Небольшая российская фирма, исследующая программное обеспечение, разрабатываемое крупнейшими мировыми ИТ-гигантами, начала публиковать на своем сайте коды, демонстрирующие «дыры» в этом ПО, не устраняемые годами. Таким образом исследователь надеется изменить схему взаимоотношений между производителями и исследователями.
Российская компания "Интевидис", работающая в области информационной безопасности, начала публиковать в своем блоге коды, демонстрирующие ошибки ПО крупнейших разработчиков, таких как IBM, Novell и Sun Microsystems, в качестве протеста против политики ответственного раскрытия информации об обнаруженных в программах уязвимостях. В настоящее время опубликована информация об ошибках в системах Sun Directory Server 7.0 (не устранена больше года) и Tivoli Directory Server 6.2 (не устраняется с 2006 года). При этом представитель компании "Интевидис" Евгений Легеров отметил, что те коды, которые его компания уже опубликовала в своем блоге, -- лишь демонстрация ошибок, и эти коды не могут нанести серьезного вреда компаниям, пользующимся системами соответствующих производителей.
Компания исследует и тестирует программное обеспечение на предмет безопасности. При этом в соответствии с существующей практикой «ответственного раскрытия информации» исследователи должны сообщать разработчикам об обнаруженных уязвимостях. «Производители просто экспулатируют исследователей, -- сказал Infox.ru представитель «Интевидис» Евгений Легеров. -- Аналитики тратят годы на разработку своих методик и поиск дыр, а мировые гиганты, зарабатывающие миллионы долларов на своем оборудовании, хотят использовать наш труд бесплатно. Цель этой акции -- изменить существующую схему отношений между производителями и профессиональными исследователями».
«Вы, компания ABCD, зарабатывающая N миллионов в год, продавая ваше «дырявое» программное обеспечение по всему миру, почему вы требуете бесплатно предосталять вам результаты тяжелой работы в течение многих лет? Вместо того чтобы тратить наше и ваше время, не лучше ли выделить средства на то, чтобы улучшить код, создаваемый вашими умными разработчиками?» -- говорится в дисклеймере блога.
Разработчики не торопятся закрывать «дыры»
В то же время нередко компании, занимающиеся информационной безопасностью, жалуются, что разработчики не реагируют на отправленные им сообщения об уязвимостях. «Считается нормальным, что исследователь сообщит производителю об обнаруженной «дыре», и не будет раскрывать информацию, если разработчик пообещает исправить код. Однако многие крупные компании злоупотребляют своим положением, игнорируя и даже оспаривая сообщения об уязвимостях, -- отметил представитель российской компании Positive Technologies (создатель ресурса Security Lab), специализирующейся на информационной безопасности, Алексей Анисимов. -- В нашей практике есть случаи, когда общение с вендорами затягивалось на год и дольше. Есть «дыра», есть риск, а производители ничего не делают»
Осенью 2009 года компании SANS Institute, Tipping Point и Qualys заявили, что ПО-разработчики уделяют очень мало внимания проблемам безопасности в программах, концентрируя усилия в основном в операционных системах. В ходе исследования аналитики изучили связанные с онлайновыми атаками данные, которые были собраны в течение полугода в шести тысячах организаций, использующих систему противодействия вторжению TippingPoint. В результате выяснилось, что в течение 60 дней закрывается 80% уязвимостей в операционных системах Microsoft и только 40% «дыр» в приложениях. При этом атаки хакеров гораздо чаще направлены на приложения, чем на операционные системы.
