Yahoo: meg vannak számlálva a biztonsági rések napjai

A Yahoo úgy határozott, hogy a maga módján megpróbálja felgyorsítani a biztonsági rések befoltozását. Ezentúl 90 nap haladékot ad a fejlesztőknek arra, hogy orvosolják a sérülékenységeket.
 

A Google biztonsági csapata, a Project Zero már egy ideje 90 napos periódusban kezeli az általa feltárt sebezhetőségeket. Ez azt jelenti, hogy amikor a kutatók felfedeznek egy biztonsági rést, akkor azonnal értesítik az adott gyártót, fejlesztőt, és rögtön elindul a visszaszámlálás. Ezt követően 90 nap áll rendelkezésre arra, hogy a feltárt sérülékenységet az illetékesek megszüntessék. Amennyiben ennyi idő alatt nem sikerül elhárítani a problémát, akkor a Google nyilvánosságra hozza a hiba technikai részleteit, hogy alternatív kockázatcsökkentő intézkedéseket lehessen foganatosítani. Így például fel lehessen készíteni az exploitok felderítésére alkalmas biztonsági szoftvereket, szükség esetén korlátozni lehessen a sebezhető szoftver használatát stb. (A Project Zero az elmúlt időszakban több jelentős biztonsági rést leplezett le egyebek mellett a Microsoft, az Apple és az Adobe alkalmazásaiban is.)

Természetesen nemcsak a Google berkein belül működik olyan biztonsági csapat, amely sérülékenységek után kutat. A jelentősebb fejlesztőcégek, IT-szolgáltatók is rendelkeznek ilyen csoportokkal. Ezek folyamatosan penetrációs teszteket és sérülékenység vizsgálatokat hajtanak végre, de sokuknál nincsenek szigorú szabályok arra vonatkozóan, hogy miként és mikor publikálják a felfedezéseiket. A Yahoo azonban ennél szabályozottabban és kiszámíthatóbban akarja végezni az ilyen jellegű védelmi tevékenységeit, és meglehetősen határozottan kíván fellépni. Ezért a Google-höz hasonlóan olyan rendszert vezet be, amelyben 90 nap haladékot ad a fejlesztőknek arra, hogy orvosolják a biztonsági hibákat a szoftvereikben.

A Yahoo belső biztonsági csoportja elsősorban a saját rendszerek védelmi tesztelését végzi. A szakemberek részt vesznek új teszteljárások kidolgozásában, illetve rendületlenül vizsgálják azokat a módszereket, amelyek kockázatot jelenthetnek a rendszerekre. Eközben azonban óhatatlanul meg kell vizsgálniuk olyan nyílt forráskódú vagy kereskedelmi alkalmazásokat is, amelyek helyet kapnak a Yahoo informatikai infrastruktúrájában. Ha pedig ilyenkor valami rendelleneset fedeznek fel, akkor rögtön nekilátnak a mélyreható vizsgálatoknak, és egy jelentést készítenek. Ezt juttatják el az érintett gyártónak, hogy az mihamarabb nekiláthasson a frissítések kidolgozásának. Amennyiben pedig saját rendszerek vagy szoftverek kapcsán merül fel sérülékenység, akkor a Yahoo fejlesztői állnak neki haladéktalanul a javításnak.

"A jól képzett támadók mindig felfedeznek és kihasználnak nulladik napi sérülékenységeket. Nincs olyan rendszer vagy platform, ami áthatolhatatlan lenne számukra. Pontosan tisztában vagyunk azzal, hogy egy olyan biztonsági ökoszisztémára van szükség, amellyel biztosítható, hogy a lehető legkevesebb ember eshessen áldozatául az ilyesfajta támadásoknak" - nyilatkozta Chris Rohlf, a vállalat biztonsági rések után kutató csoportjának vezetője. Majd hozzátette, hogy a három hónapos időszak nagyobb esélyt ad arra, hogy a biztonsági rések befoltozása viszonylag gyorsan megtörténhessen.