kone kiekviena programinė įranga, netgi ir į saugumą bei stabilumą orientuotame kode jų nėra išvengiama.
Puikus pavyzdys yra neseniai viešai pristatytas, vienos iš „saugiausių“
operacinių sistemų „OpenBSD“ branduolio pažeidžiamumas, leidžiantis gauti
absoliučias privilegijas sistemoje.
Nors jau antrus metus informuojame portalo lankytojus apie naujausius įvykius saugumo pasaulyje ir vedame programinės įrangos pažeidžiamumų sąrašą lietuvių kalba, niekada neteko girdėti apie pažeidžiamumus lietuviškoje programinėje įrangoje. Ar tai reiškia, jog lietuviška programinė įranga yra saugi? Deja, kad ir kaip norėtųsi pilna gerkle oro sušukti „taip!“, tačiau… jeigu plataus žmonių rato periodiškai testuojamoje programinėje įrangoje, egzistuojančioje jau daugelį metų (operacinės sistemos, plačiai paplitusios pasaulyje programos, tinklo paslaugos) vis dar aptinkama rimtų saugumo pažeidžiamumų, tai kaip gali netikrinamas, uždaras kodas būti saugesnis ar absoliučiai saugus?
Be abejo, aptinkamų pažeidžiamumų kiekį kode lemia kūrėjo noras jų išvengti, programinės įrangos naudotojų skaičius (paplitimas) ir nepriklausomi veiksniai (įsilaužėliai, ar tiesiog smalsūs informacinio saugumo analitikai). Mūsų atliktų nepriklausomų programinio kodo tyrimų rezultatai parodė, jog „naminio“ kodo kokybė yra labai prasta ir jame gausu kritinių pažeidžiamumų, leidžiančių potencialiam įsilaužėliui atlikti nesankcionuotus veiksmus atakuojamoje sistemoje.
Kitas svarbus dalykas yra programinės įrangos gamintojų nenoras suprasti dėl pažeidžiamumų kode kylančių grėsmių nesaugaus produkto vartotojams bei jų duomenims. Bandymai susisiekti su gamintoju neretai baigiasi grasinimais ar tiesiog vyksta nemaloniu tonu.
Taip pat, dėl Lietuvos respublikos įstatymų neaiškumo ir nekonkretumo, bei nesusiformavusios teisminės praktikos labai sudėtinga atsakyti, kokia situacija yra su pažeidžiamumų ar jų išnaudojimo kodų paviešinimu, todėl tai, be abejo, suteikia tam tikrų privalumų programinės įrangos gamintojų atžvilgiu.
Taigi, su kiekvienu aptiktu pažeidžiamumu ant saugumo analitiko pečių krenta papildoma atsakomybė ir dalis rizikos, susijusios su netinkamu paviešintos informacijos panaudojimu. Todėl pagrindinis mūsų siekis yra paskatinti susidomėjimą lietuviškos programinės įrangos saugumu ir paraginti gamintojus skirti daugiau dėmesio tai sričiai, juolab, kad mes visuomet pasirengę padėti ir bendradarbiauti su gamintojais. Nors dabar ir populiaru daryti tam tikros programinės įrangos pažeidžiamumų mėnesius / savaites / dienas / valandas, tačiau, mūsų manymu, Lietuvos publika kol kas nėra pasirengusi tokio tipo projektams, todėl informaciją apie aptiktus pažeidžiamumus būtina paskelbti atsakingai, kad būtų išvengta neigiamų pasekmių.
Na o pirmasis pažeidžiamumas į kurį norėtume atkreipti jūsų
dėmesį yra „Tildės Biuro 2006“ kritinė spraga, leidžianti manipuliuoti Microsoft
Windows sistemos registru per „Internet Explorer“ naršyklę.
