• О проекте
  • Услуги
  • Заказать услугу
  • Новости
  • Блог
  • Глоссарий
  • Акции
  • Контакты
  • Блог

    Устранение уязвимостей - необходимость в мире IT

    Большинство вредоносных и зловредных программ для проникновения в систему выполнения своих вредоносных функций используют уязвимости: в браузере, в системе защиты, в операционной системе, во вполне законных программах. Уязвимости редко создаются злоумышленниками специально. Зачастую случайно обнаруживаются ошибки, а уже затем используются теми, кто решил на этом нажиться в качестве уязвимостей.

    В конце прошлого века существовало две основных политики обращения с обнаруженными уязвимостями и ошибками. Первая называлась non-disclosure и означала полное замалчивание всех обнаруженных ошибок. Вторая политика была диаметрально противоположной и называлась full-disclosure или полное разглашение с приведением рекомендаций для пользователей и администраторов по устранению уязвимостей. Однако время показало, что ни одна ни вторая политика не приводят к желаемому результату: при замалчивании, ошибки всё равно находились и использовались хакерами; при разглашении, базы данных использовались злоумышленниками намного активнее и более оперативно, чем благонадёжными пользователями.

    устанение уязвимостей

    Как результат многочисленных усилий по нахождению баланса между non-disclosure и full-disclosure появилась политика носящая имя Rain Forest Puppy (RFPolicy). Согласно ей, пользователь обнаруживший уязвимость, должен посредством электронной почты сообщить об уязвимости разработчику программы и по возможности помочь в её устранении. В случае же отсутствия реакции со стороны разработчика, лицо обнаружившее уязвимость вправе опубликовать информацию об уязвимости и её устранении там, где посчитает необходимым. Разные документы использующие RFPolicy за основу предлагают несколько разные сроки, но все они сходятся, что реакция на обнаруженную уязвимость должна быть не позже семи календарных дней.

    Таким образом, устранение уязвимостей в основном ложится на плечи разработчика программного обеспечения. Но вот в отношении web-ресурсов определённой документальной и нормативной базы на сегодняшний день не создано. А учитывая, что большинство ресурсов разрабатываются не их владельцами, то встают ряд вопросов: является ли уязвимость на web-ресурсе равнозначной уязвимости приложения? Кто должен отвечать и как следствие устранять уязвимость? На кого ложится ответственность за ущерб нанесённый через не устранённую уязвимость на web-ресурсе?

    устранение уязвимостей

    Чтобы избежать подобных вопросов, владельцам web-ресурсов имеет смысл проверить свои сайты на наличие уязвимостей при помощи профессионалов, а при обнаружении «дыр» оперативно устранить их пользуясь советами полученными от аудиторов.