IBM, HP и Microsoft возглавили список компаний, которые не выпускали в
течение 6 месяцев патчи после уведомления со стороны крупнейшей в мире программы
по охоте за багами.

На протяжении 2011 года TippingPoint, подразделение HP, в общей сложности
выпустило 29 отчетов о "zero-day" уязвимостях, которые 6 или более месяцев не
закрывались производителями. 10 из 29 – это баги в ПО IBM, 6 – в собственном ПО
HP и 5 – в продуктах Microsoft.

Среди других компаний, которые не торопятся выпускать патчи – CA, Cisco и EMC.

TippingPoint, которая является спонсором ежегодного состязания хакеров
Pwn2Own, покупает уязвимости у
независимых исследователей безопасности
и тайно сообщает о них
производителям, а затем использует информацию для разработки своей собственной
защиты.

В середине 2010 в TippingPoint объявили, что в случае, если производитель не
исправит уязвимости в течение полугода, ее обнародуют вместе с отчетом,
содержащим "ограниченные подробности" бага.

TippingPoint выпустила свой первый отчет об уязвимостях нулевого дня 7
февраля 2011.

В прошлом году в TippingPoint сказали, что они выбрали крайний срок в 6
месяцев для того, чтобы заставить производителей быстрее работать над выпуском
патчей. "Публикация ограниченной информации привлекает внимание к
производителям", — сказал в интервью Аарон Портной, глава исследовательской
команды TippingPoint.

Сегодня Портной и Дерек Браун, исследователь из ZDI, рассказали, что
программа более-менее сработала.

"Теперь мы лучше чувствуем реакцию со стороны производителей", — отметил
Браун. "Если компании не демонстрируют должной добросовестности, и, несмотря на
проведенную с ними работу, не торопятся выпускать патч, мы публикуем информацию
в виде отчета".

"Дело не в воздействии уязвимости, а в восприятии", — утверждает Портной.
"Производители испытывают давление, потому что количество неисправленных
уязвимостей может изменить восприятие защищенности продукта".

Портной также рассказал о некоторых успешных историях.

"Некоторые команды безопасности поблагодарили нас за то, что мы делаем", —
сказал он. "Таким образом у них появилось больше ресурсов для создания
экономического обоснования".

Из пяти уязвимостей Office, раскрытых ZDI 7 февраля 2011 года, Microsoft
исправила все пять в своих бюллетенях за апрель 2011 MS11-021, MS11-022 и
MS11-023. ZDI передала Microsoft эти уязвимости в три захода: 30 июня, 20 июля и
25 августа 2010 года.

IBM и HP так и не исправили 16 уязвимостей, о которых сообщили еще два или
даже три года назад, и которые были опубликованы в отчетах.

Портной и Браун предрекают рекорды ZDI в следующем году благодаря давлению
полугодичного срока. В 2011 группа независимых исследователей составила 350
отчетов об уязвимостях, что на 16% больше, чем в 2010 году.

"Именно благодаря сроку в 6 месяцев мы имеем такие цифры", — объяснил Браун.

Одной из самых интересных тенденций среди багов, купленных в этом году, стал
тот факт, что уязвимости SCADA возглавили список.

ZDI получила 6 уязвимостей SCADA в 2011, они влияют на работу ПО от General
Electric, Honeywell и InduSoft.

"У нас есть довольно серьезные баги в SCADA", — сказал Браун. "И пока что мы
довольны опытом работы с производителями".

ZDI не выпустила отчетов по багам SCADA, которые были обнаружены, но, как
сказал Портной, причиной этого является усиленная работа над патчами.

TippingPoint работает вместе с ICS-CERT, подразделением US-CERT, которая, в
свою очередь, является частью Министерства Национальной Безопасности, чтобы
координировать раскрытие полученных багов SCADA.

Среди других новостей Портной подтвердил, что TippingPoint и ZDI снова станут
спонсорами хакерского состязания Pwn2Own, проведение которого намечено на начало
марта 2012 в рамках CanSecWest в Ванкувере.

Портной сказал, что ZDI "повысит ставки", изменив как формат состязания, так
и призы. Он отказался делиться еще какой-либо информацией о Pwn2Own, но пообещал
предоставить больше информации исследователям в начале 2012 года.



Оставить мнение