Mozilla: Cercetatorii de securitate isi aroga prea multe drepturi

Dna. Window Snyder a facut un apel la cercetatorii de securitate sa umeze principiile dezvaluirii responsabile, oferind producatorilor de software timp suficient pentru a remedia bug-urile identificate. "Cercetatorii au intreaga putere de decizie. Pot stabili momentul publicarii vulnerabilitatilor, iar notiunea de "timp suficient" este in intregime la latitudinea lor, perioada celor 30 de zile nefiind litera de lege."

Directorul de securitate Mozilla a admis ca si producatorii de software trebuie sa adopte o atitudine proactiva in privinta vulnerabilitatilor care le sunt raportate." Producatorilor le revine responsabilitatea de a reactiona prompt la observatiile primite."

Aceste aprecieri au fost facute in cadrul discutiilor de la conferinta ShmooCon derulata la Washington, la care au participat hackeri, specialisti in securitate si companii producatoare de software. Dezbateri aprinse privind "dezvaluirile responsabile" ale bug-urilor se desfasoara de ani, fara a se ajunge la un rezultat. Producatorii uneori prefera sa intarzie corectarea unor vulnerabilitati din cauza costurilor mari sau a complexitatii acestora, atitudine frustranta pentru cercetatorii de securitate.

Dezvaluiri complete

Pentru a forta producatorii sa dezvolte patch-uri, cercetatorii uneori publica detalii privind vulnerabilitatile de securitate, precum si demonstratii practice ale acestora, inainte ca producatorii sa lanseze aplicatiile corectoare. Unii publica informatiile inainte sa notifice companiile producatoare, mai ales cand intre cele doua parti au existat situatii conflictuale. Aceste "dezvaluiri complete" se bazeaza pe ideea ca hackerii ar putea fi deja la curent cu vulnerabilitatile depistate de cercetatorii de securitate.

Despre autor:

Redactia 9am

Mai multe