Скоординированное раскрытие уязвимостей

В компьютерной безопасности скоординированное раскрытие уязвимостей ( CVD , ранее известное как ответственное раскрытие ). ^[1] — это модель раскрытия уязвимостей , при которой уязвимость или проблема раскрывается общественности только после того, как ответственным сторонам будет предоставлено достаточно времени для исправления или устранения уязвимости или проблемы. ^[2] Такая координация отличает модель CVD от модели « полного раскрытия информации ».

Разработчикам аппаратного и программного обеспечения часто требуется время и ресурсы для исправления своих ошибок. Часто эти уязвимости находят этические хакеры. ^[1] Хакеры и ученые в области компьютерной безопасности считают, что их социальная ответственность — сообщать общественности об уязвимостях. Сокрытие проблем может вызвать чувство ложной безопасности . Чтобы избежать этого, вовлеченные стороны согласовывают и согласовывают разумный период времени для устранения уязвимости. В зависимости от потенциального воздействия уязвимости, ожидаемого времени, необходимого для разработки и применения экстренного исправления или обходного пути, а также других факторов, этот период может варьироваться от нескольких дней до нескольких месяцев.

Скоординированное раскрытие уязвимостей может не удовлетворить исследователей безопасности, которые ожидают финансовой компенсации. В то же время сообщение об уязвимостях с ожиданием компенсации некоторые рассматривают как вымогательство. ^[3]^[4] Несмотря на развитие рынка уязвимостей, коммерциализация уязвимостей (или «награды за обнаружение ошибок») остается горячо обсуждаемой темой. Сегодня двумя основными игроками на коммерческом рынке уязвимостей являются iDefense, которая запустила свою программу для участников уязвимостей (VCP) в 2003 году, и TippingPoint с их инициативой нулевого дня (ZDI), запущенной в 2005 году. Эти организации следуют скоординированному процессу раскрытия уязвимостей. с купленным материалом. С марта 2003 г. по декабрь 2007 г. в среднем 7,5% уязвимостей, затрагивающих Microsoft и Apple, были обработаны VCP или ZDI. ^[5] К независимым фирмам, оказывающим финансовую поддержку скоординированному раскрытию уязвимостей путем выплаты вознаграждений за обнаружение ошибок, относятся Facebook , Google и Barracuda Networks . ^[6]

Политика раскрытия информации

У Google Project Zero есть 90-дневный срок раскрытия информации, который начинается после уведомления поставщиков об уязвимости, а подробности становятся общедоступными для защитного сообщества через 90 дней или раньше, если поставщик выпустит исправление. ^[7]

У ZDI есть 120-дневный срок раскрытия информации, который начинается после получения ответа от поставщика. ^[8]

Примеры

Отдельные уязвимости безопасности , устраненные путем скоординированного раскрытия информации:

Коллизионная атака MD5 , показывающая, как создавать ложные сертификаты CA, 1 неделя. ^[9]
Подарочная карта Starbucks с двойным расходом/гонка за созданием бесплатных дополнительных кредитов, 10 дней (Егор Хомаков) ^[10]
Дэн Камински обнаружил отравление кэша DNS , 5 месяцев ^[11]
MBTA против Андерсона , студенты Массачусетского технологического института находят уязвимость в системе безопасности метро Массачусетса, 5 месяцев ^[12]
Университет Радбауд в Неймегене взламывает безопасность карт MIFARE Classic, 6 месяцев ^[13]
Уязвимость Meltdown , аппаратная уязвимость, затрагивающая микропроцессоры Intel x86 и некоторые микропроцессоры на базе ARM , 7 месяцев. ^[14]
Уязвимость Spectre , аппаратная уязвимость с реализациями предсказания ветвей, затрагивающая современные микропроцессоры со спекулятивным выполнением , позволяющая вредоносным процессам получить доступ к содержимому отображенной памяти других программ, 7 месяцев. ^[14]
Уязвимость ROCA , затрагивающая ключи RSA, сгенерированные библиотекой Infineon и Yubikeys , 8 месяцев. ^[15]

См. также

Ссылки

^ Jump up to: ^а ^б Дин, Аарон Йи; Де Иисус, Джанлука Лимон; Янссен, Марин (2019). «Этический хакинг для повышения эффективности управления уязвимостями Интернета вещей» . Материалы Восьмой Международной конференции по телекоммуникациям и дистанционному зондированию . Ictrs '19. Родос, Греция: ACM Press. стр. 49–55. arXiv : 1909.11166 . дои : 10.1145/3357767.3357774 . ISBN 978-1-4503-7669-3 . S2CID 202676146 .
^ Веулен Краненбарг, Марлен; Холт, Томас Дж.; ван дер Хам, Йерун (19 ноября 2018 г.). «Не стреляйте в посланника! Криминологический и компьютерный взгляд на скоординированное раскрытие уязвимостей» (PDF) . Криминология . 7 (1): 16. дои : 10.1186/s40163-018-0090-8 . ISSN 2193-7680 . S2CID 54080134 .
^ Кун, Джон (27 мая 2016 г.). «Браконьерство на ошибках: новая тактика вымогательства, нацеленная на предприятия» . Разведка безопасности . Проверено 23 января 2022 г.
^ Рашид, Фахмида (9 сентября 2015 г.). «Вымогательство или справедливая торговля? Ценность вознаграждений за обнаружение ошибок» . Инфомир . Проверено 23 января 2022 г.
^ Стефан Фрей, Доминик Шацманн, Бернхард Платтнер, Брайан Траммел (2008). «Моделирование экосистемы безопасности – динамика (не)безопасности» . {{cite web}}: CS1 maint: несколько имен: список авторов ( ссылка )
^ Уолш, Т.; Симпсон, AC (2022). «Эффективность программы скоординированного раскрытия уязвимостей: проблемы и рекомендации» . Компьютеры и безопасность . 123 . дои : 10.1016/j.cose.2022.102936 . Проверено 21 августа 2023 г.
^ «Обратная связь и обновления политики раскрытия информации Google на основе данных» . Проект Ноль . 13 февраля 2015 г. Проверено 17 ноября 2018 г.
^ «Политика раскрытия информации» . www.zerodayinitiative.com . Проверено 17 ноября 2018 г.
^ «Атака коллизией MD5, показывающая, как создавать ложные сертификаты CA» .
^ Гудин, Дэн (24 мая 2015 г.). «Исследователь, который использует ошибку в подарочных картах Starbucks, получает упрек, а не любовь » Арс Техника . Проверено 16 мая 2023 г.
^ «Дэн Камински обнаружил отравление кэша DNS» (PDF) .
^ «Студенты Массачусетского технологического института находят уязвимость в системе безопасности метро Массачусетса» . Архивировано из оригинала 18 марта 2016 г. Проверено 29 апреля 2009 г.
^ «Исследователи взламывают безопасность карт MIFARE Classic» (PDF) . Архивировано из оригинала (PDF) 18 марта 2021 г. Проверено 29 апреля 2009 г.
^ Jump up to: ^а ^б «Проект Ноль: Чтение привилегированной памяти по побочному каналу» . 3 января 2018 г.
^ Возвращение атаки медников: практическая факторизация широко используемых модулей RSA , Матус Немец, Марек Сис, Петр Свенда, Душан Клинец, Вашек Матьяс, ноябрь 2017 г.

Внешние ссылки

«ISO/IEC TR 5895:2022 — Многостороннее скоординированное раскрытие и обработка уязвимостей» .

[:0-1] Jump up to: ^а ^б Дин, Аарон Йи; Де Иисус, Джанлука Лимон; Янссен, Марин (2019). «Этический хакинг для повышения эффективности управления уязвимостями Интернета вещей» . Материалы Восьмой Международной конференции по телекоммуникациям и дистанционному зондированию . Ictrs '19. Родос, Греция: ACM Press. стр. 49–55. arXiv : 1909.11166 . дои : 10.1145/3357767.3357774 . ISBN 978-1-4503-7669-3 . S2CID 202676146 .

[2] Веулен Краненбарг, Марлен; Холт, Томас Дж.; ван дер Хам, Йерун (19 ноября 2018 г.). «Не стреляйте в посланника! Криминологический и компьютерный взгляд на скоординированное раскрытие уязвимостей» (PDF) . Криминология . 7 (1): 16. дои : 10.1186/s40163-018-0090-8 . ISSN 2193-7680 . S2CID 54080134 .

[security-intelligence-2016-3] Кун, Джон (27 мая 2016 г.). «Браконьерство на ошибках: новая тактика вымогательства, нацеленная на предприятия» . Разведка безопасности . Проверено 23 января 2022 г.

[infoworld-2015-4] Рашид, Фахмида (9 сентября 2015 г.). «Вымогательство или справедливая торговля? Ценность вознаграждений за обнаружение ошибок» . Инфомир . Проверено 23 января 2022 г.

[5] Стефан Фрей, Доминик Шацманн, Бернхард Платтнер, Брайан Траммел (2008). «Моделирование экосистемы безопасности – динамика (не)безопасности» . {{cite web}}: CS1 maint: несколько имен: список авторов ( ссылка )

[6] Уолш, Т.; Симпсон, AC (2022). «Эффективность программы скоординированного раскрытия уязвимостей: проблемы и рекомендации» . Компьютеры и безопасность . 123 . дои : 10.1016/j.cose.2022.102936 . Проверено 21 августа 2023 г.

[7] «Обратная связь и обновления политики раскрытия информации Google на основе данных» . Проект Ноль . 13 февраля 2015 г. Проверено 17 ноября 2018 г.

[8] «Политика раскрытия информации» . www.zerodayinitiative.com . Проверено 17 ноября 2018 г.

[9] «Атака коллизией MD5, показывающая, как создавать ложные сертификаты CA» .

[10] Гудин, Дэн (24 мая 2015 г.). «Исследователь, который использует ошибку в подарочных картах Starbucks, получает упрек, а не любовь » Арс Техника . Проверено 16 мая 2023 г.

[11] «Дэн Камински обнаружил отравление кэша DNS» (PDF) .

[12] «Студенты Массачусетского технологического института находят уязвимость в системе безопасности метро Массачусетса» . Архивировано из оригинала 18 марта 2016 г. Проверено 29 апреля 2009 г.

[13] «Исследователи взламывают безопасность карт MIFARE Classic» (PDF) . Архивировано из оригинала (PDF) 18 марта 2021 г. Проверено 29 апреля 2009 г.

[MeltdownSpectreGoogleZero-14] Jump up to: ^а ^б «Проект Ноль: Чтение привилегированной памяти по побочному каналу» . 3 января 2018 г.

[nemecsys-15] Возвращение атаки медников: практическая факторизация широко используемых модулей RSA , Матус Немец, Марек Сис, Петр Свенда, Душан Клинец, Вашек Матьяс, ноябрь 2017 г.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]