Miklós
-7 °C
4 °C

Elleplezés, leleplezés, vagy valódi megoldás

2002.03.19. 16:27
A különféle internetes lapokon, fórumokon és szakmai újságokban napról napra, óráról órára egyre újabb és újabb biztonsági résekről, támadási módokról, védelmi hiányosságokról lehet olvasni. Bárki, aki ezen a területen fejti ki működését akár biztonsági szakemberként, akár cikkíróként óriási felelősséggel bír, hiszen cselekedetei nem csak a számítógépeket, egy iparágat, de a teljes gazdaságot is érintik.
Sokáig nem volt ildomos beszélni az esetleges biztonsági hiányosságokról mondván, hogy sokan visszaélnének vele. A nagy szoftvergyártók mind a mai napig rendelkeznek olyan belsőhasználatú nyilvántartásokkal, melyekben csak úgy hemzsegnek a publikálatlan veszélyforrásokról szóló adatok. Ameddig nem tudják, hogy van, nem kell kijavítani, hangzik a jelszó.

A másik megközelítés szerint, ha valaki talál valamilyen hibát, azonnal kürtölje tele vele a szaksajtót. Ez persze növeli a hírnevünket, de sok gondot is okozhatunk vele. Egy új biztonsági rés felfedezésekor jó volna mindenkit azonnal értesíteni, hogy megakadályozhassuk a probléma rosszhiszemű kiaknázását. Az így nyilvánosságra kerülő információk alapján azonban olyanok is könnyűszerrel okozhatnak kárt, akik soha nem jöttek volna rá a biztonsági hiányosság létezésére.

Érdemes tehát az információ áramlásának útját szabályozni. Elsőként meg kell teremteni annak a lehetőségét, hogy a fejlesztők kijavíthassák a frissen felfedezett hibát, illetve azt is, hogy a kritikus felhasználók saját csatornákon hamarabb juthassanak a kérdéses információhoz, mint azok, akik ezt rossz célra kívánják felhasználni.

A feladat nem könnyű. Olyan, mint amikor csata közben jönnek rá pajzskészítők, hogy az bizonyos szögekből igen is jól támadható. Elsőként természetesen gőzerővel ráállnak a probléma kijavítására. A harcolókat azonban valamiképpen értesíteni kellene a veszélyről, mert különben nem lesz kinek megjavítani a vértjét_ Ha azonban az információ elterjed a csatatéren, az sincsen kizárva, hogy az ellenség is tudomást szerez róla, akkor pedig jaj a katonáknak.

A többek között az IBM-et, a Hewlett-Packard-ot, a Symantec-et, a Microsoft-ot és a SUN Microsystems-t tömörítő OIS (Organization for Internet Security) szabványt készül létrehozni az ilyen jellegű információk áramlásának szabályozására.

A szabványtervezet nem csak az információ útját, de a késleltetési időt is szabályozza azzal, hogy meghatározza mennyi idő múlva tehető közzé a fellelt hiba. Ez a késletetési idő lépéselőnyt ad a gyártónak, ugyanakkor sürgeti is, hogy megtalálja a hiba kijavításának módját.

Amennyiben netalántán mi bukkannánk valamilyen hibára, elsőként a gyártót értesítsük és csak utána a szakmai közéletet. Ott is először csak a zártabb fórumokat.

Reméljük, hogy a biztonságos informatika iránt mutatkozó egyre sürgetőbb igény néhány éven belül kielégítést nyer megfelelő szabványok, minőségbiztosítási eljárások és a biztonság középpontba állítása révén.

Nászút ajándékba!

Esküvőt tervez? Tervezzen velünk, nyerjen wellness nászutat!

Év végi utazás

Ajándékozzon utazást, töltse a karácsonyt és a szilvesztert külföldön!