БЕЗОПАСНОСТЬ
Компания, занимающаяся изучением проблем безопасности и обнаружившая в свое время дыру, использованную позже червем Slammer, подумывает об отказе от своей прежней политики - публиковать в общедоступных форумах подробные сведения об обнаруженных уязвимостях ПО.
Английская фирма Next Generation Security Software была основана братьями Дэвидом и Марком Личфилдами. Сейчас ее руководство размышляет, не следует ли впредь сообщать детали об обнаруженных в ПО уязвимостях только соответствующему производителю. Вопрос об изменении политики фирмы, окончательное решение по которому еще не принято, возник в связи с обострившимися дискуссиями по поводу действий независимых исследователей в области безопасности. Споры усилились после того, как бывший сотрудник компании Internet Security Systems предал гласности подробные сведения о серьезной дыре в операционной системе IOS (Internet Operating System) корпорации Cisco Systems. Эта ОС используется на многих устройствах, представляющих важнейший элемент интернет-инфраструктуры.
Политика "неразглашения", как называют ее братья Личфилд, означала бы разрыв с политикой полной гласности, которой NGS придерживалась еще три года назад. Тогда Дэвид раскрыл на конференции Black Hat USA Briefings, организованной компанией Black Hat, детали не устраненной на тот момент уязвимости СУБД Microsoft SQL Server. Через несколько месяцев после этого выступления приведенный Дэвидом материал был использован для создания интернет-червя SQL Slammer. Буквально за несколько минут он распространился по всему миру и вывел из строя электронные системы банков, авиакомпаний, больниц и служб экстренной помощи.
В беседе с корреспондентом eWeek во время конференции Black Hat, проходившей этим летом в Лас-Вегасе, Дэвид сказал, что за последние годы аргументы в пользу раскрытия сведений об имеющихся в ПО дырах утратили силу. В то же время возросла угроза для работающих в Интернете организаций и частных лиц со стороны киберпреступников и международных террористов. "Что было правильно два или три года назад, сейчас уже таковым не является", - подчеркнул Дэвид.
Независимые исследователи, включая братьев Личфилд, выдвигали аргумент, что раскрытие сведений о брешах в системе безопасности представляет собой единственный способ обратить внимание на недостатки в организации разработки ПО, в результате чего и появляются уязвимости, а также заставить производителей программ исправить ошибки.
Но Дэвид не уверен, что сегодня эти аргументы способны выдержать критику.
"Сколько раз надо говорить о переполнении буфера? Тот, кто до сих пор не усвоил, что такое переполнение буфера, не поймет этого никогда", - говорит Дэвид.
В связи с появлением червя Slammer фирма NGS изменила политику раскрытия информации. Теперь она уведомляет компании об обнаруженных ею дырах, предоставляет им время для создания заплат и 90 дней для их распространения. Лишь по прошествии этого срока сведения об уязвимостях становятся доступны широкой публике.
Исследования NGS в области безопасности порождают конфликты с разработчиками ПО. В марте компания Sybase угрожала подать в суд за публикацию информации о продукте Sybase Adaptive Server Enterprise.
Недавняя попытка Cisco сорвать выступление сотрудника ISS Майкла Лина на конференции Black Hat вновь подлила масла в огонь споров среди производителей программ по поводу полного раскрытия информации об уязвимостях.
Пол Холмен, специалист по вопросам безопасности и один из основателей The Shmoo Group, считает, что исследования в области безопасности могут снять напряженность, существующую между производителями, заинтересованными в продаже своих продуктов, и клиентами, чьи компьютеры могут подвергнуться атаке и которые часто приветствуют появление информации о характере уязвимостей.
"Это два разных лагеря, имеющих разные интересы", - считает Холмен.