Wszystko o CERTCC

CERTCC wydaje dokumenty doradcze poświęcone programom, które powinny być bezpieczne, ale które mają znane problemy, skorygowane już przez producenta. Problem z bezpieczeństwem to zawsze rzecz niefortunna, ale jeśli został opisany w dokumencie doradczym CERTCC, to przynajmniej wiesz, że był niezamierzony

i że producent zadbał o jego rozwiązanie. Program bez dokumentów doradczych CERTCC może nie mieć żadnych problemów, ale może też być zaprojektowany bez dbałości o bezpieczeństwo, rozpowszechniany przez producenta, który nigdy nie poprawia błędów, albo mieć problemy, które nigdy nie zostały zgłoszone w CERTCC. Ponieważ CERTCC zajmuje się głównie środowiskiem uniksowym, problemy platform nieuniksowych pojawiają się tu rzadziej, ale nie oznacza to, że nie istnieją.

Inne listy podatności na atak są często lepszym odzwierciedleniem rzeczywistych zagrożeń, ponieważ wymieniają problemy zignorowane przez producenta oraz takie, które wprowadzono rozmyślnie. Z drugiej strony, zbyt często przypominają one konkurs popularności. Listy sporządzane przez napastników oraz ludzi usiłujących dotrzymać im kroku koncentrują się na atakach, które dają najlepsze wyniki kosztem najmniejszego wysiłku. Oznacza to, że popularne programy pojawiają się na nich często, a programy niepopularne nie zyskują większego rozgłosu, choć często są dużo mniej bezpieczne od tych pierwszych.

Ponadto ludzie posługujący się tym argumentem często podają przerażające liczby bez odpowiedniego kontekstu. Przypuśćmy, że pewna witryna WWW wymienia dwadzieścia siedem różnych podatności na atak w danym programie. Jeśli witryna jest prowadzona uważnie przez jednego administratora, może to być dwadzieścia siedem odrębnych podatności na atak jeśli nie, może to być dziewięć tych samych podatności, każda zgłoszona po trzy razy. Tak czy owak, informacja ta nie jest zbyt interesująca, jeśli konkurencyjny program ma ich dwieście siedemdziesiąt!

Leave a reply

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>