Firmy produkujące oprogramowanie chciałyby, aby odkrycia dotyczące luk w ich programach były jak najbardziej poufne. Tymczasem "łowcy dziur" mają za złe firmom, że gdy tylko zachowają dyskrecję, dostawca oprogramowania nie śpieszy się z wydaniem łatki i nie informuje badacza o postępach nad łataniem.
Od kilku lat firmy dostarczające oprogramowanie ganiły publikowanie informacji o lukach zaraz po ich odkryciu. Proponowały badaczom "odpowiedzialne" podejście do sprawy, tj. najpierw dyskretne informowanie dostawcy oprogramowania i ewentualna publikacja dopiero po udostępnieniu łatki.
Takie podejście rzeczywiście powinno być bardziej korzystne dla użytkowników. Eksperci do spraw bezpieczeństwa zwracają jednak uwagę na to, że często na dyskretnym powiadomieniu się kończy. Nikt nie informuje ich o tym, na jakim etapie są prace nad łatką i czy w ogóle trwają.
Kwestia ta została podniesiona już w zeszłym roku, kiedy serwis CNET opisał szczegóły dotyczące współpracy Toma Ferrisa z Microsoftem. Zdaniem tego specjalisty zachowywanie dyskrecji jest jak najbardziej słuszne, jednak kiedy dostawca zwleka z załataniem luki przez 6 miesięcy, można mieć wątpliwości co do tego, czy nie należałoby powiadomić użytkowników o zagrożeniu.
Ostatnio na ten sam temat dyskutowano na konferencji Black Hat w Las Vegas.
Zdaniem Michaela Suttona z firmy VeriSign, recepta na zażegnanie sporu pomiędzy producentami i "łowcami dziur" jest prosta. Wystarczyłoby, aby firma na bieżąco informowała badacza o postępach w pracy nad odpowiednią łatką. Eksperci podkreślają, że różne firmy różnie traktują badaczy. Generalnie jednak komunikację pomiędzy jednymi i drugimi trzeba poprawić.
Zachowanie producentów oprogramowania próbował wytłumaczyć John Stewart z firmy Cisco. Stwierdził on, iż firmom nie zależy na "zwracaniu uwagi na rzeczy, które mogą zagrozić ich klientom".
Warto jeszcze dodać, że niemal wszystkie raporty dotyczące ewolucji internetowych szkodników mówią jedno - dzisiejszym cyberprzestępcom nie zależy na rozgłosie, ale na zysku. Producent oprogramowania może nawet nie wiedzieć, że dana luka jest już wykorzystywana np. do kradzieży danych osobowych. W tym kontekście rozleniwianie producentów poprzez zachowanie dyskrecji może rzeczywiście mieć negatywny wpływ na bezpieczeństwo.
W Dragon's Den wszystko było wyreżyserowane. Nasz projekt był z góry łatwy do określenia, że nie wiadomo, o co nam chodzi i nie umiemy tego zaprezentować - mówi Dziennikowi Internatów uczestnik Dragon's Den, Ziemowi Gólski, który odpadł z programu, ponieważ nikt nie zrozumiał jego projektu. więcej
Kilka dni temu publikowaliśmy treść listu Radia Wolne Media do ZPAV w sprawie próby pobrania przez pracownika tej instytucji opłat za korzystanie z utworów na licencji Creative Commons. Sprawie przyjrzeliśmy się bliżej, wysyłając do ZPAV-u prośbę o komentarz. Przy okazji zadaliśmy też pytanie, czy ZPAV stara się dotrzeć do producentów, w obronie których pobiera opłaty. więcej
Ochrona, jaką daje interpretacja indywidualna, obowiązuje nawet po doręczeniu zmienionej interpretacji. Niestety nie zawsze oznacza to zwolnienie z obowiązku zapłaty podatku. Tak pełnej ochrony nie uzyskają osoby, które zrealizowały sytuację opisaną we wniosku o wydanie interpretacji jeszcze przed jej doręczeniem. Jednak i one mogą spać spokojniej, gdyż nie grozi im postępowanie karne skarbowe czy konieczność płacenia odsetek za zwłokę. więcej
Od jakiegoś czasu abonenci telewizji satelitarnej n są nękani bardzo uciążliwą reklamą emitowaną zaraz po każdym uruchomieniu dekodera. Reklama ma formę planszy zastępującej właściwy obraz i zachęcającej do skorzystania z oferty wypożyczalni VOD operatora - pisze Czytelnik Dziennika Internautów. więcej
Pobieranie danych...