Исследователи воюют с «дырявым» софтом

Небольшая российская фирма, исследующая программное обеспечение, разрабатываемое крупнейшими мировыми ИТ-гигантами, начала публиковать на своем сайте коды, демонстрирующие «дыры» в этом ПО, не устраняемые годами. Таким образом исследователь надеется изменить схему взаимоотношений между производителями и исследователями.

Российская компания «Интевидис», работающая в области информационной безопасности, начала публиковать в своем блоге коды, демонстрирующие ошибки ПО крупнейших разработчиков, таких как IBM, Novell и Sun Microsystems, в качестве протеста против политики ответственного раскрытия информации об обнаруженных в программах уязвимостях. В настоящее время опубликована информация об ошибках в системах Sun Directory Server 7.0 (не устранена больше года) и Tivoli Directory Server 6.2 (не устраняется с 2006 года). При этом представитель компании «Интевидис» Евгений Легеров отметил, что те коды, которые его компания уже опубликовала в своем блоге, — лишь демонстрация ошибок, и эти коды не могут нанести серьезного вреда компаниям, пользующимся системами соответствующих производителей.

Компания исследует и тестирует программное обеспечение на предмет безопасности. При этом в соответствии с существующей практикой «ответственного раскрытия информации» исследователи должны сообщать разработчикам об обнаруженных уязвимостях. «Производители просто экспулатируют исследователей, — сказал Infox.ru представитель «Интевидис» Евгений Легеров. — Аналитики тратят годы на разработку своих методик и поиск дыр, а мировые гиганты, зарабатывающие миллионы долларов на своем оборудовании, хотят использовать наш труд бесплатно. Цель этой акции — изменить существующую схему отношений между производителями и профессиональными исследователями».

«Вы, компания ABCD, зарабатывающая N миллионов в год, продавая ваше «дырявое» программное обеспечение по всему миру, почему вы требуете бесплатно предосталять вам результаты тяжелой работы в течение многих лет? Вместо того чтобы тратить наше и ваше время, не лучше ли выделить средства на то, чтобы улучшить код, создаваемый вашими умными разработчиками?» — говорится в дисклеймере блога.
Разработчики не торопятся закрывать «дыры»

В то же время нередко компании, занимающиеся информационной безопасностью, жалуются, что разработчики не реагируют на отправленные им сообщения об уязвимостях. «Считается нормальным, что исследователь сообщит производителю об обнаруженной «дыре», и не будет раскрывать информацию, если разработчик пообещает исправить код. Однако многие крупные компании злоупотребляют своим положением, игнорируя и даже оспаривая сообщения об уязвимостях, — отметил представитель российской компании Positive Technologies (создатель ресурса Security Lab), специализирующейся на информационной безопасности, Алексей Анисимов. — В нашей практике есть случаи, когда общение с вендорами затягивалось на год и дольше. Есть «дыра», есть риск, а производители ничего не делают»

Осенью 2009 года компании SANS Institute, Tipping Point и Qualys заявили, что ПО-разработчики уделяют очень мало внимания проблемам безопасности в программах, концентрируя усилия в основном в операционных системах. В ходе исследования аналитики изучили связанные с онлайновыми атаками данные, которые были собраны в течение полугода в шести тысячах организаций, использующих систему противодействия вторжению TippingPoint. В результате выяснилось, что в течение 60 дней закрывается 80% уязвимостей в операционных системах Microsoft и только 40% «дыр» в приложениях. При этом атаки хакеров гораздо чаще направлены на приложения, чем на операционные системы.