- Lapp hullet kjapt, eller bli eksponert

- Lapp hullet kjapt, eller bli eksponert

Verdens største dusørprogram med ny deadline til leverandørene.

Verdens største dusørprogram for sikkerhetshull gir programvareleverandører heretter maksimalt seks måneders deadline. Om hullet ikke er lappet innen seks måneder, vil Tippingpoints Zero Day Initiative (ZDI) gi ut informasjon om hullet, og dermed kan ondsinnede hackere utnytte det.

ZDI kjøper sårbarheter i programvare fra uavhengige sikkerhetsforskere og rapporterer dem videre til leverandørene. Leverandørene bruker igjen informasjonen til å lappe sammen programvaren sin. Før har ZDI pleid å holde tilbake informasjon om hullene helt til hullet ble lappet, uavhengig av hvor lang tid det tok. Men nå skjerpes rutinene.

Kan flytte streken

Etter seks måneder vil ZDI nå gi ut ”begrensede detaljer” om sårbarheten, og eventuelle midlertidige løsninger brukeren kan beskytte seg på. Men det finnes unntak, skriver Computerworlds nyhetstjeneste.

- For sårbarheter som kan ha større innvirkning, slik som hull i kjernen av operativsystemet, vil vi gi en utvidelse. Vi vil vurdere det på sak-til-sak-basis. Hull i Windows-kjernen kan være et godt eksempel på en sårbarhet som kan få utvidet tidsfristen, sier Aaron Portnoy, leder for forskningsteamet til HP Tippingpoint.

- Men om vi gir en utvidelse vil sørge for gjennomsiktighet i prosessen og publisere den helhetlige kommunikasjonen mellom oss leverandøren når hullet er lappet.

Kommunikasjonen mellom sikkerhetsforskere og leverandører kan være vel så interessant som selve hullet, og noen ganger mer interessant, fordi det gir et bak-kulissene-innblikk i programvareselskapenes holdning til hull-forskerne og sårbarheter.

Lang backlog

Portnoy forklarer at ZDI har planlagt dette grepet i lengre tid, og at det ikke har noe med debatten som blusset opp i juni å gjøre. I juni raste debatten etter at en Google-forsker offentliggjorde et hull i Windows få dager etter å ha varslet Microsoft om hullet, lenge før Microsoft var i stand til å tette hullet.

Problemet for ZDI har vært at leverandørene er altfor trege.

- Vi må holde orden på noen av disse hullene i to – tre år, og det bremser oss, sier Portnoy.

For tiden har de en logg med 31 kritiske hull som de har rapportert til de aktuelle leverandørene for over et år siden.

- Leverandørene bør ha ansvaret for å fikse disse feilene, sier han.

Med det nye grepet vil de presse leverandørene.

- Ved å slippe litt informasjon setter det leverandørene i søkelyset, sier Portnoy.

- Det er uansvarlig å sitte på hullet i en evighet.

Blandede reaksjoner

Microsoft, som hyppig mottar rapporter fra ZDI, er ikke særlig begeistret over det nye, stramme regimet.

- Det er trolig kun når det skjer angrep aktivt at offentliggjøring, fokusert på hvordan man kan sikre seg, er den beste handlingen. Og også da bør det skje så koordinert som mulig, sier Microsoft-direktør Dave Forstrom.

Mens andre applauderer initiativet, selv om de gjerne skulle sett en enda strammere deadline.

- Dette har vi ventet på. ZDI er i en vanskelig posisjon. De må balansere hensynet til offentliggjøring mot sikkerhetsprogrammer de er med, i som MAAP (Microsoft Active Protection Program). Dette er trolig det mest aggressive de kunne få til, men jeg synes seks måneder er litt generøst, sier HD Moore, sikkerhetssjef i selskapet Rapid7 og skaperen av penetrasjonstestverktøyet Metasploit.

I MAAP gis det ut teknisk informasjon om Microsoft-hull til dyktige programutviklere før lappesakene slippes.

Ifølge Portnoy vil imidlertid den nye stramme politikken hjelpe brukere, og ikke skade dem.

- Vi gir ikke ut nok informasjon til at en angriper kan lage en utnyttelse. Men jo kortere vi gjør den tidsmessige muligheten for angrep, jo bedre.

Les om: