В четверг Microsoft и другие производители ПО встретились с несколькими секьюрити-компаниями, чтобы уточнить последние детали, касающиеся создания новой организации, которая должна устанавливать правила распространения информации об ошибках в программном обеспечении, относящихся к интернет-безопасности.

Группа с рабочим названием «Организация по интернет-безопасности» (Organization for Internet Safety, OIS) находится в стадии формирования; ее состав и правила работы еще до конца не определены. Переговоры ведутся в Сан-Хосе на конференции RSA Conference 2002. Стюарт Макклур (Stuart McClure), член OIS и президент компании Foundstone, считает, что секьюрити-индустрии крайне необходима такая организация. «Сегодня для софтверных компаний не существует единой процедуры или правил, регламентирующих обнародование информации об уязвимостях, — говорит он. — Это было бы чрезвычайно полезно».

Организация родилась в результате дискуссий между Microsoft и рядом секьюрити-фирм по поводу ответственного информирования об ошибках в ПО, влияющих на безопасность бизнеса. Эти дискуссии привели к анонсированию новой организации в ноябре прошлого года на конференции Microsoft Trusted Computing. Первоначально в нее вошли Microsoft и секьюрити-фирмы Foundstone, @Stake, Guardent, BindView и Internet Security Systems.

Задержка сообщений о багах и убеждение серьезных исследователей давать производителям время на решение проблем в их ПО, прежде чем они станут достоянием гласности, играют важную роль в усилиях Microsoft по сдерживанию эффекта, производимого обнаруживаемыми в ее продуктах уязвимостями. На этой неделе два эксперта по цифровой безопасности предложили проект документа, определяющего, что следует понимать под ответственным сообщением о секьюрити-багах. Проект, составленный в форме приглашения к обсуждению (request for comment, RFC), ставит своей целью помочь компаниям исключить уязвимости, минимизировать ущерб от секьюрити-багов для заказчиков и предложить инструменты для выявления уязвимостей и организации процесса их устранения. «Мы хотим предложить стандарты информирования об уязвимостях и пытаемся выработать оптимальные процедуры, позволяющие избежать неприятностей», — сказал Крис Уайсопал (Chris Wysopal), директор по исследованиям и разработкам компании @Stake и один из двух авторов RFC.

Спор о правилах разглашения информации об уязвимостях ведут две основные партии. Специалисты из секьюрити-фирм объясняют, что они хотят как можно быстрее обнародовать свои находки, чтобы заставить производителей ПО оперативнее реагировать на обнаруженные ошибки. Производители возражают на это, говоря, что у них не остается времени на решение проблемы и что такие публикации только на руку злоумышленникам. Некоторые софтверные компании по понятным причинам хотели бы вообще избежать любого открытого обсуждения ошибок в своих продуктах. А для специалистов по безопасности гласность тоже играет важную роль: поимка производителя ПО на промахе ведет к широкому освещению их персон в СМИ.

В начале февраля секьюрити-фирма Cigital подлила масла в огонь этих дебатов, сообщив в The Wall Street Journal о пробелах в защите последней версии инструментария Microsoft для создания Windows- и .Net-приложений. Компания оставила Microsoft на ответ менее 12 часов, обнародовав эту информацию в день официального выпуска продукта. Некоторых такие действия Cigital возмутили, но другие защищали ее. Поэтому неудивительно, что разработчики ПО стараются разобраться в вопросе об ответственной огласке.

Проект RFC требует, чтобы специалисты, нашедшие дефекты в ПО, сообщали о них производителю продукта или, если с компанией связаться не удается, надежному независимому координатору, такому как Координационный центр CERT (Computer Emergency Response Team) при Университете Карнеги-Меллона. Получив оповещение, производитель ПО должен отреагировать на него в течение семи дней, а если первый ответ был формальным, то прислать более подробный отзыв в течение 10 дней. Кроме того, авторы проекта предлагают потребовать, чтобы производитель ПО еженедельно информировал специалиста о ходе решения проблемы и постарался решить ее в течение месяца после оповещения.

RFC не связывает производителей ПО каким-то определенным сроком решения проблемы. Если компания работает добросовестно, говорят авторы проекта, то специалист не должен свою находку предавать огласке. Проект предлагает также, чтобы каждая софтверная компания имела специальный адрес e-mail для секьюрити-сообщений, поступающих от экспертов по информационной безопасности. В качестве такого адреса рекомендуется secalert@companyname.com.

Если эти усилия принесут свои плоды, то, как говорит Макклур из Foundstone, «новые и существующие компании согласуют руководящие принципы устранения уязвимостей и примут их». Ожидается, что организация по интернет-безопасности объявит о своей окончательной структуре и названии в ближайшие два месяца.

	Библиотека Интернет Индустрии I2R.ru	Малобюджетные сайты... Продвижение веб-сайта... Контент и авторское право...
Забобрить! Блог		Поиск:	Рассылки для занятых...»

Библиотека Интернет Индустрии I2R.ru

Малобюджетные сайты...

Продвижение веб-сайта...

Контент и авторское право...

Организация по интернет-безопасности будет собирать всех «клопов»