По словам скупщика багов, IBM, HP и Microsoft возглавляют список отстающих

Картинка: 

IBM, HP и Microsoft возглавили список компаний, которые не выпускали в течение 6 месяцев патчи после уведомления со стороны крупнейшей в мире программы по охоте за багами.

На протяжении 2011 года TippingPoint, подразделение HP, в общей сложности выпустило 29 отчетов о "zero-day" уязвимостях, которые 6 или более месяцев не закрывались производителями. 10 из 29 – это баги в ПО IBM, 6 – в собственном ПО HP и 5 – в продуктах Microsoft.

Среди других компаний, которые не торопятся выпускать патчи – CA, Cisco и EMC.

TippingPoint, которая является спонсором ежегодного состязания хакеров Pwn2Own, покупает уязвимости у независимых исследователей безопасности и тайно сообщает о них производителям, а затем использует информацию для разработки своей собственной защиты.

В середине 2010 в TippingPoint объявили, что в случае, если производитель не исправит уязвимости в течение полугода, ее обнародуют вместе с отчетом, содержащим "ограниченные подробности" бага.

TippingPoint выпустила свой первый отчет об уязвимостях нулевого дня 7 февраля 2011.

В прошлом году в TippingPoint сказали, что они выбрали крайний срок в 6 месяцев для того, чтобы заставить производителей быстрее работать над выпуском патчей. "Публикация ограниченной информации привлекает внимание к производителям", - сказал в интервью Аарон Портной, глава исследовательской команды TippingPoint.

Сегодня Портной и Дерек Браун, исследователь из ZDI, рассказали, что программа более-менее сработала.

"Теперь мы лучше чувствуем реакцию со стороны производителей", - отметил Браун. "Если компании не демонстрируют должной добросовестности, и, несмотря на проведенную с ними работу, не торопятся выпускать патч, мы публикуем информацию в виде отчета".

"Дело не в воздействии уязвимости, а в восприятии", - утверждает Портной. "Производители испытывают давление, потому что количество неисправленных уязвимостей может изменить восприятие защищенности продукта".

Портной также рассказал о некоторых успешных историях.

"Некоторые команды безопасности поблагодарили нас за то, что мы делаем", - сказал он. "Таким образом у них появилось больше ресурсов для создания экономического обоснования".

Из пяти уязвимостей Office, раскрытых ZDI 7 февраля 2011 года, Microsoft исправила все пять в своих бюллетенях за апрель 2011 MS11-021, MS11-022 и MS11-023. ZDI передала Microsoft эти уязвимости в три захода: 30 июня, 20 июля и 25 августа 2010 года.

IBM и HP так и не исправили 16 уязвимостей, о которых сообщили еще два или даже три года назад, и которые были опубликованы в отчетах.

Портной и Браун предрекают рекорды ZDI в следующем году благодаря давлению полугодичного срока. В 2011 группа независимых исследователей составила 350 отчетов об уязвимостях, что на 16% больше, чем в 2010 году.

"Именно благодаря сроку в 6 месяцев мы имеем такие цифры", - объяснил Браун.

Одной из самых интересных тенденций среди багов, купленных в этом году, стал тот факт, что уязвимости SCADA возглавили список.

ZDI получила 6 уязвимостей SCADA в 2011, они влияют на работу ПО от General Electric, Honeywell и InduSoft.

"У нас есть довольно серьезные баги в SCADA", - сказал Браун. "И пока что мы довольны опытом работы с производителями".

ZDI не выпустила отчетов по багам SCADA, которые были обнаружены, но, как сказал Портной, причиной этого является усиленная работа над патчами.

TippingPoint работает вместе с ICS-CERT, подразделением US-CERT, которая, в свою очередь, является частью Министерства Национальной Безопасности, чтобы координировать раскрытие полученных багов SCADA.

Среди других новостей Портной подтвердил, что TippingPoint и ZDI снова станут спонсорами хакерского состязания Pwn2Own, проведение которого намечено на начало марта 2012 в рамках CanSecWest в Ванкувере.

Портной сказал, что ZDI "повысит ставки", изменив как формат состязания, так и призы. Он отказался делиться еще какой-либо информацией о Pwn2Own, но пообещал предоставить больше информации исследователям в начале 2012 года.

xakep.ru