IBM, HP и Microsoft возглавили список компаний, которые не выпускали в
течение 6 месяцев патчи после уведомления со стороны крупнейшей в мире программы
по охоте за багами.
На протяжении 2011 года TippingPoint, подразделение HP, в общей сложности
выпустило 29 отчетов о "zero-day" уязвимостях, которые 6 или более месяцев не
закрывались производителями. 10 из 29 – это баги в ПО IBM, 6 – в собственном ПО
HP и 5 – в продуктах Microsoft.
Среди других компаний, которые не торопятся выпускать патчи – CA, Cisco и EMC.
TippingPoint, которая является спонсором ежегодного состязания хакеров
Pwn2Own, покупает уязвимости у
независимых исследователей безопасности и тайно сообщает о них
производителям, а затем использует информацию для разработки своей собственной
защиты.
В середине 2010 в TippingPoint объявили, что в случае, если производитель не
исправит уязвимости в течение полугода, ее обнародуют вместе с отчетом,
содержащим "ограниченные подробности" бага.
TippingPoint выпустила свой первый отчет об уязвимостях нулевого дня 7
февраля 2011.
В прошлом году в TippingPoint сказали, что они выбрали крайний срок в 6
месяцев для того, чтобы заставить производителей быстрее работать над выпуском
патчей. "Публикация ограниченной информации привлекает внимание к
производителям", - сказал в интервью Аарон Портной, глава исследовательской
команды TippingPoint.
Сегодня Портной и Дерек Браун, исследователь из ZDI, рассказали, что
программа более-менее сработала.
"Теперь мы лучше чувствуем реакцию со стороны производителей", - отметил
Браун. "Если компании не демонстрируют должной добросовестности, и, несмотря на
проведенную с ними работу, не торопятся выпускать патч, мы публикуем информацию
в виде отчета".
"Дело не в воздействии уязвимости, а в восприятии", - утверждает Портной.
"Производители испытывают давление, потому что количество неисправленных
уязвимостей может изменить восприятие защищенности продукта".
Портной также рассказал о некоторых успешных историях.
"Некоторые команды безопасности поблагодарили нас за то, что мы делаем", -
сказал он. "Таким образом у них появилось больше ресурсов для создания
экономического обоснования".
Из пяти уязвимостей Office, раскрытых ZDI 7 февраля 2011 года, Microsoft
исправила все пять в своих бюллетенях за апрель 2011 MS11-021, MS11-022 и
MS11-023. ZDI передала Microsoft эти уязвимости в три захода: 30 июня, 20 июля и
25 августа 2010 года.
IBM и HP так и не исправили 16 уязвимостей, о которых сообщили еще два или
даже три года назад, и которые были опубликованы в отчетах.
Портной и Браун предрекают рекорды ZDI в следующем году благодаря давлению
полугодичного срока. В 2011 группа независимых исследователей составила 350
отчетов об уязвимостях, что на 16% больше, чем в 2010 году.
"Именно благодаря сроку в 6 месяцев мы имеем такие цифры", - объяснил Браун.
Одной из самых интересных тенденций среди багов, купленных в этом году, стал
тот факт, что уязвимости SCADA возглавили список.
ZDI получила 6 уязвимостей SCADA в 2011, они влияют на работу ПО от General
Electric, Honeywell и InduSoft.
"У нас есть довольно серьезные баги в SCADA", - сказал Браун. "И пока что мы
довольны опытом работы с производителями".
ZDI не выпустила отчетов по багам SCADA, которые были обнаружены, но, как
сказал Портной, причиной этого является усиленная работа над патчами.
TippingPoint работает вместе с ICS-CERT, подразделением US-CERT, которая, в
свою очередь, является частью Министерства Национальной Безопасности, чтобы
координировать раскрытие полученных багов SCADA.
Среди других новостей Портной подтвердил, что TippingPoint и ZDI снова станут
спонсорами хакерского состязания Pwn2Own, проведение которого намечено на начало
марта 2012 в рамках CanSecWest в Ванкувере.
Портной сказал, что ZDI "повысит ставки", изменив как формат состязания, так
и призы. Он отказался делиться еще какой-либо информацией о Pwn2Own, но пообещал
предоставить больше информации исследователям в начале 2012 года.
