Kiistaa turva-aukkojen julkaisuista
0
Pitäisikö turva-aukoista kertoa heti, kun ne on löydetty vai olisiko ohjelmistotaloille annettava aikaa niiden paikkaamiseen? Tästä asiasta on taitettu peistä jo pitkään. "Ohjelmistoteollisuus on buginmetsästäjien armoilla", Mozillan turvapäällikkö Window Snyder valitti viikonvaihteessa pidetyssä hakkerikonferenssissa.
Shmoocon-konferenssin paneelikeskustelua Washingtonissa oli seuraamassa News.com-uutispalvelu. Sen raportin mukaan Snyder totesi turva-aukkojen löytäjien tekevän päätökset siitä, saako ohjelmistotalo aikaa tuotteensa paikkaamiseen vaiko ei. Hänen mielestään 30 päivän armonaika softan kirjoittajalle olisi kohtuullinen.
"Arvostan heidän tekemäänsä työtä ja olen kiitollinen, jos saamme hieman etumatkaa ennen kuin aukko julkistetaan koko maailmalle. 30 päivää olisi hieno asia, mutta tyydymme siihen, mitä saamme", Snyder totesi.
Softataloissa ylimielisyyttä
Turva-aukkojen metsästäjät eivät ole varsin innoissaan suoja-ajasta. Huonojen kokemusten takia kiusaus kertoa löydöistä saman tien kasvaa. Softatalo ei kenties reagoi millään tavoin ilmoituksen saatuaan. Jos korjauksia tehdään, toiminta on usein hidasta. Lisäksi aukon alkuperäinen löytäjä saattaa jäädä vaille kunniaa työstään.
"Suoja-ajoilla pelataan Microsoftin kaltaisten suurten talojen pussiin, ne yrittävät päästä valvomaan prosessia. Älkää antako tietojanne valmistajille ilmaiseksi, myykää ne meille", yllyttää tietoturvatalo Immunitya keskustelussa edustanut David Aitel.
Tietoturvaa tutkivan Veracoden toimitusjohtaja Chris Wysopal piti suurena vääryytenä, että ohjelmistotalot uhkailevat tuotteidensa vikoja paljastaneita tutkijoita. "Tällainen on varsin yleistä. Vioista raportoiminen tuotteen valmistajalle on tietysti vastuuntuntoista toimintaa, mutta se ei useinkaan johda mihinkään, ellei taustalla ole uhkaa aukon julkistamisesta. Julkistaminen on ainoa tapa saada korjauksia", hän moitti.
