Lue uutinen mobiilisivustolla

Mozilla moittii bugijulkaisijoita

27.3.2007 08:18 Ohjelmistohaavoittuvuuksia etsivillä tietoturvatutkijoilla on liikaa valtaa tietoturva-aukkojen korjaamisprosessissa, sanoo Mozillan tietoturvapäällikkö Window Snyder.

Snyderin mukaan ohjelmistoalan ajama haavoittuvuuksien raportointimalli on saanut tuulta purjeisiinsa, mutta tutkijapuolella on avaimet käsissään.

– [Tietoturvatutkijoilla] on kaikki valta. He päättävät, koska he julkaisevat [haavoittuvuuden], ja he päättävät siitäkin, onko ohjelmistotoimittaja tarpeeksi nopea, Snyder sanoi News.comin mukaan viikonloppuna hakkerien ShmooCon-tapahtumassa.

Snyderin mielestä ohjelmistoyhtiöille pitäisi antaa 30 päivää aikaa valmistaa ja julkaista korjauspäivitys ennen kuin haavoittuvuus tuodaan julkisuuteen.

Ohjelmistotoimittajat kantavat Snyderin mukaan vastuuta niille raportoiduista haavoittuvuuksista. Moni on tästä eri mieltä.

Hidasta hommaa

Ohjelmistovalmistajia on kritisoitu hitaasta haavoittuvuuksien korjaamisesta. Ei ole tavatonta, että haavoittuvuuden löytämisestä kuluu kuukausia siihen, että ohjelmiston valmistaja on tehnyt siihen korjauspäivityksen.

Esimerkiksi Microsoft ja Oracle, joiden tuotteista etsitään ja löydetään jatkuvasti haavoittuvuuksia, ovat siirtyneet aikataulutettuun korjauspäivitysten julkaisuun.

Microsoft on sanonut, että aikataulutus parantaa korjausten laatua ja helpottaa niiden elämää, jotka korjauspäivitykset joutuvat asentamaan.

Ohjelmistoalaa syytetään tämän tästä myös ylimielisyydestä. Moni tietoturva-aukkoja raportoinut on turhautunut, kun mitään ei tapahdu ohjelmistoyhtiössä ongelman korjaamiseksi.

Vuosien kädenvääntö

Haavoittuvuuksien julkaisemisesta on keskusteltu kiivaasti vuosia.

Ohjelmistovalmistajat ovat ajaneet omaa vastuulliseksi kutsumaansa julkistamistapaansa, jossa haavoittuvuus raportoidaan ensin vain tuotteen valmistajalle. Näin ohjelmistovalmistajalle jää aikaa korjata haavoittuvuus ennen kuin se tulee julkisuuteen ja rikollisten saataville.

Vastakkainen leiri taas uskoo, että kaikkien haavoittuvuuksien julkituominen on ainoa tapa varmistua siitä, että ohjelmistojen valmistajat todella korjaavat virheet, ja vieläpä mahdollisimman nopeasti ja tehokkaasti.

Julkaisemista ajavien mielestä vastuullinen julkaiseminen on vain ohjelmistoalan markkinointitermi; rikolliset löytävät haavoittuvuudet joka tapauksessa, tuodaan ne julki tai ei. Siksi parempi olisi pakottaa valmistajat korjaamaan ohjelmansa mahdollisimman nopeasti.

Antti Kirves toimitus@digitoday.fi

Kirjoita kommentti

Ohjeet: Pysy aiheessa ja kirjoita napakasti. Muista, että haastateltavilla, kanssakeskustelijoilla ja toimittajilla on oikeus omaan, eriävään mielipiteeseen. Ole kohtelias ja ystävällinen, äläkä tarkoituksella provosoi tai hauku muita keskustelijoita. Taloussanomat varaa oikeuden poistaa asiattomat viestit. Varauduthan siihen, että linkkejä sisältävät viestit tarkistetaan yksitellen roskapostin suodattamiseksi. Arvostamme mielipidettäsi!
Lue koko keskusteluetiketti

Bottivarmistus: mitä on kaksi ynnä viisi?

Viesti Nimi

Uutiset

Tutkinta valmis: Aueria epäillään raskaista rikoksista

• Maailman parhaat lehtikuvat palkittiin – katso kuvakooste
• Väyrysen matkakuluista ilmiriita keskustassa
• Jättikotilot piinaavat taas Floridaa
• Karjalaisen päätoimittaja: Harkitkaa sotilaspassien palautusta