Szigorít a sérülékenységek nyilvánosságra hozatalán a Zero Day Initiative (ZDI). A sérülékenységbrókerként is működő, a független kutatókat és a szoftvergyártókat összekapcsoló, bug bounty programokat futtató szervezet bejelentette: ha a kutatóktól hibajavításban talált sérülékenységről kapnak bejelentést, drasztikusan rövidítik a javításra adott időt. Ha a sérülékenység kihasználása észlelhető vagy valószínűsíthető, annak a javítására kritikus hiba esetén a jövőben csak 30 napja lesz a gyártónak. Utána a ZDI publikálja az adott sérülékenységet, függetlenül attól, hogy elkészült-e hozzá a patch. (Korábban minden felfedezett biztonsági résre 120 nap volt a határidő a publikálásig.)

A patch-ekben talált kevésbé súlyos sérülékenységeknél is rövidültek a határidők. 60 napot kapnak a gyártók azoknak a hibáknak a javítására, melyek kritikus vagy súlyos besorolásúak ugyan, de a javítás nyújt némi védelmet. 90 nap lesz a nyilvánosságra hozatali határidő, ha nem várható az adott sebezhetőség azonnali kihasználása.

A ZDI a szigorítással azt szeretné elérni, hogy a gyártók jobb minőségű javításokat adjanak ki, és a korábbi gyakorlatukhoz képest sokkal átláthatóbban kommunikáljanak a biztonsági problémákról a felhasználóikkal.

Trehányak lettek a gyártók

A ZDI azzal indokolta közleményében a döntést, hogy tapasztalatuk szerint az elmúlt években aggasztóan romlott a hibajavítások minősége, és a cégek egyre inkább elhanyagolják a javításokkal kapcsolatos kommunikációt. Emiatt viszont a szoftvereket használó vállalatoknak erősen romlott a kockázatelemzési képességük, azaz képtelenek voltak jó becsléseket adni az IT-rendszereik kockázataira.

A SecurityWeek megkereste a nyilvánosságra hozatali szabályok módosításával kapcsolatban a ZDI-t. A cég szóvivője, Dustin Childs azt állította, hogy az elmúlt 18 hónapban drámai mértékben nőtt a hibás javításokhoz kapcsolódó beadványok száma. Ezek ráadásul olyan hibák, melyek kihasználása egyszerű.

A ZDI statisztikái szerint a bug bounty programok keretében általuk megvásárolt sérülékenységeknek már a 10-20 százalékát hibás patch-ekben találják a biztonsági kutatók. Már a ZDI hekkerversenyén, a Pwn2Own-on is egyre gyakrabban futnak bele olyan törésekbe, amelynél egy patch hibáját aknázták ki a versenyzők. A ZDI-nek viszont a nyilvánosságra hozatalon kívül nincs más eszköz a kezében, hogy rávegye a szoftvergyártókat a gondosabb munkára, mondta a szóvivő.

Ha valahol, itt valóban nem működik az automatizálás

A szóvivő szerint az egyik bűnös, hogy a szoftvergyártók automatizálják a sérülékenység-bejelentési folyamatot és a javítások tesztelését is, aminek az eredménye, hogy egyrészt elsikkadnak fontos információk, másrészt hibák maradnak a patch-ekben. Ez egyébként anyagilag sem kifizetődő: ha a patch nem javít egy biztonsági rést, mert hibás, szó szerint kétszer kell fizetnie ugyanazért.

A ZDI számos hasonló problémába futott bele a legnagyobb szoftvergyártók (Adobe, Apple, Cisco, Dell, Google, HP, Microsoft, Oracle, VMware) javításainál is. A vállalatok már nem is látják át, hogy milyen biztonsági kockázatokat rejtenek a hálózataik, és közben olyan hibák foltozására fordítanak rengeteg időt és pénzt, amit már javítottak, állítja Childs, aki szerint egy hiányos vagy hibás javítás nagyobb kockázatot jelent, mintha egyáltalán nem készülne javítás.

A ZDI szóvivőjének valószínűleg igaza van. Többször bebizonyosodott ugyanis, hogy a kiberbűnözők nagyon odafigyelnek a publikált sérülékenységekre, hogy a patch telepítéséig még gyorsan kihasználhassák. Joggal számíthatnak ugyanis arra, hogy a javításokat sok helyen csak némi késéssel telepítik – és egyébként is: ha telepítik, akkor sem feltétlen véd bármitől...