25.1.10

Uzrok napada na Google bio je poznat mjesecima

Izraelska tvrtka BugSec je još u kolovozu prošle godine obavijestila Microsoft o nedostatku u Internet Exploreru. Ovom upozorenju, očito je, Microsoft nije dodjelio visoki prioritet. Popravak nije objavljen na vrijeme, tek naknadne preporuke o zaobilaženju problematičnih funkcija u Internet Exploreru. Rezultat ove krive procjene osjetili su u prosincu Google i još tridesetak američkih tvrtki: upravo je ovaj nedostatak bio polazište napada kineskih hackera na ove tvrtke.

Ovakav razvoj događaja s prijavljenom pogreškom otvara nekoliko tema.

Prvo, pokazuje se da pritisak na stručnjake koji se bave računalnim ranjivostiima da ne objavljuju javno svoja otkrića, nije rezultirao adekvatnom predanošću od strane softverskih tvrtki. Nasuprot ovome, s pravom se može prihvatiti teza da bi neograničena objava svih nedostataka zapravo potaknula proizvođače na ažurnu izradu popravaka. Microsoft je popravak za uočeni napad objavio tek prije nekoliko dana. Ako uzmemo u obzir da će trebati tjedni i tjedni dok se ovaj popravak primjeni na zadovoljavajućem broju računala, lako možemo procjeniti da će znatan broj računala ostati ranjiv i do devet mjeseci (ovo tek površno spominjem, no radi se o kompleksnom problemu o kojem ću govoriti u slijedećim tjednima).

Drugo, znanje i informacije (pa bile one i softverski nedostaci) je nemoguće ograničiti i kontrolirati. Nedostatak u Internet Exploreru je bio jednako dostupan svim istraživačima, bez granica. Osim toga, underground sektor informatičke industrije promjenio je pristup, slično i napadačima. Naime, nekoliko sam puta spomenuo prošle godine da napadače ne motivira više pet minuta slave, već direktna korist od realiziranih napada. Isto tako se ni istraživači računarnih ranjivost neće rukovoditi općim dobrom, već će uočene nedostatke znati (a zapravo već znaju) dobro unovčiti.

Na koncu, dolazimo do suštine risk management procesa. Softverske kuće moraju primjereno procjeniti prijavljene ili uočene nedostatke, zapravo primjeniti principe upravljanja rizicima i u ovakvim slučajevima. Proizvođači moraju biti svjesni da je znanje napadača ("Threat" komponenta risk managementa) potpuno doraslo onima sa svijetle strane informacijskih tehnologija, što proizvođače obvezuje na održavanje visoke ocjene sposobnosti potencijalnih napadača. Drugim rječima, rizik od ovakvih napada ne smije biti nerazumljivo nizak pa da se na popravak čeka pet mjeseci.

Nema komentara: