Производители средств обеспечения безопасности и компании, выпускающие ПО различного назначения, разрабатывают правила работы с информацией о дефектах защиты компьютерных систем
Недавние новые инциденты в области безопасности компьютерных систем обострили противостояние сторонников различных подходов к обращению с информацией о дефектах защиты и способах их “использования”. Однако, возможно, решение проблемы уже не за горами - вскоре будет сформирована отраслевая группа, которая согласует и рекомендует к применению набор четких правил.
Организацией группы займется специально созданное для этой цели объединение производителей ПО обеспечения безопасности и ПО универсального назначения, которое возглавил Русс Купер - модератор конференции NTBugtraq и главный врач в корпорации TruSecure (Рестон, шт. Виргиния). Экспертный совет формализует способ обращения исследователей с информацией об обнаруживаемых дефектах в системе безопасности и порядок ее распространения - такой, чтобы сначала обо всем узнавали члены рабочей группы, а уже затем, когда будут готовы исправленные версии продуктов, - широкая публика.
Всё об атаках
В настоящее время, поскольку стандартизованных процедур в данной области не существует, информация о дефектах в системе безопасности и учитывающий их программный код иногда получают широкое распространение еще до того, как о них узнают соответствующие производители, а это значительно упрощает задачу хакерам.
Ранее ряд других объединений заинтересованных лиц уже предпринимали аналогичные попытки. Заслуживает упоминания центр координации работы групп реагирования на компьютерные инциденты CERT (Coordination Center при университете Карнеги - Меллона в Питтсбурге, шт. Пенсильвания). Несмотря на то, что до сих пор эти попытки увенчивались всегда лишь частичным или переменным успехом, Купер уверен, что организация, первую скрипку в которой будут играть представители отрасли, сумеет добиться значительного снижения числа атак на компьютерные сети.
“Для всех будет лучше, если мы станем делиться этими данными поменьше, - заявил Купер. - Почему не ограничить их хождение кру’гом общепризнанных ответственных специалистов по безопасности? Большинство хакеров не обладают достаточными знаниями, чтобы самостоятельно писать код, учитывающий дефекты системы безопасности, и полагаются лишь на то, что могут получить из внешних источников”.
Купер беседовал о своих планах с представителями Microsoft, Sun Microsystems и ряда других производителей ПО и рассчитывает, что окончательный проект будет готов в течение двух месяцев. Его деятельность развертывается в обстановке, когда все больше и больше так называемых исследователей игнорируют разумную практику уведомления об обнаруженном дефекте производителя, совместной с ним работы над верификацией этого дефекта и задержки широкого распространения информации до момента готовности исправленной версии ПО.
Так, совсем недавно компания Sentry Research Labs распространила через список Bugtraq сведения об очередной ошибке, найденной ее специалистами в сервере Trivial FTP Daemon фирмы Cisco Systems, - судя по всему, даже предварительно не уведомив производителя. А еще несколькими днями ранее фирма eEye Digital Security опубликовала бюллетень, посвященный очередной “дыре” в защите Web-сервера Internet Information Services корпорации Microsoft.
Хотя eEye и дождалась выпуска исправленной версии ПО, она тем не менее подверглась критике со стороны профессионалов в области обеспечения безопасности за публикацию примера использования дефекта и за то, что сообщила точное число байтов, необходимых для переполнения буфера.
“Все проблемы возникают именно из-за опубликования кода, который практически полностью готов для использования хакерами, - посетовал Уилльям Арбо, ассистент профессора информатики в Университете Мэриленда (Колледж-Парк, шт. Мэриленд) и соавтор статьи, в которой анализируется влияние опубликования кода, демонстрирующего способ использования определенного дефекта в системе безопасности, на число хакерских атак, эксплуатирующих этот дефект. - Однако всегда находится кто-нибудь, кто это сделает, оправдывая свой поступок соображением, что нехорошие люди все равно так или иначе доберутся до нужного им кода”.
С другой стороны, некоторые администраторы уверены в том, что именно оперативная информация об обнаруженных дефектах не оставляет производителям возможности замалчивать свои недоработки. А как еще самый широкий круг заинтересованных лиц сможет получить предупреждение об угрожающей им опасности?
“Если никто ничего не опубликует, как же я узнаю, что что-то не так? По доброй воле производители не станут нам ничего говорить”, - заявил один специалист по компьютерной безопасности, пожелавший, чтобы его имя осталось в тайне.
Производители, как и следовало ожидать, отвергают такие выпады и уверяют, что в общих интересах максимально осторожное обращение с информацией.
“Нет ничего хорошего в том, чтобы оповещать весь мир о дефектах защиты, поскольку таким образом вы сами открываете широчайшие возможности для желающих использовать эту информацию во вред, - комментирует ситуацию менеджер программы в области безопасности в корпорации Microsoft (Редмонд, шт. Вашингтон) Скотт Калп. - Необходимо выработать этический кодекс профессионала компьютерной безопасности, обязывающий его прежде всего заботиться о защите интересов пользователей”.