak regisztrált és bejelentkezett látogatók szólhatnak hozzá!
Bejelentkezéshez klikk ide
(Regisztráció a fórum nyitóoldalán)
  • turul16 #34
    Játék :)

    Sok war gamenek nevett játék van a neten, egyszer kaptam egy listát, de most nem találom :)
    Ilyen weblap triviális biztonsági hiba keresősből rengeteg van, a fenti pont nem olyan.
  • sathinel #33
    Ezek az emberek direkt ilyenekkel foglalkoznak. Hacker nem lessz bárkiből. Már mint normális és nem olyan aki letölt pár progit, és azokat próbálgatja. A hackerek pedig sokkal ügyeseben találnak hibákat, stb, mert ez érdekli őket. Van sok programozó ismerősöm, de csak 1 volt aki hackerkedett is, és mintha más világban élt volna mint a többiek. Fejből vágta hogy mik a mai sebezhető részek amiket nem foltoztak még, és ilyen közösségek portáljait járta. + az oldalra úgy juthatsz be ha meghackeled. Ezeknek az embereknek egy rés mást jelent mint egy átlag programozónak. Én így látom.
  • kvp #32
    "Hány olyan security bugrol tudtok amit az MS maga fedezett fel, javjtott és lejrást adott bug -rol? "Hibb volt az xy.dll -ben ami távolról kihasználható, de javítottuk.""

    Ez eleg gyakori, de a tobbnyire csak annyi a leiras, hogy a sebezhetoseg javitasra kerult, esetleg az hogy tavolrol is kihasznalhato volt. A patch listabol pedig ki lehet deriteni, hogy melyik file volt a rossz. Allandoan ilyenekkel van tele az emberek update log-ja, csak eleg keves ember veszi a faradtsagot hogy utanna is nezzen. Jo esetben van ms knowledge base bejegyzes is, ami ugyan tovabbra sem mond semmit, de legalabb kiderul hogy a javitas nagy valoszinuseggel mit fog tonkrevagni.
  • turul16 #31
    Hány olyan security bugrol tudtok amit az MS maga fedezett fel, javjtott és lejrást adott bug -rol ?
    "Hibb volt az xy.dll -ben ami távolról kihasználható, de javítottuk."
  • A1274815 #30
    Nem kétlem. Csak általában több a gonosz, mint a gonosz ellen fellépni kívánó jó!
  • turul16 #29
    Több a jó.
    A nagyon kevés gonosz szivat mindenkit.
  • turul16 #28
    Halottam olyan hibárol, amit honapok óta ismert a fejlesztő cég, de csak nyilvánoságra kerülése után adott ki rá javítást (Egy fejlesztő blogjábol derül ez ki) ekkor viszont relatíve hamar, arra hivatkozva, hogy vizsgálni kellett a modosítás kompatibilis -e a régebbi szoftverekel. Ennek ellenére pár elterjedt rendszer alakalmásban problémák léptek fel.

    A hibák elenyésző része biztonságai, nem biztonságai hibákról csak akkor szokot szólni a sajtó, ha valami vicceset ki lehet hozni. Pl. notpad nem menti el I hate microsoft, vagy valami hasonló szöveget nem emlékszem pontosan, ami egyébként karakter kodolás megtippelési hiba, miatt volt.
  • A1274815 #27
    " lol egy hacker miben különbözik a többi programozótól? ja hogy ő könyebben rátalál ezekre a résekre?"

    Ezt kifejtenéd miért is?
  • sathinel #26
    Egy nem felfedezett hiba amíg nem nyílvános nem gond? lol egy hacker miben különbözik a többi programozótól? ja hogy ő könyebben rátalál ezekre a résekre? akkor ez a hiba csak a hackert segíti aki rájön, és utánna amíg nem foltozzák mindenhol kitudja használni.
  • sathinel #25
    "A probléma valószínűleg abban rejlik, hogy a fejlesztő cégek gyakran elhallgatják a hibák létezését, vagy egészen addig nem hozzák nyilvánosságra azt, amíg elő nem állnak a megfelelő foltozással."

    ))) és aki előáll vele azokat sokszor leugatják, hogy mekkora bunkó. Járt így a közelmúltban két programozó akik a MAC termékek hibáira hívták fel a figyelmet. Ahelyett hogy örülnének hogy nem nekik kell keresni, és javítanák, még piszkálják is azokat akik nem kihasználják, hanem felhívják rá a figyelmet.

    Vagy ott a másik nagy cég ami marketingel küzd a fellelhető hibák ellen. LOL

    Az hogy valami open még nem jelenti hogy roszabb is. Az hogy valahol rejtett hiba, vagy nem rejtett hiba van, az nagyon nem mindegy. Otthoni gépekről nem sokmindent tudnak lenyúlni, de cégnél nem mindegy. És ha normális céges hálózat van, akkor rendszergizda ezeket a nyílt hibákat ki tudja javítani. Átlag user úgysem ért hozzá, de egy cégnél ami ez fontos meg tudják csinálni. Így is ugyanaz a két hiba?:D