Egyedül nem megy

2021. március 04. 18:58 - Csizmazia Darab István [Rambo]

A sebezhetőségek hatékony felderítése kritikus fontosságú - ehhez gondoljunk csak például a mostani Microsoft Exchange nulladik napi hibára, amit a hírek szerint a támadók aktívan ki is használtak. Az Intel friss beszámolója szerint nagyjából fele-fele arányban találják meg házon belül, illetve külsős bug bounty felhívás keretében a sérülékenységeket.

Rengeteg helyen fut már hibavadász kampány, amelynek keretében az új, ismeretlen hibák felfedezőit a vállalatok a hiba jellegétől, súlyosságától függően jutalmazzák. Az teljesen biztos, hogy sokkal szerencsésebb, hatékonyabb, olcsóbb, ha ennek keretében derül ki hiányosság, mintha később élesben használnak ki ismeretlen biztonsági réseket.

A mostani 2020-as biztonsági beszámoló szerint az Intel termékeiben bejelentett 231 sebezhetőség közül 109 problémát (47%) találtak a belső munkatársak, míg 105 darabról (45%) a hibavadász programban résztvevő külső kutatók számoltak be. Részletes kimutatás nincs ezekről, de összességében 800 ezer dollárt fizettek ki a külsősöknek.

Ugyanez a számarány 2019-ben még kétharmadnyi volt: 70 belsős, 105 külsős felfedezéssel. Az mindenesetre elmondható, hogy az ilyen jellegű ráfordítás hasznos és megtérülő.

A külső kutatók általában a szoftver meghajtókra (grafikus, hálózati és Bluetooth) összpontosítottak, míg a belső munkatársak jobbára a bonyolultabb firmware vagy hardver sebezhetőségeket keresték. Az olyan hardveres biztonsági réseket, mint amilyen például a Spectre és a Meltdown tervezési hibák, viszont sajnos nagyon nehéz utólag javítani vagy csökkenteni a kockázatokat.

Összességében az Intel platformjai és szoftverei 2020-ban 6 kritikus, 80 magas besorolású, 131 közepes és 14 alacsony súlyosságú sebezhetőséggel rendelkeztek.

Szólj hozzá!

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása