На главную страницу AlgoNet В сотрудничестве с ZDNet
АРХИВ СТАТЕЙ 2000-10-9 на главную / новости от 2000-10-9
AlgoNet.ru
поиск

 

Место для Вашей рекламы!

 

Все новости от 9 октября 2000 г.

CERT будет публиковать обнаруженные в системах лазейки

Похоже, борьба, которой вот уже десятилетие охвачено сообщество специалистов по защите информации, близится к концу. Организация The Computer Emergency Response Team (CERT) решила перейти к открытому обсуждению дефектов ПО, имеющих отношение к безопасности.

Координационный центр CERT при Университете Карнеги-Меллона в Питсбурге, который отслеживает существующие угрозы безопасности и публикует свои рекомендации, будет по-прежнему придерживаться политики неразглашения способов использования лазеек. Но только в течение 45 дней. По истечении этого срока все они будут становиться достоянием гласности.

Изменение политики CERT означает, что традиционно консервативные организации все же склоняются к тому, чтобы обнародовать сведения о слабых местах защиты программ, которые до сих пор сохранялись в тайне. «Индустрия отказывается от крайностей, — говорит ответственный за политику Координационного центра CERT в этой области Шон Гернан (Shawn Hernan). — Сторонники одного подхода приветствуют немедленную и полную публикацию, а другого — ратуют за полное молчание. Тенденция, которую я наблюдаю, лежит где-то посредине».

Для членов CERT эта перемена мало что означает, а вот компании начнут испытывать давление, что вынудит их производить более качественное и надежно защищенное ПО.

Конфликт двух лагерей
Три месяца назад Макус Ранум (Macus Ranum), известный специалист по защите информации и основатель компании Network Flight Recorder, производящей ПО контроля за проникновениями, настоятельно призывал сообщество профессионалов в этой области сохранять в тайне обнаруженные ими пробелы в интернет-ПО и отказаться от создания инструментов, помогающих искать такие пробелы. «Открытая публикация способствует созданию полчищ скрипт-взломщиков», — сказал Ранум в июле на конференции Black Hat Security Briefings. Он дошел до того, что назвал создателей хакерских инструментов «торговцами оружием», которых проблемы безопасности фактически не волнуют. «Распространение этих инструментов не способствует решению проблем», — заявил он. Но большинство профессионалов, в отличие от Ранума, который славится в отрасли своими черно-белыми взглядами на эту проблему, склоняется к промежуточному, серому подходу. Один из них — главный технолог отраслевого информационного веб-сайта SecurityFocus.com Элиас Леви (Elias Levy). «За последние десять лет полная гласность превратилась из крайности в приемлемую точку зрения», — говорит он.

Никаких секретов
Через свою почтовую рассылку SecurityFocus регулярно распространяет информацию о пробелах в защите, а иногда и исходный код. «Из всех проблем полной гласности наиболее спорной является проблема эксплойтов», — считает он. Многие утверждают, что эксплойты — исходный код, иллюстрирующий, каким образом любой программист может воспользоваться лазейкой, — только вредят индустрии, способствуя обучению злоумышленников. Однако Леви утверждает, что часто эксплойты бывают необходимы. «Очень часто это лучший способ объяснить суть проблемы, — говорит он. — В других случаях без эксполойта невозможно доказать производителю, что злоумышленники действительно могут воспользоваться лазейкой». В насмешку над такими производителями, которым это нужно доказывать, группа The L0pht, входящая теперь в состав компании @Stake, поместила на своем сайте следующее заявление: «„Данная лазейка представляет чисто теоретический интерес”. — Microsoft. L0pht превращает теорию в практику с 1992 года».

И все же компаниям есть чего опасаться. Пресса пестрит сообщениями о том, что специалисты публикуют информацию о лазейках и эксплойты сразу же после того, как поставят в известность производителей дефектного ПО, — или одновременно с этим. Вот свежий пример: в четверг болгарский охотник за багами Георгий Гунинский обнаружил в Microsoft Internet Explorer 5.5 лазейку, которая позволяет злоумышленнику читать, записывать и исполнять на ПК файлы определенного типа. Прежде чем обнародовать свое открытие, Гунинский дал Microsoft 24 часа.

Координационный центр CERT надеется, что его решение, а также переговоры, которые он ведет с некоторыми крупными фирмами, специализирующимися на информационной безопасности, остановит искателей славы. «Мы хотим создать общепринятую практику публикации сведений о лазейках, — говорит Гернан. — Пользователям нужна информация, чтобы оценивать риск, а производителям — время, чтобы подготовиться. Это попытка заставить сообщество вести себя рационально». CERT обещает публиковать имя нашедшего баг и свои рекомендации по истечении 45-дневного периода ожидания.

 В продолжение темы:
2001-12-06   Атакован сайт CERT, наблюдающий за деятельностью хакеров
2002-02-22   Организация по интернет-безопасности будет собирать всех «клопов»
Обсуждение и комментарии
Dmitry Semendjaev - forexdelfi.lv
23 Nov 2000 5:23 PM
Go to www.forexnet.lv
Vse exploits zdesj !!!
 

 

← сентябрь 2000 3  4  5  6  9  10  11  12  13 ноябрь 2000 →
Реклама!
 

 

Место для Вашей рекламы!