Организация по интернет-безопасности будет собирать всех «клопов»

В четверг Microsoft и другие производители ПО встретились с несколькими секьюрити-компаниями, чтобы уточнить последние детали, касающиеся создания новой организации, которая должна устанавливать правила распространения информации об ошибках в программном обеспечении, относящихся к интернет-безопасности.

Группа с рабочим названием «Организация по интернет-безопасности» (Organization for Internet Safety, OIS) находится в стадии формирования; ее состав и правила работы еще до конца не определены. Переговоры ведутся в Сан-Хосе на конференции RSA Conference 2002. Стюарт Макклур (Stuart McClure), член OIS и президент компании Foundstone, считает, что секьюрити-индустрии крайне необходима такая организация. «Сегодня для софтверных компаний не существует единой процедуры или правил, регламентирующих обнародование информации об уязвимостях, — говорит он. — Это было бы чрезвычайно полезно».

Организация родилась в результате дискуссий между Microsoft и рядом секьюрити-фирм по поводу ответственного информирования об ошибках в ПО, влияющих на безопасность бизнеса. Эти дискуссии привели к анонсированию новой организации в ноябре прошлого года на конференции Microsoft Trusted Computing. Первоначально в нее вошли Microsoft и секьюрити-фирмы Foundstone, @Stake, Guardent, BindView и Internet Security Systems.

Задержка сообщений о багах и убеждение серьезных исследователей давать производителям время на решение проблем в их ПО, прежде чем они станут достоянием гласности, играют важную роль в усилиях Microsoft по сдерживанию эффекта, производимого обнаруживаемыми в ее продуктах уязвимостями. На этой неделе два эксперта по цифровой безопасности предложили проект документа, определяющего, что следует понимать под ответственным сообщением о секьюрити-багах. Проект, составленный в форме приглашения к обсуждению (request for comment, RFC), ставит своей целью помочь компаниям исключить уязвимости, минимизировать ущерб от секьюрити-багов для заказчиков и предложить инструменты для выявления уязвимостей и организации процесса их устранения. «Мы хотим предложить стандарты информирования об уязвимостях и пытаемся выработать оптимальные процедуры, позволяющие избежать неприятностей», — сказал Крис Уайсопал (Chris Wysopal), директор по исследованиям и разработкам компании @Stake и один из двух авторов RFC.

Спор о правилах разглашения информации об уязвимостях ведут две основные партии. Специалисты из секьюрити-фирм объясняют, что они хотят как можно быстрее обнародовать свои находки, чтобы заставить производителей ПО оперативнее реагировать на обнаруженные ошибки. Производители возражают на это, говоря, что у них не остается времени на решение проблемы и что такие публикации только на руку злоумышленникам. Некоторые софтверные компании по понятным причинам хотели бы вообще избежать любого открытого обсуждения ошибок в своих продуктах. А для специалистов по безопасности гласность тоже играет важную роль: поимка производителя ПО на промахе ведет к широкому освещению их персон в СМИ.

В начале февраля секьюрити-фирма Cigital подлила масла в огонь этих дебатов, сообщив в The Wall Street Journal о пробелах в защите последней версии инструментария Microsoft для создания Windows- и .Net-приложений. Компания оставила Microsoft на ответ менее 12 часов, обнародовав эту информацию в день официального выпуска продукта. Некоторых такие действия Cigital возмутили, но другие защищали ее. Поэтому неудивительно, что разработчики ПО стараются разобраться в вопросе об ответственной огласке.

Проект RFC требует, чтобы специалисты, нашедшие дефекты в ПО, сообщали о них производителю продукта или, если с компанией связаться не удается, надежному независимому координатору, такому как Координационный центр CERT (Computer Emergency Response Team) при Университете Карнеги-Меллона. Получив оповещение, производитель ПО должен отреагировать на него в течение семи дней, а если первый ответ был формальным, то прислать более подробный отзыв в течение 10 дней. Кроме того, авторы проекта предлагают потребовать, чтобы производитель ПО еженедельно информировал специалиста о ходе решения проблемы и постарался решить ее в течение месяца после оповещения.

RFC не связывает производителей ПО каким-то определенным сроком решения проблемы. Если компания работает добросовестно, говорят авторы проекта, то специалист не должен свою находку предавать огласке. Проект предлагает также, чтобы каждая софтверная компания имела специальный адрес e-mail для секьюрити-сообщений, поступающих от экспертов по информационной безопасности. В качестве такого адреса рекомендуется secalert@companyname.com.

Если эти усилия принесут свои плоды, то, как говорит Макклур из Foundstone, «новые и существующие компании согласуют руководящие принципы устранения уязвимостей и примут их». Ожидается, что организация по интернет-безопасности объявит о своей окончательной структуре и названии в ближайшие два месяца.

Предыдущие публикации:

2000-10-09		CERT будет публиковать обнаруженные в системах лазейки
2002-02-17		Спор по поводу «ошибки» Microsoft не утихает
2002-02-21		Microsoft готовит секьюрити-сканер

В продолжение темы:

2002-02-26		Microsoft предупреждает о серьезных ошибках
2002-04-01		Microsoft залатала IE, но ее проблемы не закончились
2002-10-10		CERT предупреждает о подлоге в SendMail

Обсуждение и комментарии

	lmike 26 Feb 2002 12:24 PM
Понимаю следующее. Билли не хочет, что бы о глюкооблии его стряпни кто-то знал! Может тогда и баглисты его продуктов не нужны - зачем выдавать комерческую тайну ;))

	RoN - rodionlenta.ru 26 Feb 2002 12:51 PM
Блин... Детский сад. (О предыдущем постинге)

← январь 2002

18 19 20 21 22 23 24 25 26

март 2002 →