* * * A teljes körű közzétételt korlátozná egy új tervezet * * *
Az Organization for Internet Safety nevű, tizenegy jelentős
szoftvergyártót és biztonsági céget tömörítő szervezet szerdán vázlatot
tett közzé a számítógépes hibák nyilvánosságra hozatalának
szabályozásáról, amelyről kikérik az informatikai biztonsággal foglalkozók
véleményét is.
A harminchét oldalas dokumentum részletes menetrendet határoz meg a
biztonsági hibák bejelentésére és formalizálja a kutatók (fehérgalléros
hackerek) ill. a hibák kijavításáért felelős szoftvercégek közti
kapcsolattartást. A javaslatot előkészítő csoport reményei szerint a
végleges változat széles körű elfogadásra talál majd a szoftveriparban.
''A javaslat lényege a folyamat szabályozása - az a módszer, amellyel a
több fél közt zajló kommunikáció kezelhető.'' - fejtette ki Scott Blake, az
OIS munkájában részt vevő BindView cég alelnöke.
Az OIS hivatalosan csak tavaly szeptemberben alakult, igaz, annak a
Microsoft által szervezett zártkörű biztonsági konferenciának az
eredményeképpen, amelyet közel egy évvel korábban tartottak a
Szilikon-völgyben. A szervezet tagjai közé tartozik a Microsoft, a hozzá
közel álló @stake (korábban L0pth csoport), az SCO, a NAI (McAfee), az
Oracle, az SGI, a FoundStone, a Guardent, az ISS és a Symantec, a
SecurityFocus fórum tulajdonosa.
A csoport legfőbb célja, hogy korlátozza a nyilvánosságnak szánt
biztonsági figyelmeztetésekben a hackerek által is felhasználható
technikai információk megjelentetését.
Ezért a tervezet korlátok közé akarja szorítani azt a bevett, de sokat
vitatott szokást, hogy a hibát felfedezők rögtön egy ún. ''exploit'', azaz
kész kódrészlet publikálásával mutatják be a biztonsági rés
kihasználásának módszerét. Akik vállalják a szabályzat betartását, nem
tehetnének közzé exploit-ot, vagy olyan ''részletes technikai adatokat,
mint a konkrét bemenet, a puffer memóriacímei ill. a szkriptek
kihasználásának stratégiája''.
Csak a gyártó által elkészített hibajavítás megjelenését követően 30
nappal oldódik valamelyest ez a tiltás, amikor a biztonsági rés
felfedezője már exploit-ot vagy technikai konkrétumokat is kiadhat, de
csak olyan ''szervezeteknek, például felsőoktatási intézményeknek, amelyek
a biztonságos szoftverek fejlesztésének módszertanát kutatják''.
Az, hogy ebbe a meghatározásba beleférnek-e olyan népszerű
levelező-fórumok, mint a Bugtraq család vagy [a SecurityFocus
ellensúlyozására alapított] Full Disclosure lista, Blake szerint
szándékosan maradt homályban.
''Ez az egyik olyan kérdés, ahol számítunk a visszajelzésekre. Éppen azért
tettük nyilvánossá a javaslatot, hogy az emberek hozzászólhassanak.'' -
állítja Blake.
A csoport legkésőbb július negyedikéig várja e-mail-ben a hozzászólásokat;
a végleges javaslat előterjesztésére előreláthatóan a július végén Las
Vegas-ban összeülő Black Hat konferencián kerül majd sor.
Magánvélemény:
A következő lépés, hogy magát a hibát sem lehet majd közzétenni és így biztos, hogy hibamentes lesz a szoftver :DDD:DDD:DDD
Szerintem nem ez a biztonság alapja és nem is ez lesz a megoldás, ez csak tüneti kezelése a problémának. A hibajavítás ha kijönne rögtön vagy pár órán/napon belül akkor talán a felhasználóknak nem kellene aggódni. A tendencia viszont nem ez. Félek, hogy az amcsik ezt is jól beszopják és még túl is fogják licitálni önmagukat. Paranoia on.
A tájékoztatót a Virus Hiradó Hirlevél #031. számában találtam.
Elméletileg nincs különbség elmélet és gyakorlat között. Gyakorlatilag van.