Сообщения о лазейках в программном обеспечении: хакеру в помощь?

Производителей программного обеспечения беспокоит, что некоторые «bug-охотники», раскрывающие недостатки и «дыры» в ПО и стремящиеся тут же выпустить публичное предупреждение о найденной угрозе, зачастую могут помогать хакерам больше, чем пользователям.

Это противоречивое утверждение разделяет лагерь специалистов по компьютерной безопасности на две части. Одни из них утверждают, что быстрое и полное раскрытие уязвимости программы заставляет пользователей принять меры предосторожности, а производителей ПО — быстро найти решение проблемы и выпустить соответствующую «заплату».

Другие специалисты говорят, что сообщение относительно уязвимости программного обеспечения не оставляет производителям шанса своевременно устранить проблему и является скорее приглашением для хакеров организовать атаку, т.к. на создание «заплаты» требуется определенное время.

«Должна быть своебразная ‘клятва Гиппократа’ для профессионалов компьютерной защиты», — говорит Джоел Гарза (Joel de la Garza), специалист по интернет-безопасности, — «Правило первое — не навреди. Было бы неплохо, если бы все придерживались этого правила, однако, это маловероятно».

«Bug-охотники» обычно работают внештатно, как «свободные художники» и, распространяя информацию в глобальном масштабе о «дырах» в программах, руководствуются при этом своими собственными правилами. Некоторые из них обнародуют информацию немедленно, другие дают изготовителю сутки на решение проблемы и затем также делают информацию достоянием общественности, а третьи ждут неделю и больше, пока решение не будет найдено. Большинство же из них стремится побыстрее объявить о своей «находке», чтобы прославиться и получить лавры первооткрывателя.

Рон Моритц (Ron Moritz), главный технический специалист корпорации Symantec, производящей антивирусное ПО, является сторонником полного публичного раскрытия информации о найденной уязвимости программного обеспечения: «Иногда угроза — это нечто, что не может быть устранено быстро или немедленно. При объявлении о ‘bug’е сразу, как только он найден, о нем будут знать и ‘хорошие парни’ и ‘плохие парни’, а не только ‘плохие’ — в обратном случае».

В компании Microsoft придерживаются иного мнения. Скот Кулп (Scott Culp), гуру защиты Microsoft говорит, что размещаемая информация, может достичь части людей, которые смогут принять профилактические меры, но она обязательно дойдет до людей, кто сможет использовать ее для атак на других пользователей.

Не так давно одна компания по компьютерной безопасности нашла основную «дыру» в Microsoft Outlook, позволяющую злоумышленнику, «залезть» на компьютер пользователя, просто посылая «жертве» сообщения по e-mail.

Компания Microsoft была уведомлена о «находке» и начала работы по устранению злосчастной ошибки. Но в это время еще один охотник за «bag»-ами обнаружил эту же уязвимость и сделал ее достоянием общественности, без уведомления компании. До окончательного решения проблемы в то время было еще далеко.

Скот Кулп хочет, чтобы «охотники за ошибками» вначале помогли Microsoft найти решение в устранении лазейки в системе безопасности, а потом уже объявляли о своей «находке».

Естественно, у «охотников» есть свое мнение на этот счет. «Я не думаю, что известность о «дыре» в программе вредит общественности», — говорит Гунинский (Guninski), который работает для компании Netscape, — «обнаруживая ошибки в программах, я делаю их более безопасными».

Конечно немногие компании хотели бы, чтобы кто-то посторонний информировал общественность о недостатках в их продуктах. Также и «охотники за ошибками» имеют свои собственные корыстные интересы, такие как промоушен себя лично и своего рода занятий.