Pellengérre állította a ZDI a HP, IBM, Novell és Microsoft régóta javítatlan biztonsági sebezhetőségeit

Titkosítás, biztonság, privát szféra

Tavaly nyáron a HP / Tippingpoint ernyője alatt működő Zero Day Initiative (ZDI) - ami egyébként a Pwn2Own biztonsági hackerverseny megrendezője is egyben - bejelentette, hogy változtat a hozzá bejelentett sebezhetőségek publikus közlésének folyamatán. Korábban a ZDI nem szabott meg konkrét határidőt a gyártók számára arra, hogy mennyi idő alatt kell(ene) javítaniuk a biztonsági sebezhetőségeket. A ZDI úgy találta, hogy ebből kifolyólag a gyártók nem törték össze magukat azért, hogy egy-egy kritikus sebezhetőséget mielőbb javítsanak. Így állt elő az a helyzet, hogy nem volt ritka az egy évnél öregebb, javítás nélkül álló biztonsági sebezhetőség sem.

A ZDI megelégelte ezt és bejelentette, hogy ösztönözni fogja a gyártókat a hibák gyorsabb javítására. Ennek érdekében tavaly augusztusban bevezette a 6 hónapos türelmi időt. Ez azt jelenti, hogy a ZDI ennyi időt ad az érintett gyártóknak arra, hogy azok javítsák a hozzá bejelentett sebezhetőségeket. Természetesen ha a gyártó megfelelő indokot tud adni arra, hogy miért nem sikerült a problémát 180 nap alatt javítani, akkor kaphat halasztást. Ha a gyártó nem javít és mentsége sincs, akkor a ZDI egy korlátozott biztonsági figyelmeztetőt ad ki, amely tartalmazza azt az információt is, hogy mit tehet, hogyan védekezhet hivatalos javítás hiányában a sebezhetőség ellen a felhasználó.

A bejelentés 2010. augusztusának elején történ. Az első hat hónapos türelmi idő lejárt, a ZDI pedig ígéretéhez hűen publikálta az első listáját:

Érdemes megjegyezni, hogy a ZDI nem kímélte a HP-t sem. A HP a Tippingpoint tulajdonosa.

( iron v | 2011. 02. 10., cs – 13:03 )

Azért az IBM-nél vannak érdekes dolgok :D "[07/19/2010] IBM states they are unable to reproduce and asks how to compile the proof of concept" és ez csak az egyik :D

Van egy olyan "gyanum" (drotcapazva), hogy az IMAP szerveruk veletlen szeru teruletrol hajlamos olvassni bizonyos levelek eseten. (bug reportolva, bar protokoll hiba cimmel)

8.0.2 -tol 8.5.x legujabbig hiba elojon, konnyen lehet hasonlo esettel van dolgunk.

Nagyon ugy nez ki, hogy workaround az lesz, hogy a leveleket tovabitjuk egy mas tipusu szerver fele, aminel nem jelentkezik a problema.

Amit nem lehet megirni assemblyben, azt nem lehet megirni.

Ez a "nem tudom lefordítani" szabvány devsupportos válasz. Sajnos a nagyobb cégeknél a developer supportos szekció (akár azok, akik a developereknek veszik fel a bugreportokat) többnyire segghülyékből áll, azaz olyan fejlesztőnek indult félmajmokból, akikről kiderült, hogy alkalmatlanok fejlesztőnek, márpedig egy-egy bazi cég sokszáz fős csapataiban azért a fejlesztői szakmai szint sem verdesi az eget, ráadásul a policy amivel dolgoznak olyan, hogy csak azt tolhatják tovább a fejesztőcsapatnak, amit házon belül is reprodukálnak.

Én a RIM (BlackBerry) TCP/IP implementációjában találtam bugot (data trashing) kb. két éve, reportoltuk.

1., először elhajtottak, hogy mivel csak szimulátorban reprodukálható, ezért nem érdekes
2., miután kijöttek a frissítések igazi device-okhoz is, ott is előjött, de csak közvetlen TCP kapcsolattal, vagyis ha nem használtad a RIM saját proxy rendszerét (BIS), emiatt közölték, hogy ez low priority bug.
3., küldünk nekik proof of concept kódot, visszaírták, hogy nem látnak semmi hibát ebben a kódban.
4., megírtuk, hogyha méltóztatnának lefordítani és futtatni, akkor előjönne a hiba
5., visszaírt a supportos, hogy futtatta a kódunkat, de az elhasználta az összes adatforgalmi korlátot a telefonján(!), miközben nem jött elő a hiba, ezért továbbiakban nem tud foglalkozni a problémával
6., írtam egy példa szerver-kliens párost, amely átküldte az angol ABC-t telefonról szerverre, előhozva a bugot igen kis adatmennyiséggel is. a két kódot, logokat, binárisokat szénné kommentezve átküldtem a supportnak.
7., mivel a logok textfájlban voltak, a support visszaírt, hogy ő nem tudja hogy kell két textfájlt összehasonlítani, ezért nem tudja elfogadni a bugreportot
8., na itt elszakadt a cérna, végül manageri úton, céges megkereséssel reklamáltunk. gondolom ezután felső nyomásra a developer support szerzett magának egy fejleszőt, amelyik náluk átírta az én kódom úgy, hogy ne az angol ABC-t, hanem egy .JPG képet küldjön át. miután látták, hogy az átküldött kép tényleg hibás lesz, elfogadták a kódot, és felvettek bugreportot, aztán kb. fél évvel később megjöttek a javított OS verziók is az eszközökre.

A RIM-es developer supportos csókának egyébként indiai neve volt, ránézésre... Valószínűleg tehát a ZDI által küldött bugreportok, főleg az IBM esetében (lásd: hogy kell lefordítani) el sem jutott hozzáértő emberig, hanem elakadt valami mailbox-nézegető félidiótában, aki elhajtotta őket mint a sz*rt és felvette a fizetését érte. Céges bürokrácia at its best.

-=- Mire a programozó: "Na és szerintetek ki csinálta a káoszt?" -=-

Az osszes indiai szarmazasu it-s szakemberre csak egy varazsszo letezik: ROTFL. Meg bananert sem csinaltatnek veluk bonyolultabb dolgot mint az egy es az egy osszeadasa. De itt is kell a QA mert neha harom lesz. Es ha ez rasszizmus, akkor vallalom.

---
pontscho / fresh!mindworkz

Azt kihagytam, hogy valahol pontok között volt egy 3 hónapos szünet, mivel a csókát (állítása szerint) elütötte egy autó és az alatt gyógyult, mi meg szoptunk a buggal. :) És az alatt senki nem nézte meg, mivan az általa karbantartott ügyekkel és a hozzá rendelt ügyfelekkel. A hab a tortán, hogy ez már a fizetős überhighlevel devsupport volt, nem is a mezei bárki írhat rá mailcím. :)

-=- Mire a programozó: "Na és szerintetek ki csinálta a káoszt?" -=-

visszaírt a supportos, hogy futtatta a kódunkat, de az elhasználta az összes adatforgalmi korlátot a telefonján(!), miközben nem jött elő a hiba, ezért továbbiakban nem tud foglalkozni a problémával

valahol pontok között volt egy 3 hónapos szünet, mivel a csókát (állítása szerint) elütötte egy autó és az alatt gyógyult

Banom, hogy nem lehettem jelen amikor beerkeztek ezek az uzenetek, igen jo lehetett a hangulat! :^)

----------------------
"ONE OF THESE DAYS I'M GOING TO CUT YOU INTO LITTLE PIECES!!!$E$%#$#%^*^"

Nyugi, van hasonló sztem minden multinál.. Ráadásul ezek csak a külsősök által jelentett hibák..A házon belül jelentettek szerintem benne sincsenek.
Mondjuk én már bugreport terén eljutottam addig, hogy már kapásból úgy küldöm a leírást, hogy "hiba", "így reprodukálható" (példa kód, vagy levezetés), és ritka esetben előfordult már, hogy azt is megírtam nekik, hogy én hogy javítanám. Mostanra eljutottam arra a szintre, hogy legalább tudom kinek kell szólni, aki ért is hozzá :))
____________________________________
Az embert 2 éven át arra tanítják hogyan álljon meg a 2 lábán, és hogyan beszéljen... Aztán azt mondják neki: -"Ülj le és kuss legyen!"..

( DieHappy | 2011. 02. 10., cs – 18:14 )

Ezek szerint a Six Months Initiative (SMI) talalobb elnevezes lenne :)