Dwugłos o bezpieczeństwie

TAK

Marc Willebeek-LeMair Chief Technology Officer w 3Com

Niedawno firma 3Com ogłosiła Zero Day Initiative, program, który ma przeciwdziałać zagrożeniom związanym z nowowykrywanymi lukami w zabezpieczeniach, do których nie ma jeszcze łatek zabezpieczających. Kiedy pojawiają się doniesienia o nowej luce, użytkownicy danej technologii w pośpiechu rzucają się do ochrony. Taka nieskoordynowana akcja jest kosztowna, a konsekwencje mogą być groźne. Od momentu, kiedy luka zostaje ujawniona, do chwili, kiedy łatka jest gotowa, a może to trwać nawet miesiącami, nikt nie może czuć się bezpiecznie.

Zasadą programu 3Com jest to, by nagradzać tych, którzy w sposób odpowiedzialny dostarczą firmie informacje o nieszczelnościach w zabezpieczeniach, zamiast publicznie ogłaszać ich istnienie i narażać użytkowników danego produktu. Przekazujemy wtedy otrzymaną informację do dostawcy, którego ona dotyczy, by przygotował odpowiednią poprawkę. Sami zaś chronimy naszych klientów przy użyciu technologii zapobiegania atakom (IPS). Informacja nie jest ujawniana do momentu wypuszczenia łatki. Właśnie taki scenariusz stanowi podstawę naszego wynagradzania badań nad zabezpieczeniami.

Myli się ten, kto twierdzi, że wszystkie osoby poszukujące słabych zabezpieczeń to złośliwi hakerzy. Rzeczywiście, na świecie rośnie społeczność potrafiąca odkryć i rozpoznać nieszczelności w zabezpieczeniach, ale hakerzy to w niej zdecydowana mniejszość. Nierzadko zdarza się, że podczas codziennej pracy eksperci ci wpadają na trop nowej luki. Dlaczego nie nagradzać ich za odpowiedzialne przekazanie takiej informacji?

Nagradzanie odkrywców luk można porównać do opłacania dziennikarzy, którzy wpadli na trop afery. Jeśli niezależny dziennikarz wpadnie na ślad wielkiej afery, dlaczego nie ma zaoferować jej gazecie do publikacji w zamian za pieniądze? Redakcja gazety sprawdza fakty w historii, a 3Com sprawdza prawdziwość przekazanych informacji o lukach. Większość afer - podobnie jak luk w zabezpieczeniach - ostatecznie wyjdzie na jaw. Najlepiej więc, jeśli informacje o nich zostaną przekazane ludziom, którzy zrobią z tego właściwy użytek. W żadnym razie 3Com nie będzie współpracować z hakerami. Aby otrzymać wynagrodzenie, tożsamość eksperta musi być znana i potwierdzona.

Luki "dnia zero" i kurczące się czasowe okno od wykrycia do wykorzystania nieszczelności wymagają użycia systemów zapobiegania atakom. Kupując informację o nieznanych lukach w zabezpieczeniach, możemy wykorzystać tę wiedzę do ochrony wszystkich użytkowników technologii informatycznych.

NIE

Christopher Rouland Chief Technology Officer w ISS

Internet Security Systems zdecydowanie przeciwstawia się handlowaniu lukami w zabezpieczeniach. Powiedzmy to jasno: hakerzy szukają nieszczelności, żeby wykorzystując słabe zabezpieczenia, osiągnąć korzyści finansowe. Handel lukami daje im dodatkową premię.

Niektórzy dostawcy twierdzą, że robią branży przysługę, płacąc za ujawnianie nieszczelności i usuwając błędy w oprogramowaniu. Zgadzam się, że świetnie by było, gdyby hakerzy nie wykorzystywali eksploitów "dnia zerowego", nie dając dostawcom czasu na usunięcie błędu w ich produktach. Popieram także to, aby dostawcy rozwiązań zabezpieczających zbierali informacje "dnia zerowego" i zapewniali ochronę w swych produktach. Ale te cele są lepiej osiągalne przez kontrolowane badania w ramach uznanych organizacji zajmujących się bezpieczeństwem.

ISS wykształcił styl działania, którego celem jest lepsze rozumienie natury nieszczelności w zabezpieczeniach. Chociaż finałem odkrycia nieszczelności jest wydanie poprawki, bardzo istotne okazuje się to, że związane z lukami badania mają zasadnicze znaczenie dla tworzenia profilaktycznej ochrony przed całymi klasami nieszczelności.

Przez dogłębne rozpoznanie istoty nieszczelności w całym systemie, a nie tylko jego poszczególnych słabych punktów, można stworzyć lepszą ochronę. Płacenie za przypadkowe luki nie daje organizatorowi akcji możliwości rozwijania takiej ochrony.

Zwolennicy okupu za luki uzasadniają swoje racje prawami wolnego rynku. Ekonomista Adam Smith dowodził, że istnieje niewidzialna ręka, która reguluje wolny rynek. Jednak nigdy by nie powiedział, że niewidzialna ręka zawsze czyni dobro. Z faktu, że istnieje handel lukami w zabezpieczeniach, nie wynika wcale, że niezależni dostawcy zabezpieczeń powinni w nim uczestniczyć.

Popyt rodzi podaż także w tym przypadku. Znikomy popyt i niskie ceny ograniczały zjawisko w przeszłości. Teraz jedyną receptą na sukces w akcji płacenia za luki jest podbijanie cen. Kupujący musi mieć głębokie kieszenie.

Klienci ufają, że ich dostawcy dokładnie poznali naturę nieszczelności i oferują skuteczne remedium. Programy płacenia za luki burzą to zaufanie. To naiwne sądzić, że hakerzy nie będą grali na dwie strony. Nie ma sposobu, by zagwarantować, że informacje o luce nie zostały sprzedane komuś jeszcze lub że nie zostały zdobyte nielegalnie.

Stworzenie wolnego rynku nieszczelności i zlecenie badań nad lukami w zabezpieczeniach społeczności hakerów o wątpliwych motywach na pewno przyniesie kłopoty.