HARD CORE SECURITY LAB

Microsoft zamierza dostarczać rządom szczegółowe informacje techniczne na temat luk w swym oprogramowaniu, które dopiero oczekują na wydanie poprawek. W zamyśle, Defensive Information Sharing Program (DISP) ma zapewnić kluczowym instytucjom rządowym na  na całym świecie dostęp do informacji o lukach w oprogramowaniu firmy Microsoft, zanim gigant z Redmond wyda odpowiednie aktualizacje, czy jednak informacje te nie trafią również w ręce komputerowych przestępców?

Jak zapowiedział Steve Adegbite z firmy Microsoft, członkowie programu DISP uzyskają bezprecedensowy dostęp do najświeższych informacji, natychmiast po zakończeniu analizy odkrytej luki i jeszcze przed przygotowaniem odpowiedniej poprawki:

We will provide this information after our investigative and remediation cycle is completed to ensure that DISP members are receiving the most current information. While this process varies from issue to issue due to the complex nature of vulnerabilities, disclosure will happen just prior to our security update release cycles.

Zapowiedziany program, ma pozwolić instytucjom rządowym na jak najszybsze reagowanie oraz przeciwdziałanie zagrożeniom związanym z lukami odkrywanymi w produktach oraz technologiach firmy Microsoft. Pełne uzasadnienie decyzji giganta można odnaleźć w tym wpisie. Generalnie chodzie jednak zapewne o to, by rządy poszczególnych państw z większa ufnością patrzyły na produkty amerykańskiego giganta i nie obawiały się zagrożeń związanych z atakami typu Zero Day.

Microsoft zapowiedział również uruchomienie programu Critical Infrastructure Partner Program (CIPP), który z kolei ma zapewnić wybranym kluczowym klientom dostęp do dodatkowych informacji pozwalających na skuteczniejsze zabezpieczenie kluczowych systemów informatycznych.

Inicjatywa utworzenia programów DISP oraz CIPP jest bardzo interesująca, ciekawe jednak, w jaki sposób zostanie w praktyce zrealizowana. Czy dostęp do dodatkowych informacji będą miały wszystkie, czy też tylko wybrane rządy? Co z władzami (np. chińskimi) podejrzewanymi o dokonywanie cyberataków wymierzonych w inne państwa? Nie jest przecież tajemnicą, że szczegółowe informacje na temat luk Zero Day są przydatne nie tylko do zabezpieczenia się przed potencjalnym atakiem, ale również do... utworzenia skutecznych exploitów.

Nawet jeśli rządy nie wykorzystają powyższych informacji w celu zwalczania wrogich państw, to pozostaje pytanie, czy tak cenne informacje nie będą wyciekać do grup przestępczych trudniących się produkcja złośliwego oprogramowania? Jak wiemy, internetowa mafia jest w stanie słono zapłacić za informacje na temat luk typu Zero Day. Pytanie więc, czy w żadnym z rządów nie znajdą się osoby skłonne do sprzedaży informacji udostępnianych przez Microsoft? Jeśli tak się stanie, to paradoksalnie nowe pomysły giganta mogą się przyczynić do pogorszenia stanu ogólnego bezpieczeństwa rozwiązań firmy Microsoft...

[źródło]