Microsoft старается изменить привычный подход к обсуждению сообщений об уязвимостях, сфокусировав внимание на концепции сотрудничества (collaboration). Вместо привычного термина “ответственное раскрытие” компания вводит понятие “согласованное раскрытие уязвимости”, которое предусматривает, что информация об уязвимости поступает непосредственно вендору соответствующего продукта, частной службе, координационному центру организации CERT или другому координатору, который самостоятельно передаст отчет вендору.
“Дебаты между сторонниками ответственного раскрытия и полного раскрытия (full disclosure) продолжаются бесконечно, что отвлекает внимание отрасли от конструктивного и плодотворного сотрудничества, направленного на защиту ИТ-систем заказчиков. Мы считаем, что это нужно изменить, и предлагаем ввести важный пункт, который подчеркивает существенную роль согласования и совместной работы для решения проблем таким образом, чтобы минимизировать риски и нарушения в работе ИТ-систем заказчиков”, — написал в блоге Мэтт Томлинсон, генеральный менеджер группы Trustworthy Computing компании Microsoft.
По его словам, в случае обнаружения вирусной атаки подробности об уязвимости могут быть публично раскрыты обнаружившим ее лицом и вендором, которые совместно выработают согласованное сообщение и советы пользователям. “Согласованное раскрытие уязвимости не очень сильно отличается от традиционного понятия ответственного раскрытия, но мы считаем, что, если не придерживаться предложенного нами подхода, то широкое раскрытие подробностей об уязвимостях может повысить риски заказчиков, — добавил он. — Требуется уделить больше внимания тому, как эти вопросы освещаются публично”.
Попытка Microsoft сместить фокус за счет игры слов последовала за дискуссией, развернувшейся после того, как в июне Тэвис Орманди публично сообщил о бреши в Windows спустя всего пять дней после передачи этой информации в Microsoft. Некоторые критиковали его за то, что он поторопился с массовым оповещением, но другие приводили примеры вендоров, игнорирующих сведения о дырах в безопасности, полученные от исследователей, и оставляющих клиентов без защиты.
Майк Риви, директор центра Microsoft Security Response Center, в своем блоге пишет, что когда он еще не работал в Microsoft, то следил за сообщениями исследователей и отмечал безответственное отношение к таким сообщениям со стороны компании. По его словам, сейчас Microsoft коренным образом изменила отношение. “Некоторые считают, что мы слишком медленно устраняем уязвимости, — пишет он. — Но ведь дело не в быстроте исправлений. Наш главный приоритет с точки зрения улучшения безопасности заключается в минимизации нарушений в работе заказчиков и защите их от онлайновых атак злоумышленников”.
Он отмечает, что Security Response Center получает в год более 100 тыс. электронных сообщений, из которых порядка одной тысячи являются обоснованными сведениями об уязвимостях. “Если из-за несогласованности действий исследователи открывают сведения о бреши до того, как мы выпустим обновление, этим могут воспользоваться злоумышленники, — пишет Риви. — Самое худшее случается, если вендор вообще не получает сведения об уязвимости, потому что тогда заказчики скорее всего останутся без средств защиты”.