источник: Fotobank.ru/Getty Images
Небольшая российская фирма, исследующая программное обеспечение, разрабатываемое крупнейшими мировыми ИТ-гигантами, начала публиковать на своем сайте коды, демонстрирующие «дыры» в этом ПО, не устраняемые годами. Таким образом исследователь надеется изменить схему взаимоотношений между производителями и исследователями.
Российская компания "Интевидис", работающая в области информационной безопасности, начала публиковать в своем блоге коды, демонстрирующие ошибки ПО крупнейших разработчиков, таких как IBM, Novell и Sun Microsystems, в качестве протеста против политики ответственного раскрытия информации об обнаруженных в программах уязвимостях. В настоящее время опубликована информация об ошибках в системах Sun Directory Server 7.0 (не устранена больше года) и Tivoli Directory Server 6.2 (не устраняется с 2006 года). При этом представитель компании "Интевидис" Евгений Легеров отметил, что те коды, которые его компания уже опубликовала в своем блоге, -- лишь демонстрация ошибок, и эти коды не могут нанести серьезного вреда компаниям, пользующимся системами соответствующих производителей.
Компания исследует и тестирует программное обеспечение на предмет безопасности. При этом в соответствии с существующей практикой «ответственного раскрытия информации» исследователи должны сообщать разработчикам об обнаруженных уязвимостях. «Производители просто экспулатируют исследователей, -- сказал Infox.ru представитель «Интевидис» Евгений Легеров. -- Аналитики тратят годы на разработку своих методик и поиск дыр, а мировые гиганты, зарабатывающие миллионы долларов на своем оборудовании, хотят использовать наш труд бесплатно. Цель этой акции -- изменить существующую схему отношений между производителями и профессиональными исследователями».
«Вы, компания ABCD, зарабатывающая N миллионов в год, продавая ваше «дырявое» программное обеспечение по всему миру, почему вы требуете бесплатно предосталять вам результаты тяжелой работы в течение многих лет? Вместо того чтобы тратить наше и ваше время, не лучше ли выделить средства на то, чтобы улучшить код, создаваемый вашими умными разработчиками?» -- говорится в дисклеймере блога.
- софт
-
- хакеры
-
самое популярное видео
| В Эстонии играют в шашки под водой |
| Бекхэм остается в Лос-Анджелесе |
| Виктория Макарская ради детей заставила танцевать Николая Валуева и хор МВД |
| Дети Джексона напомнили об отце, а Адель снова на вершине |
| «Артисту» покорилась очередная премия, а Лиам Нисон одолел волков и оборотней |
| ″Хроники″ бьют рекорды сборов. Йохансон покорила Берлин |
ещё
Разработчики не торопятся закрывать «дыры»
В то же время нередко компании, занимающиеся информационной безопасностью, жалуются, что разработчики не реагируют на отправленные им сообщения об уязвимостях. «Считается нормальным, что исследователь сообщит производителю об обнаруженной «дыре», и не будет раскрывать информацию, если разработчик пообещает исправить код. Однако многие крупные компании злоупотребляют своим положением, игнорируя и даже оспаривая сообщения об уязвимостях, -- отметил представитель российской компании Positive Technologies (создатель ресурса Security Lab), специализирующейся на информационной безопасности, Алексей Анисимов. -- В нашей практике есть случаи, когда общение с вендорами затягивалось на год и дольше. Есть «дыра», есть риск, а производители ничего не делают»
Осенью 2009 года компании SANS Institute, Tipping Point и Qualys заявили, что ПО-разработчики уделяют очень мало внимания проблемам безопасности в программах, концентрируя усилия в основном в операционных системах. В ходе исследования аналитики изучили связанные с онлайновыми атаками данные, которые были собраны в течение полугода в шести тысячах организаций, использующих систему противодействия вторжению TippingPoint. В результате выяснилось, что в течение 60 дней закрывается 80% уязвимостей в операционных системах Microsoft и только 40% «дыр» в приложениях. При этом атаки хакеров гораздо чаще направлены на приложения, чем на операционные системы.
вт
-12
-17
ср
-5
-9
чт
-7
-10
Давайте дружить