Slo-tech zaradi razkritja varnostnih lukenj (skoraj) na zatožni klopi

Slo-tech zaradi razkritja varnostnih lukenj (skoraj) na zatožni klopi

Med glavnimi temami letošnje izvedbe konference etičnega hekinga HEK.SI bo odgovorno razkrivanje varnostnih ranljivosti v informacijskih sistemih. O tem bo na konferenci, ki bo potekala 6. in 7. aprila v Ljubljani, spregovoril tudi vodja centra SI-CERT Gorazd Božič. Vodja nacionalnega odzivnega centra za obravnavo incidentov s področja varnosti elektronskih omrežij SI-CERT bo spregovoril o odgovornem razkrivanju ranljivosti na primeru Ajpesa. Pred kratkim je namreč tehnološki novičarski portal Slo-Tech na podlagi ugotovitev neimenovanih varnostnih raziskovalcev razkril več resnih varnostnih ranljivosti na spletišču Agencije RS za javnopravne evidence in storitve (Ajpes). SI-CERT je ob tem primeru objavil javno obvestilo o odgovornem razkrivanju ranljivosti. Slednje predvideva, da oseba, ki odkrije ranljivost, to sporoči proizvajalcu, skrbniku sistema ali razvijalcu programske opreme, lahko neposredno ali pa prek neodvisne tretje osebe oziroma koordinatorja. V Sloveniji lahko vlogo koordinatorja opravi tudi SI-CERT. Prijavitelj pri tem uskladi predajo informacij in časovne okvire za izdelavo popravkov in nadgradenj. Hkrati se obe strani uskladita tudi glede časovnega roka objav ranljivosti. Obstoječi dokumenti o tem navajajo roke 30, 45 ali celo 60 dni za odpravo napak. Vse stranke v postopku se tudi dogovorijo za načine objave ranljivosti. Tovrstno odgovorno razkrivanje po navedbah SI-CERT ščiti tudi prijavitelja samega in mu omogoča anonimnost. To, da se priznava koristnost postopkov odgovornega razkrivanja, namreč ne pomeni, da lahko kdorkoli brez posledic poskuša vdreti v katerikoli sistem na omrežju, izrablja najdene ranljivosti in objavlja neupravičeno pridobljene podatke. Raziskovalci ranljivosti lahko ob neustrezni predhodni pripravi namreč prestopijo mejo, ko skrbnik sistema ne bo mogel prepoznati, da ne gre za zlonameren vdor in bo zahteval ustrezno ukrepanje organov pregona. Prijavitelj mora tudi vzeti v obzir posledice poskušanj izrabe ranljivosti, med ka

Med glavnimi temami letošnje izvedbe konference etičnega hekinga HEK.SI bo odgovorno razkrivanje varnostnih ranljivosti v informacijskih sistemih. O tem bo na konferenci, ki bo potekala 6. in 7. aprila v Ljubljani, spregovoril tudi vodja centra SI-CERT Gorazd Božič. Vodja nacionalnega odzivnega centra za obravnavo incidentov s področja varnosti elektronskih omrežij SI-CERT bo spregovoril o odgovornem razkrivanju ranljivosti na primeru Ajpesa. Pred kratkim je namreč tehnološki novičarski portal Slo-Tech na podlagi ugotovitev neimenovanih varnostnih raziskovalcev razkril več resnih varnostnih ranljivosti na spletišču Agencije RS za javnopravne evidence in storitve (Ajpes). SI-CERT je ob tem primeru objavil javno obvestilo o odgovornem razkrivanju ranljivosti. Slednje predvideva, da oseba, ki odkrije ranljivost, to sporoči proizvajalcu, skrbniku sistema ali razvijalcu programske opreme, lahko neposredno ali pa prek neodvisne tretje osebe oziroma koordinatorja. V Sloveniji lahko vlogo koordinatorja opravi tudi SI-CERT. Prijavitelj pri tem uskladi predajo informacij in časovne okvire za izdelavo popravkov in nadgradenj. Hkrati se obe strani uskladita tudi glede časovnega roka objav ranljivosti. Obstoječi dokumenti o tem navajajo roke 30, 45 ali celo 60 dni za odpravo napak. Vse stranke v postopku se tudi dogovorijo za načine objave ranljivosti. Tovrstno odgovorno razkrivanje po navedbah SI-CERT ščiti tudi prijavitelja samega in mu omogoča anonimnost. To, da se priznava koristnost postopkov odgovornega razkrivanja, namreč ne pomeni, da lahko kdorkoli brez posledic poskuša vdreti v katerikoli sistem na omrežju, izrablja najdene ranljivosti in objavlja neupravičeno pridobljene podatke. Raziskovalci ranljivosti lahko ob neustrezni predhodni pripravi namreč prestopijo mejo, ko skrbnik sistema ne bo mogel prepoznati, da ne gre za zlonameren vdor in bo zahteval ustrezno ukrepanje organov pregona. Prijavitelj mora tudi vzeti v obzir posledice poskušanj izrabe ranljivosti, med ka

Scroll to top
Skip to content