ISIS станет источником секьюрити-информации 'open source'

www.zdnet.ru

Большое число хакеров и секьюрити-экспертов сообща создадут новую службу, которая займется сбором информации об уязвимостях, секьюрити-инструментах, а также мнений по вопросам компьютерной безопасности. Организация Internetworked Security Information Service (ISIS) объединит в свободный союз четыре независимых проекта: базу данных Open Source Vulnerability Database, службу определения причиненного ущерба Alldas.de, базу данных инструментального ПО PacketStorm и группу наблюдения за уязвимостями VulnWatch. «Существует множество коммерческих организаций, бесплатно предоставляющих информацию подобного рода, но всегда ли так будет?, — прокомментировал директор по исследованиям и разработкам секьюрити-фирмы @Stake Крис Уисопал (Chris Wysopal). — Мы называем свой проект 'open source', потому что содержащаяся в нем информация будет абсолютно открытой и бесплатной».

Объявление было сделано в Лас-Вегасе на конференции Black Hat Security Briefings, посвященной современным тенденциям в области компьютерной безопасности. Всего за неделю до этого Symantec приобрела компанию SecurityFocus, которой принадлежит список рассылки Bugtraq — самый популярный в секьюрити-сообществе источник информации об ошибках в ПО. Бывший президент SecurityFocus Стефани Фон (Stephanie Fohn) оценивает этот шаг как положительный: «Все, что дает сообществу дополнительные ресурсы, хорошо».

Представители новой организации не стали указывать пальцем на это приобретение как на одну из причин создания альянса, но подчеркнули, что коммерческим фирмам не будет дозволено играть в нем активную роль. «Мы не собираемся ничего продавать, — сказал модератор списка рассылки VulnWatch Стив Манзуйк (Steve Manzuik). — Поставщики, если захотят, могут использовать нашу информацию, но ISIS никогда не будет преследовать корыстные цели».

У VulnWatch уже есть один список рассылки информации об ошибках, а теперь к нему добавится второй, VulnDiscuss, который позволит секьюрити-экспертам и хакерам обсуждать детали, относящиеся к определенным проблемам. PacketStorm обеспечит участников инициативы ISIS доступом к средствам защиты и хакерским инструментам, а также к программным эксплойтам; а Alldas.de продолжит вести свою базу данных инцидентов, ставших причиной материального ущерба. В базе данных Open Source Vulnerability Database будет храниться информация об ошибках в ПО, которую каждый сможет скопировать и разместить на своем сайте.

На прошлой неделе специальный советник Президента США по кибербезопасности Ричард Кларк (Richard Clarke) поддержал критику производителей ПО за низкокачественные продукты. «Мы не должны рассчитывать на то, что компании, производящие ПО, выловят все его уязвимости, — сказал он. — Среди нас есть те, чья прямая обязанность заниматься этим». Кларк сделал выговор софтверной индустрии, интернет-сервис-провайдерам, производителям и пользователям аппаратуры беспроводных сетей и другим за то, что Соединенные Штаты оказались уязвимыми к атакам по интернету. Вместе с тем он подчеркнул, что те, кто находит ошибки в ПО, не должны предавать их гласности. «Безответственно, обнаружив слабое место, ставить об этом в известность весь мир до того, как будет выпущена поправка», — заявил он.