Óvakodj a biztonság mérésétől

www.mozilla.org A biztonság mérését nagyon nehéz jól végezni, de nagyon könnyű rosszul csinálni. Ennek egyik példája a Secunia 2008 jelentés, amely a bejelentett sérülékenységeket megpróbálja böngészőkre lebontani, és konkrét megállapításokat is tesz:

www.mozilla.org A biztonság mérését nagyon nehéz jól végezni, de nagyon könnyű rosszul csinálni. Ennek egyik példája a Secunia 2008 jelentés, amely a bejelentett sérülékenységeket megpróbálja böngészőkre lebontani, és konkrét megállapításokat is tesz:

Az Internet Explorer verzióihoz (5.x, 6.x és 7) 31 sérülékenységi bejelentés érkezett, beleértve azokat, amelyek nyilvánosságra kerültek, mielőtt azokhoz javítások készültek volna, valamint azokat is, amelyek megjelentek a Microsoft Security Bulletinben.

A Safari 32, az Opera pedig 31 sebezhetőséget tudhat magáénak, míg a Firefox böngészővel kapcsolatban 115 sérülékenységi bejelentés érkezett 2008-ban.

Első olvasásra úgy tűnik, hogy a Firefox majdnem négyszer annyi biztonsági hibát rejt, mint az IE vagy a Safari. Ez a következtetés azonban fájdalmasan pontatlan. A Mozilla közzétesz miden biztonsági hibát függetlenül attól, hogy azokat hogyan fedezték fel. Eltérően más gyártóktól, akik csak akkor hoznak nyilvánosságra egy biztonsági problémát, ha azokat független külső fél fedezi fel, de nem számolnak be olyan problémákról, amelyeket a belső fejlesztők, a minőségbiztosítás vagy szerződéses biztonsági szakértők fednek fel.

Ezért ezen számok összehasonlítása több, mint haszontalan és rendkívül félrevezető. Pont olyan, mintha összehasonlítanánk két azonos lakosságú város közlekedési baleseteinek számát, de az egyiknél csak azokat számolnánk, amelyek az újságban megjelennek, míg a másik városnál minden baleset számítana. Ezen számok közvetlen összehasonlítása értelmetlen.

Néhány gyártó azt mondja, hogy a belső fejlesztők által fedezett hibák száma elenyésző. Ez sajnos azt jelenti, hogy a belső minőség-ellenőrzés és a biztonsági folyamatok nem képesek feltárni a biztonsági hibákat, és a fejlesztés teljes egészében a véletlenszerű bejelentők (biztonsági kutatók) jóhiszeműségére támaszkodik. Ezt elég félelmetesnek találom.

Szerencsére pár nagy szoftverfejlesztő cégnél már dolgoztam belső munkatársként vagy külső konzulensként, és azt kell, hogy mondjam, hogy nem így van. Valójában rendkívül jól működő biztonsági csoportok és minőségbiztosítási eljárások vannak, amelyek sokkal több biztonsági problémát tárnak fel házon belül, mint amit nyilvánosságra hoznak.

A Secunia jelentése számos ponton okozott csalódást. Őszintén szólva csalódást okoz, hogy a biztonsági kutatók nem végezték el a feladat kutatás részét, ahogy azt korábban már egyszer megtették. Ugyancsak kiábrándító, hogy a Secunia közzétesz egy ilyen tanulmányt, mikor ennél sokkal jobbra lenne képes. Az ilyen típusú jelentések arra ösztönzik a fejlesztőket, hogy eltitkolják a biztonsági hibákat és azokat, amennyiben lehetséges, titokban javítsák. Ez visszalépést jelent a biztonsági kérdésekben, és talán ez a legnagyobb csalódás mind között.

Lucas Adamski
Director of Security Engineering