В официальном сообщении на блоге руководитель Verizon Risk Intelligence Вэйд
Бейкер и специалист этого отделения Дэйв Кеннеди обрушились с критикой на
исследователей, раскрывающих уязвимости в программных продуктах, назвав их
"самовлюбленными подстрекателями к использованию брешей" и сравнив с
преступниками.

Авторы

поста пишут: "Вы когда-нибудь слышали о том, как террориста называют
"инженером по сносу"? А чтобы вора называли слесарем? Нет? Это потому, что в
отличие от индустрии информационной безопасности, остальные научились отделять
хороших парней от плохих".

В заметке сотрудники Verizon сочли себя вправе назвать экспертов,
раскрывающих бреши, "самовлюбленными подстрекателями", которые "единственно ради
собственного удовольствия и восхваления наносят урон бизнесу путем
безответственного разглашения информации, делающей мир менее безопасным".

Проблема такого сравнения – не только в том, что всех без разбора экспертов
одевают в волчьи шкуры и называют пустопорожними людьми. Как показывает опыт
последнего хакерского конкурса Pwn2Own, на разработчиков ПО в вопросах
обеспечения его безопасности полагаться никак нельзя, поэтому исследователи,
вооруженные реально существующими уязвимостями, крайне важны для проверки
деятельности программистов и для стимулирования их работы по обнаружению и
своевременному закрытию багов.

Без них пользоваться эксплоитами будут те люди, которые регулярно совершают
нападения на компании из списка Fortune 500 и которые не утруждают себя тем,
чтобы после проведения атаки поставить разработчиков в известность о том, что их
программное обеспечение имеет те или иные изъяны.

В качестве последнего примера действенности политики разглашения уязвимостей
служит недавний эпизод с исследователем Тэвисом Орманди, который в начале этого
месяца нашел баг в
виртуальной машине Java, позволяющий с легкостью устанавливать вредоносное
ПО на компьютеры конечных пользователей.

В ходе приватного обсуждения программисты Oracle сказали Орманди, что
найденная им брешь не заслуживает того, чтобы выпускать патч вне запланированной
на июль даты. Однако, спустя пять дней после того, как Орманди опубликовал
сведения об этой уязвимости, она была
пропатчена досрочно.

Безусловно, будет лучше, если все компании, включая саму Verizon, будут
патчить свои программные продукты без посторонней помощи. Пока же они не
способны делать этого сами, мы продолжим называть исследователей
исследователями, а не "самовлюбленными подстрекателями".

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

    • Открыть комментарии
    Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии