Библиотека Интернет Индустрии I2R.ru |
|||
|
Организация по интернет-безопасности будет собирать всех «клопов»25.02.2002 03:00 В четверг Microsoft и другие производители ПО встретились с несколькими секьюрити-компаниями, чтобы уточнить последние детали, касающиеся создания новой организации, которая должна устанавливать правила распространения информации об ошибках в программном обеспечении, относящихся к интернет-безопасности. Группа с рабочим названием «Организация по интернет-безопасности» (Organization for Internet Safety, OIS) находится в стадии формирования; ее состав и правила работы еще до конца не определены. Переговоры ведутся в Сан-Хосе на конференции RSA Conference 2002. Стюарт Макклур (Stuart McClure), член OIS и президент компании Foundstone, считает, что секьюрити-индустрии крайне необходима такая организация. «Сегодня для софтверных компаний не существует единой процедуры или правил, регламентирующих обнародование информации об уязвимостях, — говорит он. — Это было бы чрезвычайно полезно». Организация родилась в результате дискуссий между Microsoft и рядом секьюрити-фирм по поводу ответственного информирования об ошибках в ПО, влияющих на безопасность бизнеса. Эти дискуссии привели к анонсированию новой организации в ноябре прошлого года на конференции Microsoft Trusted Computing. Первоначально в нее вошли Microsoft и секьюрити-фирмы Foundstone, @Stake, Guardent, BindView и Internet Security Systems. Задержка сообщений о багах и убеждение серьезных исследователей давать производителям время на решение проблем в их ПО, прежде чем они станут достоянием гласности, играют важную роль в усилиях Microsoft по сдерживанию эффекта, производимого обнаруживаемыми в ее продуктах уязвимостями. На этой неделе два эксперта по цифровой безопасности предложили проект документа, определяющего, что следует понимать под ответственным сообщением о секьюрити-багах. Проект, составленный в форме приглашения к обсуждению (request for comment, RFC), ставит своей целью помочь компаниям исключить уязвимости, минимизировать ущерб от секьюрити-багов для заказчиков и предложить инструменты для выявления уязвимостей и организации процесса их устранения. «Мы хотим предложить стандарты информирования об уязвимостях и пытаемся выработать оптимальные процедуры, позволяющие избежать неприятностей», — сказал Крис Уайсопал (Chris Wysopal), директор по исследованиям и разработкам компании @Stake и один из двух авторов RFC. Спор о правилах разглашения информации об уязвимостях ведут две основные партии. Специалисты из секьюрити-фирм объясняют, что они хотят как можно быстрее обнародовать свои находки, чтобы заставить производителей ПО оперативнее реагировать на обнаруженные ошибки. Производители возражают на это, говоря, что у них не остается времени на решение проблемы и что такие публикации только на руку злоумышленникам. Некоторые софтверные компании по понятным причинам хотели бы вообще избежать любого открытого обсуждения ошибок в своих продуктах. А для специалистов по безопасности гласность тоже играет важную роль: поимка производителя ПО на промахе ведет к широкому освещению их персон в СМИ. В начале февраля секьюрити-фирма Cigital подлила масла в огонь этих дебатов, сообщив в The Wall Street Journal о пробелах в защите последней версии инструментария Microsoft для создания Windows- и .Net-приложений. Компания оставила Microsoft на ответ менее 12 часов, обнародовав эту информацию в день официального выпуска продукта. Некоторых такие действия Cigital возмутили, но другие защищали ее. Поэтому неудивительно, что разработчики ПО стараются разобраться в вопросе об ответственной огласке. Проект RFC требует, чтобы специалисты, нашедшие дефекты в ПО, сообщали о них производителю продукта или, если с компанией связаться не удается, надежному независимому координатору, такому как Координационный центр CERT (Computer Emergency Response Team) при Университете Карнеги-Меллона. Получив оповещение, производитель ПО должен отреагировать на него в течение семи дней, а если первый ответ был формальным, то прислать более подробный отзыв в течение 10 дней. Кроме того, авторы проекта предлагают потребовать, чтобы производитель ПО еженедельно информировал специалиста о ходе решения проблемы и постарался решить ее в течение месяца после оповещения. RFC не связывает производителей ПО каким-то определенным сроком решения проблемы. Если компания работает добросовестно, говорят авторы проекта, то специалист не должен свою находку предавать огласке. Проект предлагает также, чтобы каждая софтверная компания имела специальный адрес e-mail для секьюрити-сообщений, поступающих от экспертов по информационной безопасности. В качестве такого адреса рекомендуется secalert@companyname.com. Если эти усилия принесут свои плоды, то, как говорит Макклур из Foundstone, «новые и существующие компании согласуют руководящие принципы устранения уязвимостей и примут их». Ожидается, что организация по интернет-безопасности объявит о своей окончательной структуре и названии в ближайшие два месяца. Роберт Лемос последние новости 21.04.2006 19:04 | Аудитория Интернета составляет уже 22% населения России...» 21.04.2006 18:52 | КИБ: первое приближение...» 20.04.2006 21:07 | Livejournal начал показ коммерческой рекламы в дневниках...» 20.04.2006 19:49 | Бегун осваивает блоги и форумы...» 20.04.2006 19:20 | В Firefox обнаружено более 20 дыр...» 20.04.2006 19:11 | "Яндекс.Почта" получила интерфейс на AJAX...» 20.04.2006 18:50 | Новая жизнь "Вебинформа"...» 20.04.2006 18:13 | W3C опубликовала черновик новой версии CSS...» 20.04.2006 18:05 | Пользователи Рунета выскажутся по поводу создания "интернет-правительства"...» 20.04.2006 17:21 | Интернет-баннерам доверяют все меньше пользователей...» 19.04.2006 18:30 | Java станет платной?...» 18.04.2006 17:53 | MySQL получит надежный механизм транзакций...» 17.04.2006 19:00 | «Караван» дарит своим абонентам сервера...» 16.04.2006 16:44 | Форум |The power of "WWW"|...» 14.04.2006 17:44 | Яндекс отдаст миллион за хорошее образование ...» 14.04.2006 17:14 | Книга Вильяма Хортона «The Icon Book»...» 14.04.2006 17:01 | Google открывает веб-календарь...» 14.04.2006 15:03 | 2006: "Премия Рунета" и "Новая Реальность"...» 14.04.2006 14:22 | Подведены итоги РОТОР'a 2006...» 13.04.2006 12:00 | Конкурс Webby отмечает десятилетний юбилей...» |
|
2000-2008 г. Все авторские права соблюдены. |
|