A ZDI fel fog lépni azokkal a szoftvergyártókkal szemben, melyek rendre hibás biztonsági javításokat szállítanak. A szervezet szóvivője az okokról beszélt a SecurityWeeknek.

Szigorít a sérülékenységek nyilvánosságra hozatalán a Zero Day Initiative (ZDI). A sérülékenységbrókerként is működő, a független kutatókat és a szoftvergyártókat összekapcsoló, bug bounty programokat futtató szervezet bejelentette: ha a kutatóktól hibajavításban talált sérülékenységről kapnak bejelentést, drasztikusan rövidítik a javításra adott időt. Ha a sérülékenység kihasználása észlelhető vagy valószínűsíthető, annak a javítására kritikus hiba esetén a jövőben csak 30 napja lesz a gyártónak. Utána a ZDI publikálja az adott sérülékenységet, függetlenül attól, hogy elkészült-e hozzá a patch. (Korábban minden felfedezett biztonsági résre 120 nap volt a határidő a publikálásig.)

A patch-ekben talált kevésbé súlyos sérülékenységeknél is rövidültek a határidők. 60 napot kapnak a gyártók azoknak a hibáknak a javítására, melyek kritikus vagy súlyos besorolásúak ugyan, de a javítás nyújt némi védelmet. 90 nap lesz a nyilvánosságra hozatali határidő, ha nem várható az adott sebezhetőség azonnali kihasználása.

A ZDI a szigorítással azt szeretné elérni, hogy a gyártók jobb minőségű javításokat adjanak ki, és a korábbi gyakorlatukhoz képest sokkal átláthatóbban kommunikáljanak a biztonsági problémákról a felhasználóikkal.

Trehányak lettek a gyártók

A ZDI azzal indokolta közleményében a döntést, hogy tapasztalatuk szerint az elmúlt években aggasztóan romlott a hibajavítások minősége, és a cégek egyre inkább elhanyagolják a javításokkal kapcsolatos kommunikációt. Emiatt viszont a szoftvereket használó vállalatoknak erősen romlott a kockázatelemzési képességük, azaz képtelenek voltak jó becsléseket adni az IT-rendszereik kockázataira.

A SecurityWeek megkereste a nyilvánosságra hozatali szabályok módosításával kapcsolatban a ZDI-t. A cég szóvivője, Dustin Childs azt állította, hogy az elmúlt 18 hónapban drámai mértékben nőtt a hibás javításokhoz kapcsolódó beadványok száma. Ezek ráadásul olyan hibák, melyek kihasználása egyszerű.

A ZDI statisztikái szerint a bug bounty programok keretében általuk megvásárolt sérülékenységeknek már a 10-20 százalékát hibás patch-ekben találják a biztonsági kutatók. Már a ZDI hekkerversenyén, a Pwn2Own-on is egyre gyakrabban futnak bele olyan törésekbe, amelynél egy patch hibáját aknázták ki a versenyzők. A ZDI-nek viszont a nyilvánosságra hozatalon kívül nincs más eszköz a kezében, hogy rávegye a szoftvergyártókat a gondosabb munkára, mondta a szóvivő.

Ha valahol, itt valóban nem működik az automatizálás

A szóvivő szerint az egyik bűnös, hogy a szoftvergyártók automatizálják a sérülékenység-bejelentési folyamatot és a javítások tesztelését is, aminek az eredménye, hogy egyrészt elsikkadnak fontos információk, másrészt hibák maradnak a patch-ekben. Ez egyébként anyagilag sem kifizetődő: ha a patch nem javít egy biztonsági rést, mert hibás, szó szerint kétszer kell fizetnie ugyanazért.

A ZDI számos hasonló problémába futott bele a legnagyobb szoftvergyártók (Adobe, Apple, Cisco, Dell, Google, HP, Microsoft, Oracle, VMware) javításainál is. A vállalatok már nem is látják át, hogy milyen biztonsági kockázatokat rejtenek a hálózataik, és közben olyan hibák foltozására fordítanak rengeteg időt és pénzt, amit már javítottak, állítja Childs, aki szerint egy hiányos vagy hibás javítás nagyobb kockázatot jelent, mintha egyáltalán nem készülne javítás.

A ZDI szóvivőjének valószínűleg igaza van. Többször bebizonyosodott ugyanis, hogy a kiberbűnözők nagyon odafigyelnek a publikált sérülékenységekre, hogy a patch telepítéséig még gyorsan kihasználhassák. Joggal számíthatnak ugyanis arra, hogy a javításokat sok helyen csak némi késéssel telepítik – és egyébként is: ha telepítik, akkor sem feltétlen véd bármitől...

Biztonság

Nincs megállás, a Marsot is elkezdtük teleszemetelni

Eddig 7 tonnányi hulladékot sikerült elhinteni a vörös bolygón, ami egyelőre nem sok, de már most is érdemes odafigyelni rá.
 
Hirdetés

A munkaerő képzése a vállalat sikerének egyik záloga

A piaci versenyben az a cég tud élen maradni, amely lépést tart a fejlődő technológiával. Ez azonban csak megfelelően képzett alkalmazottakkal lehetséges.

Ahogy megindult az IT-szakemberekért a harc a munkaerőpiacon, úgy váltak egyre szofisztikáltabbá a képzést végző intézmények szolgáltatásai.

a melléklet támogatója a Green Fox Academy

A felmérésekből egyre inkább kiderül, hogy az alkalmazottak megtartása vagy távozása sokszor azon múlik, amit a szervezetük nem csinál, nem pedig azon, amiben egymásra licitál a többi munkáltatóval.

Ezért fontos számszerűsíteni a biztonsági kockázatokat

Az EU Tanácsa szerint összeegyeztethető a backdoor és a biztonság. Az ötlet alapjaiban hibás. Pfeiffer Szilárd fejlesztő, IT-biztonsági szakértő írása.
Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthető módon, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport tizenegyedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2022 Bitport.hu Média Kft. Minden jog fenntartva.