Computerworld News Service: IBM, Hewlett-Packard og Microsoft har den tvivlsomme ære at ligge øverst på listen over virksomheder, der flest gange ikke får lukket sårbarheder inden for seks måneder efter at de er blevet gjort opmærksom på dem af verdens største program, der udlover dusører for softwarefejl, oplyser HP TippingPoints Zero-Day Initiative (ZDI).
I 2011 udgav TippingPoint - der er en division af Hewlett-Packard - 29 såkaldte 0-dags-varsler med information om sårbarheder, den havde rapporteret til leverandører mindst seks måneder tidligere.
10 af de 29 var om fejl i software fra IBM, seks om fejl i HP's egen software og fem var om fejl i Microsofts software.
Af andre virksomheder på listen over nølende softwareleverandører kan nævnes CA, Cisco og EMC.
TippingPoint, som måske er bedst kendt som sponsor for den årlige hackerkonkurrence Pwn2Own, køber sårbarheder fra uafhængige sikkerhedseksperter og rapporterer dem bag lukkede døre til leverandørerne.
Herefter bruger TippingPoint informationerne til at bygge sikkerhedsforanstaltninger til sit eget sikkerheds-udstyr.
Sikkerhedsvarsler
Midt på året 2010 oplyste TippingPoint fremover, at selskabet ville offentliggøre et sikkerhedsvarsel med "begrænsede detaljer" om fejlen, hvis ikke leverandøren inden for seks måneder havde udgivet en rettelse af en rapporteret sårbarhed.
TippingPoint udgav sit første 0-dags-varsel 7. februar 2011.
Sidste år udtalte TippingPoint, at organisationen brugte denne frist på seks måneder til at tvinge softwareudviklerne til at udgive rettelser hurtigere.
"Offentliggørelse af denne slags informationer bringer leverandørerne i rampelyset," sagde Aaron Portnoy, der er chef for TippingPoints sikkerhedsanalyseteam, i et interview på daværende tidspunkt.
Har virket efter hensigten
I dag siger Portnoy og Derek Brown, der er analytiker hos ZDI, at programmet mere eller mindre har virket efter hensigten.
"Resultatet har været en bedre reaktionstid," siger Brown.
"Hvis leverandørerne ikke udviser rettidig omhu, og det ikke ser ud som om, de lægger en dedikeret indsats for at udgive en rettelse, efter vi har arbejdet med dem, så udgiver vi informationen som et 0-dags-varsel."
"Det drejer sig ikke blot om sårbarhedernes faktiske konsekvenser, men også om deres opfattede konsekvenser," argumenterer Portnoy. "Det lægger pres på leverandørerne om at rette deres produkter, fordi antallet af åbne sårbarheder kan forme opfattelsen af, hvor sikkert produktet er."
Portnoy henviser også til en række klare succeshistorier.
"Visse sikkerhedsteams har takket os for at have smidt et 0-dags-varsel i hovedet på dem," siger Portnoy. "De fortæller, at det har gjort dem i stand til at argumentere overbevisende for, at de skulle have flere ressourcer."
Microsoft lukkede alle de fem sårbarheder i Office, som ZDI offentliggjorde 7. februar 2011, med sine sikkerhedsbulletiner fra april, navnlig MS11-021, MS11-022 og MS11-023. ZDI oplyste Microsoft om disse sårbarheder i tre omgange tilbage i 30. juni, 20. juli og 25. august 2010.
IBM og HP har endnu ikke lukket de 16 sårbarheder, som er blevet offentliggjort af dusørprogrammets 0-dags-varsler, hvoraf nogle blev rapporteret af ZDI for op til tre år siden.
Oversat af Thomas Bøndergaard
