Megregulázott biztonsági rések

A biztonsági kutatók és a sérülékenységek felfedezésével foglalkozó szakemberek eddig is többféle módon értesíthették a fejlesztőket, ha egy biztonsági résre akadtak. Egyik lehetőségként közvetlenül jelezhetik a felfedezésüket a gyártóknak, amelyek több esetben jutalmazzák is a bejelentőket. Többek között a Mozilla, a Google és a Facebook is indított olyan programokat, amelyek keretében pénzjutalommal ösztökélik a kutatókat arra, hogy elsőként a fejlesztőknek jelezzék a sebezhetőségeket, és azokat legalább a hibajavításokig ne kürtöljék világgá. A szakemberek számára egy másik lehetőség is adott a sérülékenységek jelzésére: biztonsági cégeken keresztül oszthatják meg a felfedezéseiket, amelyekért szintén kaphatnak pénzt. Ebből a szempontból a legismertebb két kezdeményezésnek a TippingPoint Zero Day Initiative és a Verisign iDefense Labs Vulnerability Contributor Program tekinthető. A dán székhelyű Secunia azonban úgy látta, hogy van egy rés e piaci szegmensben, ezért egy új megoldással rukkolt elő.

Az úgynevezett SVCRP (Secunia Vulnerability Coordination Reward Programme) programjával a biztonsági cég nem kíván versenybe szállni az előbbiekben említett kezdeményezésekkel, hanem azt inkább az eddig is létező lehetőségek kiegészítéseként működteti. A Secunia az SVCRP köré nem épít fel összetett üzleti modellt. A cél sokkal inkább az, hogy egy olyan helyet teremtsen a kutatók számára, ahol azon sebezhetőségekről is beszámolhatnak, amelyeket máshol nem vettek számításba. Az pedig nyilvánvaló, hogy az így begyűjtött adatokból a Secunia is profitálni fog, hiszen a saját, patch menedzsment megoldásaival gyorsabban tud majd reagálni a különféle sérülékenységekre.

A biztonsági cég hangsúlyozta, hogy - eltérően a versenytársaitól - mindenki számára elérhetővé fogja tenni a sebezhetőségekkel kapcsolatos információkat, és azokat nemcsak a kiemelt, fizetős ügyfeleinek fogja a rendelkezésére bocsátani. Természetesen figyel majd arra, hogy olyan mélységű információk ne kerülhessenek ideje korán ki az internetre, amelyek a frissítések megjelenése előtt veszélyeztethetnék a rendszereket.

A Secunia kiemelte, hogy az eddigi szokásoktól eltérően a hibák bejelentőitől nem kér exploit kódokat, azaz elegendő az is, ha valaki egy sérülékenységről olyan módon beszámol, hogy a hibajelenséget reprodukálni lehessen. A Secunia kutatói minden esetben ellenőrzésnek, vizsgálatnak vetik alá a bejelentéseket, és csak akkor teszik közzé a hibákról szóló beszámolókat, ha azok megerősítést nyertek. A biztonsági cég úgy látja, hogy sok olyan kiváló biztonsági kutató van, akik a sebezhetőségek feltárása terén remekelnek, ugyanakkor nem erősségük az exploit írás. Ugyanez természetesen fordítva is igaz, ezért a két "funkciót" igyekezett szétválasztani.

A Secunia várhatóan az esetek többségében nem fog fizetni a sérülékenységek bejelentéséért, de ha a gyártók úgy gondolják, hogy jutalmazzák a sebezhetőségek felfedezőit, akkor ilyen módon pénzhez lehet jutni. A biztonsági cég minden évben szervezni fog egy konferenciát, amelyre a legproduktívabb kutatókat, és a legjobb minőségű hibaleírásokat beküldő szakembereket is meg fogja hívni.