ソフトウェアメーカーに欠陥の発見:それは投資回収時間です

近年、ソフトウェア企業は、脆弱性が公開される方法と時期をカバーする公開に関する研究者とルールを打ち破ってきました。現在、欠陥発見者は何かを求めています。研究者が報告した穴に取り組むために、ソフトウェアプロバイダからのより多くの情報です。

我々は古い「完全開示」から「責任ある開示」の議論に移り、「ベンダーは情報を持っています – それは何をしていますか」と話しました」とマイクロソフトのセキュリティエンジニアリング戦略担当シニアディレクターのスティーブンリプナー。

ソフトウェアベンダーは、バグ情報を共有する研究者と対話するためのプロトコルを確立する必要がある、と専門家は述べている。もしそうでなければ、欠陥の責任ある開示に向けて進められた進歩を失う危険があります。

多くのバグハンターは、ソフトウェア会社が提唱する「責任ある開示」のガイドラインを理解し、それに従っています。このアプローチでは、欠陥を発見した研究者が最初のステップとして、影響を受けるソフトウェアの製造元に連絡し、脆弱性の詳細を共有します。

過去に、研究者は、修正が利用可能かどうかにかかわらず、メーリングリストやセキュリティWebサイトで見つかったセキュリティ上の欠陥の詳細を公開する完全な開示を支持する傾向がありました。

しかし、企業は、少なくともパッチが用意されるまで、バグの詳細をラップしておく必要があります。彼らはパッチで、欠陥のあるソフトウェアのユーザーが穴を開けることができ、攻撃の可能性から身を守ることができると主張している。対照的に、完全公開のベンダーは、顧客が暴露されている間に欠陥を修正するために慌てて送られます。

最近のブラックハットのセキュリティカンファレンスでのパネルディスカッションを司会したガートナーのアナリスト、ポール・プロクター氏は、「緊張は常に同じだった」と語った。研究者は、ベンダーの攻撃がより強くなり、ベンダーは、 。彼らはどちらもより安全なインターネットという同じ目標を持っていますが、彼らの見解は異なっています。

レンガの壁;多くの研究者が現在、責任ある開示慣行に従っているが、一部の者はその良心が往復していないと感じている。多くの場合、彼らはレンガの壁にぶつかったり、ソフトウェアメーカに限定された応答を得て、仕事に対する敬意を払いません。

米連邦捜査局(FBI)はCrackasのメンバーを逮捕し、米国政府の役人をハッキングした姿勢を示している;セキュリティ、Wordpressはユーザーに重大なセキュリティホールを修正するように今更新するよう強く促す;セキュリティ、ホワイトハウスは連邦最高情報セキュリティ責任者政府の監視による緊急対応

ベンダーが製品を誠意を持って保護し、適切な通信を返さないように支援しようとすると、イライラすることはありません」と、侵入防止システムを販売しているTippingPointのセキュリティレスポンスマネージャー、Terri Forslof氏は述べています。 TippingPointのZero Day Initiativeバグバウンティプログラムを通してベンダーと話し合い、他の人は同意します:彼女のコメントは、多くの研究者がBlack Hatパネルディスカッションで述べた感想を反映しています。

Forslof氏によれば、欠陥発見者を満足させるための簡単なレシピがあります。企業は問題を認識し、修正プログラムのステータスに関する継続的な情報を提供し、更新プログラムの作成に関わるプロセスについて研究者に公開する必要があります。

Black Hatパネリストの一人であり、ソフトウェアメーカーや脆弱性研究者を扱うVeriSignのiDefenseのディレクター、Michael Sutton氏は、次のように述べています。「研究者を定期的に更新するのはベンダーの責任です。問題にパッチを当てる際の進捗状況。

Proctor氏によると、多くの進歩があり、セキュリティ研究者とソフトウェアメーカーは、これまで以上に今日一緒に仕事をしています。しかし、多くの企業がバグハンターに対処するためのより良いプロセスを必要としている、と彼は言った。

私は脆弱性を発見した研究者と協力する積極的で正式なプログラムの成長を見たいと思っています。

ソフトウェアベンダーに問い合わせる欠陥発見者は、通常、ソフトウェアの脆弱性をテストしたいと思っている、よく意図されたセキュリティ専門家、または熱狂者です。 TippingPointやiDefenseを含むいくつかの企業は、発見した欠陥を研究者に払い、製品内の情報を使用して顧客のシステムを保護しています。

しかし、シスコシステムズの最高セキュリティ責任者であるジョン・スチュアート氏は、ブラックハットの議論で、より多くの情報を求める研究者の要求に応えることは容易ではないと述べた。潜在的な欠陥を確認することは、セキュリティに悪影響を及ぼす可能性がある、と彼は述べた。

私たちは、顧客に害を及ぼす可能性のあるものに過度の注意を払うことができます」とStewart氏は言います。「私たちが知る限り、製品には弱点があります。

バグ・ハンターを扱う際には、企業の運営方法はすべて異なります。 Microsoftはセキュリティコミュニティと協力する必要があることを認め、良い例を示しているという。 「シスコは怒りから受け入れへ、オラクルは否定から怒りへと移行している。

シスコでは、ハッカーコミュニティの恵みに熱心に取り組んできました。 Black Hatの出席者のためにラスベガスのナイトクラブでパーティーを行い、上級セキュリティスタッフをイベントに送りました。それは前年とは対照的で、ネットワーキング大手はセキュリティ研究者を訴え、ブラックシェアに続くDefconハッカーイベントで、シスコのスローガンのあるTシャツがうまく売れるほどコミュニティから離れた。

オラクルはセキュリティの面ではやや楽になっているようだ。同社の最高セキュリティ責任者は現在ブログを始めており、エンタープライズソフトウェア企業はセキュリティの話題について報道陣と話している。しかし、それはしばしば研究者に開放的に対処したくないという批判を受けている。

コミュニケーションがなければ、ベンダーは責任ある開示に向けた進展を失う危険があります。カリフォルニア州クパチーノの独立系セキュリティ研究者、トム・フェリス氏は、寒い瞬間的な反応ではなく、バグ・ハンターがソフトウェア企業にますます圧力をかけ、責任あるルートに進むのではなく、欠陥を公開することを明らかにした。

私は、より多くの研究者がベンダーと緊密に協力せず、欠陥を公開する前に30日間の猶予期間を与えているだけだ」とFerris氏は語る。

FBIは、米国の政府関係者をハッキングしたとの態度で、Crackasのメンバーを逮捕した

WordPressは、重要なセキュリティホールを修正するために今アップデートするようユーザに促す

ホワイトハウス、連邦最高情報セキュリティ責任者を任命

国防総省のサイバー緊急対応を批判したペンタゴン