Деннис Фишер
Организация по безопасности Интернета (Organization for Internet Safety, OIS) предложила недавно план, предусматривающий порядок обнародования выявленных брешей в программном обеспечении. Хотя следование изложенным в нем рекомендациям и является совершенно добровольным, новая инициатива сразу же подверглась критике как исследователей слабых мест в ПО, так и других специалистов. А ведь такой план, как показали результаты недавнего опроса, крайне необходим для защиты сетей.
В состав OIS входит ряд разработчиков приложений и компаний, специализирующихся на защите сетей. Они попытались упорядочить процесс уведомления производителей ПО о выявленных брешах, опубликования подобной информации и исправления дефектных кодов. У многих специалистов по безопасности подготовленный документ встретил понимание.
Однако независимые исследователи уязвимостей (а их предлагаемые меры должны коснуться в первую очередь) далеко не в восторге. Участникам только что состоявшейся в Лас-Вегасе конференции Black Hat Briefings, например, очень не понравилось отсутствие какого-либо механизма ответственности на тот случай, если производители не станут придерживаться рекомендуемых положений. Представитель OIS пояснил, что это сделано преднамеренно, так как план сугубо добровольный и никакого надзора за производителями в нем предусматриваться не может в принципе. Окончательной инстанцией, которая будет решать, придерживается ли та или иная компания положений плана, должен стать суд общественности.
"Эти рекомендации вовсе не развязывают нам руки, - считает старший специалист по стратегии безопасности корпорации Microsoft, входящей в состав OIS. - Более того, они оказывают дополнительное давление на нас. У исследователей появляются новые возможности воздействовать на тех, кто что-то делает не так или вообще ничего не хочет делать".
Но такие перспективы успокаивают далеко не всех. "Попросту говоря, план OIS всем сообществом принят не будет. И сам процесс, и набор рекомендаций разработаны производителями ПО для самих себя. А из компаний, которые занимаются обеспечением безопасности, к его подготовке были привлечены лишь избранные, те, у кого есть общие интересы с производителями, - утверждает Тор Лархольм, старший исследователь консультационной фирмы по вопросам безопасности PivX Solutions из калифорнийского города Ньюпорт-Бич. - Предложения OIS - это не практическое решение проблемы своевременного устранения брешей, а политический инструмент. Он позволяет производителям указывать пальцем на исследователей, не желающих играть по их правилам".
Законы уязвимости |
Результаты исследования Qualys - Количество незащищенных систем сокращается наполовину в первые 30 дней после выявления бреши. - За 60 дней выявленная брешь устраняется в 80% систем. - За год на смену половине наиболее распространенных и критичных брешей приходят новые. - Время жизни некоторых уязвимых мест растягивается на неопределенно долгое время. |
С тем, что план несовершенен и не исключает злоупотреблений, согласны и некоторые члены OIS. "Я вполне допускаю, что производители не станут все делать правильно", - считает Крис Уайсопал, директор по исследованиям и развитию фирмы @Stake (Кеймбридж, шт. Массачусетс).
Security Vulnerability Reporting and Response (Отчетность по брешам безопасности и реагированию на них) - так называется документ - регламентирует сроки и определяет этапы взаимодействия между исследователем, обнаружившим новое уязвимое место, и компанией, в продукте которой оно выявлено. В нем описано, каким образом и когда следует уведомлять такого производителя, как тот должен реагировать на полученное сообщение, сколько времени исследователь может ожидать его реакции, как должны разрешаться спорные вопросы.
Тем временем недавно проведенный опрос показал, что после выявления "критических" уязвимостей количество подверженных им систем снижается наполовину каждые 30 дней. Такие данные были получены главным инженером фирмы Qualys (Редвуд-Шорз, шт. Калифорния) Герхардом Эшелбеком в ходе проводимого им исследования. Оказалось, правда, что чем незначительнее брешь, тем больше ее так называемое "время жизни" - в отдельных случаях этот параметр даже растягивается на неопределенно долгое время.
Эксперты в области безопасности считают подобные исследования очень полезными, поскольку они наглядно показывают: люди все еще недостаточно понимают важность своевременного установления программных заплат. Совершенно очевидно, что в этих условиях нельзя оповещать широкую общественность о критических брешах до того, как для них будут разработаны заплаты.
"Исследователи должны понимать, что за три дня надежной заплаты не сделаешь, - сказала Мэри Энн Дэвидсон, старший специалист по безопасности корпорации Oracle. - Здесь нужна очень тонкая работа. Когда эти ребята сотрудничают с нами, мы можем сообща защитить потребителя, вот только некоторые из них слишком уж спешат поделиться своими открытиями с друзьями".
Что же касается недовольства исследователей безопасности отсутствием в документе санкций за невыполнение новых требований, то членов OIS это не особенно тревожит. Вот что говорит, скажем, Скотт Блейк, вице-президент корпорации BindView (Хьюстон, шт. Техас), стоявшей у истоков создания OIS: "Вполне достаточно угрозы обнародования сделанных открытий, и я думаю, что исследователям стоит смириться и признать это".