Już od dłuższego czasu producenci oprogramowania i hakerzy dyskutują o tym, jak najlepiej obchodzić się z nowo odkrywanymi lukami w zabezpieczeniach. Podczas jednej z dyskusji w ramach konferencji bezpieczeństwa RSA w San Francisco dotyczącej odpowiedzialnego ujawniania usterek (Responsible Disclosure) swój krytyczny stosunek do zachowania producentów oprogramowania wyraził między innymi odkrywca Metasploita H. D. Moore. Publikuje on szczegóły na temat odkrywanych przez siebie luk bez konsultacji z producentami, w związku z czym ci ostatni zarzucają mu nieodpowiedzialność. Tymczasem Moore zapytał, kto tak naprawdę jest nieodpowiedzialny: haker, który upublicznia lukę, czy producent, który mimo lepszej wiedzy przez wiele miesięcy nie raczy jej naprawić.

Ponadto Moore wielokrotnie spotykał się z sytuacjami, w których producenci oprogramowania nie są w stanie dostarczyć na czas odpowiednich poprawek, mimo uprzednich deklaracji co do terminu ich ukazania się. Nieistotne, czy chodzi tu o 30, 60, 90 czy 120 dni – terminy te nigdy nie są dotrzymywane. Jeśli jednak kod exploit’a nagle pojawi się na jakimś forum, poprawka jest gotowa w ciągu dziesięciu dni.

Obecni na konferencji przedstawiciele koncernów Adobe i Microsoft tłumaczyli ciągnące się miesiącami opóźnienia koniecznością przeprowadzania obszernych testów wprowadzanych poprawek. Brad Arkin, który w Adobe odpowiada za bezpieczeństwo produktów i ochronę danych, stwierdził, że obecnie zaprogramowanie właściwej poprawki zajmuje czasami nawet tylko jeden dzień. „Jednak samo testowanie może potrwać wiele tygodni, ponieważ np. w przypadku Adobe Readera musimy przetestować 29 różnych wersji w 80 różnych językach”. Mimo to firmie Adobe udało się w ubiegłym roku zredukować czas testów z ośmiu tygodni do 15 dni i to przy takim samej faktycznej liczbie roboczogodzin.

Tim Stanley, CISO w liniach lotniczych Continental Airlines, skierował mocne słowa do obydwu producentów: „Mnie jest obojętne, jakie panują stosunki między hakerami a producentami. Płacę bezpośrednio i pośrednio za pracę obydwu grup i chcę, aby luki były zamykane tak szybko, jak to tylko jest możliwe”. Ponadto Stanley uważa, że nie do zaakceptowania jest fakt, że firmy takie jak Microsoft przez wiele miesięcy, a nawet lat wiedzą o lukach, a ich nie łatają ani też nie informują o nich klientów. Jest mu obojętne, nad iloma lukami jednocześnie producent pracuje i jakie przez to powstają opóźnienia w testach. „Jeśli nie jesteście w stanie zapewnić odpowiednich zasobów w celu szybkiego rozwiązania problemów, poszukajcie sobie innej branży” – grzmiał Stanley.

Ekspert od bezpieczeństwa Steve Dispensa postulował, aby producenci przez proponowanie aktualizacji przynajmniej sugerowali między wierszami, iż z wersji, których one dotyczą, nie powinno się korzystać z uwagi na występujące w nich luki w zabezpieczeniach. Producenci oprogramowania nie palą się do takich deklaracji, ponieważ obawiają się, że na podstawie tego typu porad można szybko odgadnąć, w jakim konkretnym produkcie znajdują się luki. Reakcja Tima Stanleya była znów nerwowa: „Żarty sobie robicie? Źli chłopcy są wystarczająco sprytni. Oni są w stanie wykryć lukę i bez waszych wskazówek”.

Z kolei Dispensa na podstawie własnych doświadczeń stwierdził, że sami eksperci często nie wiedzą, jak powinni wykorzystać zdobyte informacje. Nie wiadomo, do kogo trzeba się zwrócić, jeśli np. odkryje się lukę w protokole typu SSL. „Jestem w stanie zrozumieć, że jeśli ktoś ma w perspektywie informowanie kilkunastu producentów, to woli opublikować informację o błędzie po prostu na forum” – powiedział Dispensa.

Wszyscy uczestnicy dyskusji zgodzili się jednak, że producenci oprogramowania i dostawcy usług sieciowych powinni zdefiniować odpowiedni proces kontaktu z hakerami. „Nie może być tak, że drogocenne informacje na temat poważnych luk giną w potoku ogólnych zgłoszeń pomocy technicznej danego producenta” – stwierdziła Katie Moussouris z Microsoftu. Michael Barrett, CISO w spółce córce eBaya – PayPal – był „zniesmaczony faktem, w jaki sposób niektóre firmy podają wskazówki do obchodzenia się z hakerami na swoich stronach internetowych”.

Z kolei dla Moore’a znacznie bardziej skandaliczny jest fakt, że luki nie są łatane we wszystkich wersjach danego oprogramowania. „W niektórych produktach znajduje się prastary kod. Jeśli łatane będą tylko aktualne wersje, np. Windows 7 i Windows Vista, wówczas nikt nie powie klientom, że problemem dotknięte są także Windows XP i Windows Server 2003″. Tim Stanley wyraził się jeszcze bardziej dobitnie: „Nieuwzględnianie starych wersji podczas łatania i nieinformowanie klientów o zagrożeniach to po prostu skandal”. Zwracając się do Adobe, Stanley nadmienił wręcz, że tego rodzaju postępowanie ociera się o oszustwo biznesowe.