IBM против нечестной игры

Крис Роуланд (Chris Rouland), один из руководителей IBM Internet Security Systems, подразделения Голубого Гиганта, занимающегося поиском и борьбой с угрозами информационной безопасности, заявил, что его коллеги из других компаний того же профиля намеренно скрывают данные о найденных ими уязвимостях. Свои выводы он подкрепляет странной статистикой, выявившейся в ходе подготовки ежегодного отчета X-Force. В 2007 году, говорится в отчете, впервые за 10 лет было найдено на 5,4% меньше брешей в защите компьютерных систем, чем в предыдущем.

Роуланд считает, что существует развитый черный рынок уязвимостей, которые эксперты по компьютерной безопасности продают как преступникам, так и самим авторам ПО. Причем цели последних так же понятны, как и у первых: никто не хочет рисковать своей репутацией и не желает привлечения внимания к своим просчетам, предпочитая исправлять их втихую. Высокая прибыльность такой «бизнес-модели» для исследовательских контор делает практически невозможным оценку реального количества дыр, которые находятся ими ежегодно.

Сторонние эксперты, однако, не понимают в чем причины такого волнения со стороны уважаемого Роуланда: вместе со снижением общего числа уязвимостей, число критических брешей, по данным того же X-Force и IBM, подскочило за прошлый год почти на треть. Да и сам факт обнаружения и опубликования уязвимости совсем не гарантирует оперативную реакцию на него производителя ПО, что часто делает труд исследователей почти бессмысленным.