Flaw finders till mjukvarutillverkare: Det är återbetalningstid

Under de senaste åren har mjukvaruföretag hamrade regler med forskare om offentliggörande, som täcker hur och när sårbarheter offentliggörs. Nu flaw finders vill ha något i gengäld: mer information från programvaruleverantörer på vad de gör för att ta itu med hålen forskarna har rapporterat.

Vi har gått från den gamla “fullständig redovisning” till “ansvarig avslöjande” debatt, till en debatt om “Leverantören har informationen – vad gör den med det”, säger Steven Lipner, senior chef för säkerhetssystem strategi på Microsoft .

Programvaruleverantörer måste upprätta protokoll för att interagera med forskare som delar felinformation, säger experter. Om de inte gör det, kan de riskera att förlora de framsteg som har gjorts mot ansvarig utlämnande av brister.

Många bugg jägare nu förstå och följa “ansvariga avslöjande” riktlinjer förespråkas av mjukvaruföretag. Enligt detta synsätt, en forskare som upptäcker ett fel kommer, som ett första steg, kontakta tillverkaren av de drabbade programvara och dela information om sårbarheten.

Förr i tiden, forskare tenderade att gynna fullständig redovisning, där de skulle offentliggöra uppgifter om säkerhetsbrister de hade hittat på e-postlistor eller säkerhets webbplatser, oavsett om en korrigering var tillgängliga.

Men företag vill behålla bugg uppgifter under wraps åtminstone tills en patch är färdig. De hävdar att med en lapp, kan användare av bristfällig programvara plug hålet och skydda sig mot eventuella attacker. Däremot med fullständig redovisning leverantörer skickas förvränga att fixa ett fel, medan kunderna är exponerade.

Spänningen har alltid varit densamma “, säger Gartners analytiker Paul Proctor, som modererade en paneldiskussion om offentliggörande vid det senaste Black Hat säkerhet konferens.” Forskare vill säljarna att vara mer aggressiv, och säljarna vill forskarna att visa mer diskretion . Medan de båda har samma mål av ett säkrare Internet, deras perspektiv är olika.

Tegelvägg, medan många forskare följer nu ansvarig praxis avslöjande, en del känner att deras samvetsgrannhet inte är besvarad. I många fall säga, de kör in i en tegelvägg eller få ett begränsat svar på mjukvarutillverkaren, som betalar dem lite respekt för deras arbete.

Säkerhet, FBI gripanden påstådda medlemmar av Crackas med inställningen för att hacka amerikanska Gov’t tjänstemän, säkerhet, WordPress uppmanar användare att uppdatera nu för att åtgärda kritiska säkerhetshål, säkerhet, Vita huset utser först Federal Chief Information Security Officer, säkerhet, Pentagon kritiseras för cyber -emergency svar av regeringen vakthund

Det finns inget mer frustrerande än att försöka hjälpa en leverantör säkra sin produkt i god tro och inte får ordentlig kommunikation tillbaka i gengäld “, säger Terri Forslöf, säkerhet svarsansvarig på Tipping, som säljer system intrångsskydd. Forslöf är ansvarig för att dela defekt detaljer med leverantörer genom Tippingpoints Zero Day Initiative bug bounty program Andra håller. Hennes kommentarer upprepa känslorna som uttrycks av många forskare vid Black Hat paneldiskussion.

Det är ett enkelt recept för att tillgodose defekt finders, sade Forslöf. Ett företag bör erkänna problemet, ge löpande information om status för en fix, och vara öppen med forskaren om de inblandade i att producera en uppdatering processer.

En öppen linje för kommunikation är viktigt “, säger Michael Sutton, en av Black Hat panel och chef för VeriSigns iDefense, som handlar om programvara beslutsfattare och forskare sårbarhets.” Det är säljarens ansvar att proaktivt uppdatera forskaren regelbundet på de framsteg som görs i lapp frågan.

Stora framsteg har gjorts, och säkerhetsforskare och programvarutillverkare arbetar bättre tillsammans i dag än någonsin tidigare, sade Proctor. Men många företag behöver bättre processer för att hantera bugg jägare, sade han.

Jag skulle vilja se tillväxten av aggressiva, formaliserade program för att arbeta med forskare som befinner sårbarheter “, säger Proctor.

Flaw finders som kontaktar programvaruleverantörer är typiskt välmenande säkerhetspersonal, eller entusiaster som gillar att testa sårbarheten av programvara. Flera företag, däribland Tipping och iDefense, betala forskare för brister de hitta och använda informationen i produkter för att skydda sina kunders system.

Negativ effekt;? Men följa forskarnas begäran om mer information är inte så lätt, John Stewart, chief säkerhetsvakt på Cisco Systems, sade under Black Hat diskussion. Erkänna en potentiell fel kan ha en negativ effekt på säkerhet, sade han.

Vi kan skapa onödig uppmärksamhet på något som kan skada våra kunder “, säger Stewart.” Om vi ​​vet att det bästa av vår kunskap, att det finns en svaghet i vår produkt, vi försöker inte att dra ytterligare uppmärksamhet till det.

Företag alla fungerar på olika sätt när det gäller att hantera bugg jägare. Microsoft har satt ett bra exempel, acceptera att det måste arbeta med säkerhet samhället, sade Proctor. “Cisco flyttar från ilska till acceptans och Oracle från förnekelse till ilska”, sade han.

Cisco har arbetat hårt för att komma in i gunst hacker samhället. Det kastade en fest på en Las Vegas nattklubb för Black Hat deltagare och skickade högre säkerhetspersonal till evenemanget. Det är till skillnad från föregående år, då nätverksjätten stämt en säkerhetsforskare och aliene sig från samhället i den utsträckning som T-shirts med anti-Cisco slagord sålde bra på Defcon hacker händelse som följer Black Hat.

Oracle verkar vara lätta upp lite på säkerhetsfronten. Dess främsta säkerhetstjänsteman nu blogging, och programvaruföretag talar med pressen om säkerhetsfrågor. Det är dock fortfarande ofta kritiseras för sin ovilja att ta itu öppet med forskare.

Utan kommunikation, leverantörer riskerar att förlora de framsteg som gjorts mot ansvarig avslöjande. Avstängd av en kall svar, bugg jägare allt sätta press på mjukvaruföretag och gå ut med brister, i stället för att gå den ansvariga vägen, säger Tom Ferris, en oberoende säkerhetsforskare i Cupertino, Kalifornien.

Jag ser fler forskare inte ett nära samarbete med leverantörer och bara ge dem en 30-dagars frist innan allmänheten med brister “, säger Ferris.

FBI gripanden påstådda medlemmar av Crackas med inställningen för att hacka amerikanska Gov’t tjänstemän

WordPress uppmanar användare att uppdatera nu för att åtgärda kritiska säkerhetshål

Vita huset utser först Federal Chief Information Security Officer

Pentagon kritiserats för cyber nödsituationer av regeringen vakthund