Lomha hibajavítások, noszogatott fejlesztők

A HP TippingPoint a sebezhetőségek feltárása, jelzése és kezelése terén az elmúlt években egyre nagyobb befolyást szerzett. A szervezet nevéhez egy olyan jutalmazási rendszer kapcsolódik, amely a biztonsági rések felfedezőit, bejelentőit díjazza. A TippingPoint a sérülékenységi információkat megvásárolja, majd a biztonsági problémákat közli a gyártókkal, anélkül, hogy a hibák kihasználásához szükséges információkat nyilvánosságra hozná. Mivel azonban korábban gyakran nem sikerült kellő mértékben arra ösztökélni a fejlesztőket, hogy mihamarabb szüntessék meg a sebezhetőségeket, ezért a szervezet 2010 közepén úgy határozott, hogy amennyiben a bejelentéstől számított hat hónapon belül nem születik megoldás egy biztonsági problémára, akkor nyilvánosságra hozza annak létezését, és korlátozott mennyiségben ugyan, de információkat közöl az adott hibáról.

Derek Brown, a ZDI (Zero Day Initiative) kutatója is úgy látja, hogy történt előrelépés a sebehetőségekre való reagálás tekintetében. "Ha egy fejlesztőcég nem mutat hajlandóságot arra, hogy kijavítson egy hibát, és a közös munka során nem látjuk annak jelét, hogy erős elkötelezettsége lenne a patch-elés iránt, akkor nyilvánosságra hozzunk információkat nulladik napi közlemény formájában" - mondta Brown. Ez nyomást gyakorol a cégekre a termékeik frissítését illetően.

Biztonsági kutatók idén a TippingPoint felé összesen 350 sebezhetőséget jeleztek, ami 16 százalékkal több, mint a megelőző évben. Brown szerint az idei bejelentések közül a legérdekesebbek a SCADA-rendszerekben feltárt biztonsági rendellenességekről szóltak. Ezek között több olyan, kritikus veszélyességű is van, amelyek kezelését a TippingPoint az ICS-CERT (Industrial Control Systems Cyber Emergency Response Team) valamint az Egyesült Államok Belbiztonsági Minisztériumának közreműködésével végzi.