 |
Анонсът на Badlock предизвика критика от специалисти по инфозащита |
 |
|
В последно време се забелязва една нова и интересна тенденция в областта на информационната сигурност и по-точно в разкриването на различни проблеми в софтуерните продукти. Откривани и запушвани винаги без много шум дълги години наред, в последните няколко години виждаме анонса на уязвимости, които биват представяни едва ли не като някакви звезди. Те не биват съобщавани с идентификационните си номера и неразбрани цифри и строго технически описания. Проблеми като Stagefright, Heartbleed и Shellshock бяха брандирани с оригинални изображения, бяха им дадени стряскащи имена (колко по-запомнящо се звучи Stagefright, отколкото да речем CVE-2015-1538 - една от уязвимостите, свързани с нея), получиха необичайно широко отразяване в медиите, и то не само в IT секциите, появиха се видеа в YouTube, които демонстрираха експлотирането, появиха се бомбастично звучащи заглавия и понякога погрешни обяснения, като например тврдението, че някой проблем може да се експлоатира дистанционно, докато става дума само за проблем при физически достъп единствено и какво ли още не.От една страна, на подобна тенденция няма как да не се погледне с добро. Много хора просто пренебрегват проблемите на сигурността. Освен, ако не говорят много хора за тях. Тогава изведнъж тези хора почват и те да се интересуват от тях. Един голям проблем в областта на информационната сигурност е това, че много хора не са осведомени за опасностите в устройствата, приложенията и Интернет. Знанието е сила, и в този смисъл, в подобни тактики не би трябвало да има нещо лошо. Е, може малко да се преекспонират понякога нещата - да - но пък, ако това е единственият начин за някои хора да обърнат внимание на защитата си, какво пък?! Всъщност, именно това преекспониране, с което понякога боравят разработчици по сигурността, не се харесва винаги от техните колеги. Такъв е и случаят с последната новооткрита „бъг-звезда” - Badlock. В този случай, нещата може и да са отишли по-далеч от просто преекспониране и викане на духове.Badlock представлява проблем, засягащ всички версии на Windows и Samba, който е открит от екип, поддържащ Samba проекта. За проблемa се разбра посредством доставчикa на комерсиална поддръжка и услуги за Samba Sernet. Те вече са създали и специален сайт, посветен на проблема, на страниците, на който не дават подробности за самия проблем, който се очаква да бъде запушен на 12.04.2016г. Това, че не дават подробности за проблема в момента е разбираемо, тъй като той няма отговор засега.„Моля, пригответе се да наложите обновленията към всичките си системи на този ден. Ние сме убедени с висока степен на сигурност, че ще се появят експлойти скоро след като публикуваме съответната информация”, пишат Sernet на страниците на badlock.org."Действието на Sernet определено е необичайно. Какво се цели с него? Подобни въпроси си задават някои специалисти по информационна сигурност, които коментират действията на компанията на страниците на Wired.„Процесът, посредством който се разкрива тук уязвимостта не върши добра услуга на никого. Какъв е този призив (към системните администратори) освен да внимават? Дори когато се оплакваме за други бъгове с техните логотипи и цялото това медийно внимание... да, виждаме безпокойството, но основното, което е нужно да се разбере, че си имаме проблем, ето го разрешението, хората трябва да реагират. А какво се предполага, че трябва да направят в този случай хората, освен да ръкопляскат... или да се опитат да отгатнат къде е дупката”, коментира Дан Камински от White Ops.Браян Мартин от Risk Based Security е доста по-рязък, наричайки действията на Sernet „чист и неподправен маркетинг”. „Хората ще започнат да ги търсят за информация и защита и това открива потенциални канали за продажба от всички страни”, смята Мартин. Той и Камински пренебрегват твърдения, че действието на компанията е ползотворно, като Мартин даже спекулира, дали не е възможно, човекът от Sernet, който е открил дупката да не е и виновен за появата ?. Въпросната уязвимост е открита от разработчик, помагащ за развитието на Samba от 2002г., който в момента е служител на Sernet.Щефан Метцмахер е виновен за писането на кода на над 400 файла, свързани с изходния код на Samba и хората от Sernet познават достатъчно добре софтуера - това все пак им е работата - предлагане на поддръжка и обучение, свързано със Samba. „Но ако се окаже, че Badlock, която Метцмахер е открил е част от кода на Samba, който той или други служители на Sernet са написали, той и компанията му могат да бъдат подложени на още по-голяма критика за рекламния си трик около разкриването на бъг, който те са помогнали да се появи посредством грешнно програмиране”, коментира на на свой ред Ким Зетър от Wired. |
|
 |
|
Статистика |
|
|
| Прегледи | 147 |
| Коментари | 0 |
| Рейтинг | |
| Добавена на | 27 Март 2016 |
| Източник | Kaldata |
|
|
|
 |
|
|
|
|
|
