Az új sérülékenységekről először a bűnözők értesülnek

Egy hét kell a biztonsági hibák bejelentéséhez

Átlagosan egy hétre van szükség ahhoz, hogy a nagyközönség is értesüljön az új biztonsági hibákról, a sérülékenységek háromnegyede viszont szinte azonnal felkerül a webes alvilág különböző fórumaira.

Ha egy biztonsági szakértő egy új szoftveres sérülékenységet fedez fel, három lehetősége van. Az első, hogy megtartja magának, és ha például az amerikai Nemzetbiztonsági Hivatal (NSA) alkalmazottja, akkor a saját céljaira használja fel, legyenek ezek a célok törvényesek vagy sem. A második lehetőség, hogy jelzi a gyártónak a hibát. Ha a gyártónak van hibavadász programja, akkor átlagosan 5–10 ezer eurós jutalmat kap ezért, de a kiemelkedő hibák felfedezéséért 30–100 ezer eurót is fizetnek. A céges hibavadász programokról korábban itt írtunk.

A harmadik, egyértelműen törvénytelen lehetőség viszont az, hogy a webes alvilágon teszi közzé a hiba leírását, és ezt eladja az érdeklődőknek. Ezzel a lehetőséggel egyre többen élnek, amint az a Recorded Future felméréséből kiderült. Az adatok azt mutatják, hogy átlagosan hét nap késlekedéssel értesül a nagyközönség az újonnan felfedezett biztonsági hibákról, a hibák 75 százaléka viszont azonnal felkerül a webes alvilág piactereire, a Pastebinhez hasonló megosztóoldalakra vagy egyéb alvilági fórumokra.

A késlekedésért sokszor maguk a gyártók is felelősek. Gyakran előfordul, hogy a hibát hozzájuk bejelentik, de ők maguk késlekedve osztják meg azt a nagyközönséggel – remélve, hogy időközben a megoldást is megtalálják rá. A statisztikák szerint a leggyorsabban egy nap alatt került egy új hiba az illetékes amerikai kormányzati szervezethez, a National Vulnerability Database-hez. A leglassabban bejelentett hiba viszont 172 napot várakozott a gyártónál.

A G DATA arra figyelmeztet, hogy az új kártevők elleni védekezés akkor válhat még hatékonyabbá, ha a tudomásukra kerülő új sérülékenységekről a szoftvercégek a lehető legrövidebb időn belül tájékoztatják a védelemmel foglalkozó cégeket és az illetékes állami szervezeteket. A gyártók eredetileg azért szokták visszatartani az új sérülékenységekre vonatkozó információkat, hogy a hibákat feltűnésmentesen ki tudják javítani. Az adatok viszont azt mutatják, hogy az információ visszatartása általánosságban a bűnözőknek kedvez.

Vélemény, hozzászólás?

Az email címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöljük.