Bezpečnostné firmy sa snažia preplatiť podsvetie

Tento týždeň hneď dve bezpečnostné spoločnosti oznámili zavedenie transparentnejších pravidiel pre odmeňovanie bezpečnostných expertov, ktorí im poskytnú exluzívne informácie o nájdených chybách. Okrem iného sa tým bezpečnostné firmy snažia zabrániť aby informácie o novoobjavených chybách nekončili najskôr v rukách podsvetia alebo neboli predčasne zverejnené.

DSL.sk, 27.7.2005

V pondelok bezpečnostná spoločnosť TippingPoint vlastnená spoločnosťou 3COM oznámila spustenie programu Zero Day Initiative.

TippingPoint ponúka v programe odmenu bezpečnostným expertom, ktorí exkluzívne informujú TippingPoint o novoobjavených originálnych závažných bezpečnostných chybách.

Bezpečnostný expert ponúkne spoločnosti TippingPoint detaily o chybe, táto po ich preštudovaní ponúkne autorovi odmenu. Pokiaľ expert súhlasí s odmenou, TippingPoint získava práva na túto chybu, jej zverejnenie a informuje o chybe autora softwaru. Právo je exkluzívne a tak expert, ktorý chybu objavil, ju nemôže zverejniť, predať inej spoločnosti ani inak verejne využiť.

Cieľom TippingPoint je získať náskok pred konkurenčnými bezpečnostnými spoločnosťami, keď táto ochranu proti zneužitiu chyby môže vo svojich bezpečnostných produktoch ponúknuť skôr ako jej konkurenti.

Výška odmeny závisí od závažnosti chyby a ďaľších okolností, presné pravidlá nie sú zverejnené. Hovorí sa o pravdepodobných odmenách v rádoch niekoľkých tisícov dolárov za chybu, tieto čísla podporujú aj parametre zverejnených "vernostných" programov, ktoré odmeňujú expertov dodávajúcich viacero chýb rozličnými bonusmi a prémiami.

Spoločnosť sa tak snaží aby nezávislí bezpečnostní experti prednostne informovali o nájdených chybách bezpečnostnú spoločnosť. V súčasnosti nezávislí experti v lepšom prípade o nájdených chybách informujú priamo výrobcov softwaru, za čo získajú kredit v podobe refencie v oznámení producenta softwaru.

Často sú ale chyby zverejnené ich autormi skôr, ako autor softwaru vydá opravu. Dôvodom je, že nie všetci autori softwaru sa správajú k nezávislým expertom korektne, respektíve často nevydajú pre veľmi vážne chyby opravy po veľmi dlhú dobu. Ide najmä o veľkých producentov softwaru, napríklad Microsoft má často vo svojich produktoch vážne chyby vedúce k vzdialenému výkonu kódu po dobu viac ako 4 až 6 mesiacov. Nepísaným pravidlom je vydanie záplaty do 2 mesiacov od oznámenia vážnej bezpečnostnej chyby.

V horšom prípade autor chyby ju priamo využije na nelegálne alebo dokonca trestné účely. Veľmi významým javom vo svete počítačovej bezpečnosti je podľa informácií viacerých odborníkov aj predaj chýb expertmi podsvetiu, ktoré ich ďalej využíva na nelegálne aktivity a vie vygenerovať nelegálnymi aktivitami významné príjmy.

Aj tomuto sa snaží zabrániť iniciatíva bezpečnostnej spoločnosti iDefense. Táto v utorok oznámila, že dvojnásobne zvyšuje odmeny nezávislým expertom za objavené bezpečnostné chyby. Podľa iDefense nejde o reakciu na projekt Zero Day Initiative, ale o reakciu na kúpu iDefense spoločnosťou VeriSign uskutočnenú pred 2 týždňami.

Niektoré ostatné bezpečnostné spoločnosti, napríklad ISS, nepovažuje takýto spôsob odmeňovania autorov chýb za efektívne a správne. TippingPoint a iDefense sa bonusmi a odmenami snažia dosiahnuť napríklad aj to, aby poznali čo najdlhšiu históriu experta oznamujúceho chyby a vedeli posúdiť jeho dôveryhodnosť.

Spoločnosť iDefense podľa niektorých zverejnených informácií doteraz ponúkala za chybu odmenu typicky v rozsahu 300 až 1,000 dolárov.

Nové transparentnejšie pravidlá a zvýšená konkurencia medzi bezpečnostnými spoločnosťami môžu viesť k odhaľovaniu viacerých bezpečnostných chýb ale tiež najmä k väčšiemu percentu chýb reportovanému autorom softwaru korektným spôsobom.

Podobný program odmeny za nájdené bezpečnostné chyby má aj Mozilla Foundation, ktorá odmeňuje originálnu chybu v softwari produkovanom Mozilla Foundation odmenou 500 dolárov.



Najnovšie články:



Diskusia:

brook Od: brook | Pridané: 1.8.2005 16:22 kkt srandicky Odpovedať Hodnotiť:

jan Od: jan | Pridané: 29.4.2006 14:08 ponuka odmenu 50,000 http://www.liberty2u.com Odpovedať Hodnotiť:

Pridať komentár