Mennyi idő kell egy biztonsági rés befoltozásához?

A biztonsági sérülékenységek feltárásával, kezelésével, illetve a hibajavítások koordinálásával számos szervezet és vállalat foglalkozik világszerte. Ezek gyakran nemcsak saját biztonsági kutatócsapattal rendelkeznek, hanem külső forrásokból is igyekeznek minél több biztonsági résről információt szerezni. Az egyik ilyen szervezet a HP TippingPoint, melynek nevéhez egy olyan jutalmazási rendszer is kapcsolódik, amely a biztonsági rések felfedezőit, bejelentőit díjazza. A TippingPoint a sérülékenységi információkat megvásárolja, majd a biztonsági problémákat közli a gyártókkal, anélkül, hogy a hibák kihasználásához szükséges információkat nyilvánosságra hozná. Mivel azonban korábban gyakran nem sikerült kellő mértékben arra ösztökélni a fejlesztőket, hogy mihamarabb szüntessék meg a sebezhetőségeket, ezért a szervezet 2010 közepén úgy határozott, hogy amennyiben a bejelentéstől számított hat hónapon belül nem születik megoldás egy biztonsági problémára, akkor nyilvánosságra hozza annak létezését, és korlátozott mennyiségben ugyan, de információkat közöl az adott hibáról.

Elfogyó a türelem

Nyilvánvalóan a legtöbb cég igyekszik minél hamarabb kijavítani a tudomására jutó sérülékenységeket. Ugyanakkor akad arra is példa, hogy évekig nem születik megoldás egy problémára. Ezt viszont a sebezhetőségekkel foglalkozó szervezetek nem nézik jó szemmel, és úgy gondolják, hogy ha egy cég részéről nincs meg a kellő elkötelezettség a biztonsági rések mielőbbi befoltozása iránt, akkor lépniük kell. A HP TippingPoint mellett immár a Secunia is így vélekedik, hiszen bejelentette, hogy szigorítani fog az eddigi szabályain.

A Secunia 2003-ban határozott úgy, hogy egy év haladékot ad arra, hogy az érintett fejlesztők értesítését követően a sebezhetőségek javítása megszülessen. Azonban ez a 12 hónapos türelmi idő nem bizonyult hatékonynak, ezért a Secunia mostantól hat hónapos haladékot ad a fejlesztőknek arra, hogy orvosolják a biztonsági hibákat. Ezt követően a nyilvánossághoz fordul, és információkat tesz közzé a ki nem javított hibákkal kapcsolatban.

Nem lehet általánosítani

"Fontos, hogy meghatározzunk egy olyan határidőt, ami kellő mennyiségű időt ad arra, hogy a cégek ki tudják fejleszteni a megfelelő patch-eket, miközben nem nyújt lehetőséget a túlzott lazaságra" - mondta Carsten Eiram, a Secunia biztonsági vezetője.

Brad Arkin, az Adobe termékbiztonságért felelős elnöke szerint a hat hónapos időkeret általában elfogadható ahhoz, hogy a sérülékenységeket ki lehessen javítani. Azonban nem célszerű egy egységes határidőt meghatározni, ugyanis minden hibát egyedileg kell kezelni. Vannak olyan esetek, amikor egy sebezhetőség orvoslása egyben architektúrális változtatásokat is feltételez, ami már korántsem biztos, hogy hat hónap alatt levezényelhető. Ezzel egyébként a Secunia is tisztában van, ezért jelezte, hogy indokolt esetben további hat hónappal hajlandó meghosszabbítani a türelmi időt.

Carsten Eiram, a Microsoft Trustworthy Computing Group incidenskezelési igazgatója is úgy látja, hogy minden egyes sérülékenység más és más, ezért e tekintetben nincs igazán szükség általános érvényű szabványokra, előírásokra. Ehelyett inkább minden fejlesztőcégnek saját szabályokat kellene alkalmaznia, amik megfelelnek az elvárásaiknak.

Nem célszerű kiteríteni a lapokat

Biztonsági szakértők már többször felhívták a figyelmet arra, hogy határidő ide vagy oda, soha nem célszerű az egyes sérülékenységek teljes technikai leírását közzétenni, hiszen az indokolatlanul segíti a kiberbűnözést. A Secunia is közölte, hogy a türelmi idő lejárta után nem fogja kiteríteni az összes lapját, viszont felhívta a figyelmet arra, hogy azon kutatók, akik először neki jeleznek egy biztonsági rést az SVCRP (Secunia Vulnerability Coordination Reward Programme) programjának keretében, azok hat hónap után szabadon nyilvánosságra hozhatják a felfedezéseik részleteit.