Úplné zveřejnění

V oblasti počítačové bezpečnosti nezávislí výzkumníci často nacházejí chyby v softwaru, které lze zneužít k neočekávanému chování programu. Tyto slabé stránky se nazývají zranitelnosti . Proces, kterým jsou výsledky výzkumu zpřístupňovány třetím stranám, je předmětem vášnivých diskusí a označuje se jako politika zpřístupňování informací vyšetřovatele.

Úplné zveřejnění  je postup zveřejňování výsledků výzkumu zranitelnosti softwaru co nejdříve a zpřístupnění dat všem bez omezení.

Hlavním argumentem „pro“ tak široké šíření informací je, že potenciální oběti jsou si také vědomy zranitelnosti a také ti, kteří na ně útočí. [jeden]

Bruce Schneier ve své eseji na toto téma uvádí: „Úplné odhalení – zveřejnění podrobností o zranitelnosti – je zatraceně dobrý nápad. Veřejná kontrola je jediný spolehlivý způsob, jak zvýšit bezpečnost, zatímco tajemství naši bezpečnost pouze snižují.“ [2]

Leonard Rose, jeden z tvůrců e-mailové konference, která nahradila bugtraq jako de facto fórum pro šíření bezpečnostních rad, vysvětluje: „Nevěříme v dosahování bezpečnosti pomocí nejasností , pokud víme, plné nejen zasvěcení mají přístup k potřebným informacím." [3]

Debata o odhalení zranitelnosti

Kontroverze kolem zveřejňování důvěrných informací není nová. Otázka úplného odhalení byla poprvé nastolena v souvislosti s výrobou zámků. V 19. století se diskutovalo o tom, zda by zranitelnost zámků měla být zámečnickou komunitou utajena nebo zveřejněna. [čtyři]

Dnes existují tři hlavní zásady zveřejňování, podle kterých lze většinu zbytku distribuovat: [5] Nezveřejňování, koordinované zveřejňování a úplné zveřejňování.

Hlavní aktéři výzkumu zranitelnosti změnili svou politiku zveřejňování v důsledku různých faktorů. Není neobvyklé prosazovat vlastní politiku jako hlavní a odsuzovat ty, jejichž politika zveřejňování je odlišná. Mnoho předních bezpečnostních výzkumníků dává přednost úplnému zveřejnění, zatímco většina prodejců preferuje koordinované zveřejnění. Nezveřejnění je obvykle volbou dodavatelů zranitelnosti a black hat hackerů. [6]

Koordinované zveřejňování

Zastánci koordinovaného zveřejňování věří, že dodavatelé softwaru mají právo kontrolovat informace o zranitelnostech jejich produktů. [7] Základní zásadou koordinovaného zveřejňování je, že nikdo by neměl být informován o zranitelnosti produktu, dokud vývojář nedá souhlas. I když existují odchylky a výjimky z této politiky, distribuce by měla být zpočátku omezena a výrobci by měli mít přístup k uzavřeným studiím. Zastánci koordinovaného odhalování preferují úhledný, ale méně přesný termín „zodpovědné odhalování“, který vytvořil šéf bezpečnosti společnosti Microsoft Scott Culp ve svém článku „Je čas ukončit informační anarchii“ [8] (o úplném odhalení). Později zástupci Microsoftu trvali na změně termínu na „koordinované zveřejňování“. [9]

Zatímco rozsudky podléhaly změnám, mnoho společností a výzkumníků tvrdilo, že koncoví uživatelé nemohou mít prospěch z přístupu k informacím o zranitelnosti bez pokynů nebo záplat od výrobce, takže riziko, že se výzkum dostane do nesprávných rukou, je příliš velké. Jak vysvětluje Microsoft, „[Coordinated Disclosure] slouží zájmům všech tím, že zajišťuje, aby uživatelé dostávali komplexní a vysoce kvalitní aktualizace pro zranitelnosti zabezpečení, ale zároveň nebyli během vývoje k dispozici útočníkům.“ [deset]

Argumenty proti koordinovanému zveřejnění

Výzkumníci, kteří upřednostňují koordinované zveřejňování, se domnívají, že uživatelé nemohou využívat další znalosti o zranitelnostech bez pomoci vývojáře a že většina by na tom byla lépe, kdyby bylo šíření informací o zranitelnosti omezené. Zastánci argumentují, že útočníci s nízkou kvalifikací mohou tyto informace využít k zahájení sofistikovaných útoků, které by pro ně jinak byly neproveditelné, a potenciální přínos nepřevyšuje potenciální újmu ze strany útočníků. Teprve když vývojář připravil příručku, která umožní pochopit informace i nezkušeným uživatelům, pak mohou být informace zveřejněny.

Tento argument naznačuje, že odhalení zranitelnosti může provést pouze jedna osoba. Existuje mnoho příkladů, kdy byly zranitelnosti nalezeny ve stejnou dobu a poté tajně zneužity, než byly objeveny jinými výzkumníky. [11] I když mohou existovat uživatelé, kteří nemohou těžit z informací o zranitelnostech, zastánci úplného odhalení se domnívají, že jde o projev pohrdání inteligencí koncových uživatelů. Je pravda, že někteří uživatelé nedokážou využít informace o zranitelnosti, ale pokud jim opravdu záleží na bezpečnosti svých sítí, mohou si na pomoc najmout odborníka, stejně jako si můžete najmout mechanika, který vám pomůže se strojem.

Úplné zveřejnění

Úplné zveřejnění je zásada zveřejňování informací o zranitelnostech bez omezení, co nejrychleji, a zpřístupnění informací veřejnosti bez omezení. Obecně se zastánci úplného zveřejnění domnívají, že přínosy volně dostupných informací o zranitelnosti převažují nad riziky, zatímco jejich odpůrci dávají přednost omezení šíření.

Volný přístup k informacím o zranitelnostech umožňuje uživatelům a správcům, aby si byli vědomi zranitelností ve svých systémech a reagovali na ně, a umožňuje spotřebitelům tlačit na vývojáře, aby opravovali zranitelnosti, které by jinak neměli motivaci opravovat. Existuje několik základních problémů, které může úplné zveřejnění vyřešit.

  • Pokud si spotřebitelé nejsou vědomi zranitelnosti, nemohou požadovat opravy a pro vývojáře není ekonomicky možné opravovat zranitelná místa, aniž by je vyžadovali.
  • Správci nemohou přijímat informovaná rozhodnutí o rizicích ve svých systémech, pokud nejsou k dispozici informace o zranitelnostech.
  • Útočníci, kteří také vědí o chybě, ji mohou využívat po dlouhou dobu

Nalezení konkrétní chyby nebo zranitelnosti není výlučné; několik výzkumníků s různými cíli může nezávisle objevit stejné nedostatky.

Neexistuje žádný standardní způsob, jak zveřejnit informace o zranitelnostech, obvykle výzkumníci používají seznamy předplatitelů na téma, akademické práce nebo mezinárodní konference.

Nezveřejnění

Nezveřejňování je zásada, že zranitelná místa by neměla být sdílena nebo by měla být sdílena, ale pouze na základě dohody o mlčenlivosti.

Typickými zastánci mlčenlivosti jsou dodavatelé zranitelností, výzkumníci, kteří plánují zneužít objevené zranitelnosti, a vývojáři, kteří věří, že jakákoli informace o zranitelnosti pomáhá hackerům.

Argumenty proti nezveřejnění

Nezveřejnění se obvykle používá, když výzkumník plánuje využít znalosti zranitelnosti k útoku na počítačové systémy svých oponentů nebo prodat tyto znalosti třetí straně, která je použije k útoku na oponenty.

Výzkumníci, kteří praktikují nezveřejňování, se obecně nezabývají zvyšováním bezpečnosti nebo ochrany sítí. Někteří zastánci však tvrdí, že jednoduše nechtějí vývojářům pomáhat a nemají v úmyslu ubližovat ostatním.

Zatímco zastánci úplného a koordinovaného zveřejňování sdílejí společné cíle, neshodují se pouze na tom, jak jich dosáhnout, nezveřejňování je s nimi zcela neslučitelné.

Poznámky

  1. Heiser, Jay odhalující infosecurity humbuk . Informační bezpečnost Mag . technický cíl. Načteno: 1. ledna 2001.
  2. Schneier, Bruce Zatraceně dobrý nápad . CSO Online. Získáno 29. dubna 2013. Archivováno z originálu 5. července 2013.
  3. Rose, Leonard Full-Disclosure (odkaz není k dispozici) . Lehce moderovaný seznam adresátů pro diskusi o bezpečnostních otázkách . Získáno 29. dubna 2013. Archivováno z originálu 23. prosince 2010. 
  4. Hobbs, Alfred. Zámky a trezory: Konstrukce  zámků . — Londýn: Virtue & Co., 1853.
  5. Shepherd, Stephen Zveřejnění zranitelnosti: Jak definujeme odpovědné zveřejnění? . SANS GIAC SEC PRAKTICKÁ VER. 1.4B (VOLBA 1) . Institut SANS. Získáno 29. dubna 2013. Archivováno z originálu 22. března 2013.
  6. Moore, Robert. Počítačová kriminalita : Vyšetřování počítačové kriminality využívající špičkové technologie  . - Matthew Bender & Company , 2005. - S.  258 . — ISBN 1-59345-303-5 .
  7. Christey, Steve Proces sdělování odpovědných chyb zabezpečení 3.3.2. IETF. Získáno 29. dubna 2013. Archivováno z originálu 8. července 2013.
  8. Culp, Scott Je čas ukončit informační anarchii . zabezpečení technetu . Microsoft TechNet. Staženo: 29. dubna 2013.
  9. Dobrý den, Dane Microsoft ukládá všem zaměstnancům politiku zveřejňování informací o zabezpečení . Registr . Získáno 29. dubna 2013. Archivováno z originálu 25. května 2013.
  10. Microsoft Security Coordinated Vulnerability Disclosure (odkaz není dostupný) . Získáno 29. dubna 2013. Archivováno z originálu 7. března 2013. 
  11. B1tch3z, Ac1d Ac1db1tch3z vs x86_64 Linux Kernel . Získáno 29. dubna 2013. Archivováno z originálu 25. května 2013.