A Trustworthy Internet Movement (TIM) nevű kezdeményezést tegnap jelentették be az RSA San Franciscó-i konferenciáján. Élén a biztonság és megfelelőségi szoftverszolgáltatásokban utazó Qalys vezérigazgatója, Philippe Courtot áll, aki személyes vagyonából rögtön félmillió dollárt a frissen felálló szervezet rendelkezésére bocsátott. A TIM az elképzelések szerint olyan nonprofit, szállítóktól független projektként működik majd, amely egyesíti a technológiai ipar, az IT-biztonsági szakemberek és a tőkebefektetők erőforrásait az internet alapvető problémáinak orvoslására.

^{Philippe Courtot keynote előadása az RSA Conference 2012 rendezvényen}

A szervezet első közleménye szerint ilyen probléma például az minősítő hatóságok elégtelen ellenőrzése, az SSL protokoll irányításának kérdései vagy a malware és a botnetek terjedése, amelyek ellen beépített biztonsági megoldásokra lenne szükség már a publikus és privát felhők legalapvetőbb szintjén is. Bár a cloud technológiák a megfelelő köztesrétegeken keresztül magukban hordozzák a magasabb szintű biztonsági kontroll lehetőségét, a TIM általában az internet megbízhatósági problémáinak megoldását tekinti legfontosabb kezdeti feladatának, ami bármilyen későbbi továbblépés feltétele lesz.

Más megközelítés ■ Az iparági veterán Courtot hangsúlyozta: többé nem technológiai, hanem társadalmi kérdésekről van szó, ahogy több mint kétmilliárd ember támaszkodik szakmai és magánéletében a világhálóra. Courtot szerint már az is igen beszédes, hogy gond nélkül bejegyezhette a gazdátlan trustworthyinternet (megbízható internet) domaint. A mindenütt jelenlévő rosszindulatú kódokon vagy éppen az e-mail spoofing (meghamisított feladóval küldött levelek) módszerein keresztül maga a böngésző vált az egyik legfőbb támadási vektorrá, míg az informatikai biztonsági megoldások jórészt reaktívan működnek.

A McAfee hálózatbiztonsági igazgatója, Pat Calhoun mindezt egy otthoni riasztórendszerhez hasonlította, amely csak a betörést követően lép működésbe, vagyis a biztonság ebben az esetben csak "utógondolat". A prevenció viszont a sebezhetőség nyilvános beismerését jelenti, ami a vállalatok, de még a magánemberek számára is nehézséget okoz. A TIM alapítója ehhez a saját példáját is hozzátette, amely szerint fogat mosni sem akkor kell, amikor már megvan a baj, így ha a biztonsági technológiákat nem az alapoknál építik be valamibe, az a megoldás óhatatlanul ki lesz téve a nulladik napi támadásoknak.

Csodacsapat ■ A Trustworthy Internet Movement kezdeményezéséhez elvben bárki csatlakozhat, akár Magyarországon is. A szervezet oldala szerint ugyanúgy várják a fejlesztők, szakértők, cégek, befektetők vagy tudományos intézményeket jelentkezését akár a szakmai munkában való részvételre, akár egy speciális probléma megoldásának finanszírozására, sőt adott esetben a TIM is anyagi segítséget nyújtana más nonprofit projektek megvalósulásához. Kezdetben azonban mégis a háttérben működnének, így a csatlakozó partnerek listáját sem lobogtatják.


Ennek oka, hogy első lépésben megoldást akarnak találni valamilyen közismert biztonsági probémára, hogy később jobb eséllyel álljanak a kockázati tőkebefektetők elé. Philippe Courtot szerint sok esetben, például az e-mail spoofing kapcsán, nem az a kérdés, hogy kik és hogyan csinálják; a legnehezebb feladat az lesz, hogy összetrombitálják a megfelelő személyeket, akik közösen előállhatnak a megoldással. Ez csak a nagyvállalatok, felhőszolgáltatók vagy szakmai szervezetek tehetséges szakembereinek összekapcsolásával lehetséges, és az internetszolgáltatókra is csak szervezetten lehet bármiféle nyomást gyakorolni.