Jump to content

Полное раскрытие информации (компьютерная безопасность)

Эта статья о раскрытии уязвимостей. Чтобы узнать о других значениях, см. Полное раскрытие информации (значения) .

В области компьютерной безопасности независимые исследователи часто обнаруживают недостатки в программном обеспечении, которыми можно злоупотребить и вызвать непреднамеренное поведение; эти недостатки называются уязвимостями . Процесс, посредством которого результаты анализа этих уязвимостей передаются третьим лицам, является предметом многочисленных дискуссий и называется политикой раскрытия информации исследователем . Полное раскрытие — это практика публикации анализа уязвимостей программного обеспечения как можно раньше, что делает данные доступными для всех без ограничений. Основная цель широкого распространения информации об уязвимостях состоит в том, чтобы потенциальные жертвы были так же осведомлены, как и те, кто на них нападает. [1]

В своем эссе на эту тему в 2007 году Брюс Шнайер заявил: «Полное раскрытие информации – практика обнародования подробностей об уязвимостях безопасности – чертовски хорошая идея. Общественный контроль – единственный надежный способ улучшить безопасность, в то время как секретность только делает нас менее защищенными». ". [2] Леонард Роуз , один из создателей электронного списка рассылки , который заменил bugtraq и стал де-факто форумом для распространения рекомендаций, объясняет: «Мы не верим в безопасность за счет неизвестности, и, насколько нам известно, полное раскрытие информации — единственный способ чтобы гарантировать, что все, а не только инсайдеры, имеют доступ к необходимой нам информации». [3]

Дебаты о раскрытии уязвимостей [ править ]

Споры вокруг публичного раскрытия конфиденциальной информации не новы. Вопрос о полном раскрытии информации был впервые поднят в контексте слесарного дела, в ходе спора XIX века о том, следует ли хранить слабые места в замочных системах в секрете в слесарном сообществе или раскрывать их общественности. [4] Сегодня существует три основные политики раскрытия информации, к которым можно отнести большинство других: [5] Нераскрытие информации , скоординированное раскрытие информации и полное раскрытие информации.

Политика раскрытия информации основных заинтересованных сторон, занимающихся исследованиями уязвимостей, определяется различными мотивами; нередко можно наблюдать кампании, маркетинг или лоббирование принятия предпочитаемой ими политики и наказание тех, кто не согласен. Многие известные исследователи в области безопасности выступают за полное раскрытие информации, тогда как большинство поставщиков предпочитают скоординированное раскрытие информации. Неразглашению обычно отдают предпочтение поставщики коммерческих эксплойтов и хакеры . [6]

Скоординированное раскрытие уязвимостей [ править ]

Скоординированное раскрытие уязвимостей — это политика, согласно которой исследователи соглашаются сообщать об уязвимостях координирующему органу, который затем сообщает об этом поставщику, отслеживает исправления и меры по смягчению последствий и координирует раскрытие информации с заинтересованными сторонами, включая общественность. [7] [8] В некоторых случаях координирующим органом является поставщик. Предпосылкой скоординированного раскрытия обычно является то, что никто не должен быть проинформирован об уязвимости до тех пор, пока поставщик программного обеспечения не скажет, что пришло время. [9] [10] Хотя из этой политики часто бывают исключения или вариации, изначально распространение должно быть ограничено, а поставщикам должен быть предоставлен привилегированный доступ к закрытым исследованиям. [11]

Первоначальное название этого подхода было « ответственное раскрытие », основанное на эссе менеджера по безопасности Microsoft Скотта Калпа «Пришло время положить конец информационной анархии». [12] (имеется в виду полное раскрытие информации). Позже Microsoft призвала отказаться от этого термина в пользу «скоординированного раскрытия уязвимостей» (CVD). [13] [14]

Хотя аргументы различаются, многие специалисты-практики утверждают, что конечные пользователи не могут получить выгоду от доступа к информации об уязвимостях без инструкций или исправлений от поставщика, поэтому риски, связанные с обменом исследованиями со злоумышленниками, слишком велики, а выгода слишком мала. Как поясняет Microsoft, «[скоординированное раскрытие] служит интересам каждого, гарантируя, что клиенты получают комплексные, высококачественные обновления для уязвимостей безопасности, но не подвергаются вредоносным атакам во время разработки обновления». [14]

Чтобы не допустить, чтобы поставщики откладывали раскрытие информации на неопределенный срок (это обычная практика в индустрии безопасности, впервые внедренная Google), [15] заключается в публикации всех подробностей об уязвимостях по истечении определенного срока, обычно 90 или 120. [16] дней сокращается до 7 дней, если уязвимость находится в стадии активной эксплуатации . [17]

Полное раскрытие [ править ]

Полное раскрытие — это политика публикации информации об уязвимостях без ограничений как можно раньше, что делает информацию доступной для широкой публики без ограничений. В целом, сторонники полного раскрытия информации считают, что преимущества свободно доступных исследований уязвимостей перевешивают риски, тогда как противники предпочитают ограничивать распространение.

Свободный доступ к информации об уязвимостях позволяет пользователям и администраторам понимать уязвимости в своих системах и реагировать на них, а также позволяет клиентам оказывать давление на поставщиков с целью исправления уязвимостей, которые в противном случае поставщики не чувствовали бы никакого стимула решать. Существуют некоторые фундаментальные проблемы скоординированного раскрытия информации, которые может решить полное раскрытие информации.

  • Если клиенты не знают об уязвимостях, они не могут запрашивать исправления, а у поставщиков нет экономического стимула исправлять уязвимости.
  • Администраторы не могут принимать обоснованные решения о рисках для своих систем, поскольку информация об уязвимостях ограничена.
  • Злоумышленники, которые также знают об уязвимости, имеют длительный период времени, чтобы продолжить ее эксплуатацию.

Обнаружение конкретного недостатка или уязвимости не является взаимоисключающим событием: несколько исследователей с разной мотивацией могут обнаружить и действительно обнаруживают одни и те же недостатки независимо.

Не существует стандартного способа сделать информацию об уязвимостях доступной для общественности, исследователи часто используют списки рассылки, посвященные этой теме, научные статьи или отраслевые конференции.

Неразглашение [ править ]

Неразглашение — это политика, согласно которой информация об уязвимостях не должна разглашаться или должна передаваться только в соответствии с соглашением о неразглашении (либо по контракту, либо неофициально).

К числу распространенных сторонников неразглашения относятся поставщики коммерческих эксплойтов, исследователи, которые намерены использовать обнаруженные ими недостатки, [5] и сторонники безопасности через неизвестность .

Дебаты [ править ]

В 2009 году Чарли Миллер , Дино Дай Зови и Александр Сотиров объявили на конференции CanSecWest кампанию «Больше никаких бесплатных ошибок», утверждая, что компании получают прибыль и пользуются исследователями безопасности, не платя им за раскрытие ошибок. [18] Это объявление попало в новости и открыло более широкую дискуссию о проблеме и связанных с ней стимулах. [19] [20]

против скоординированного раскрытия информации Аргументы

Исследователи, выступающие за скоординированное раскрытие информации, полагают, что пользователи не могут использовать расширенные знания об уязвимостях без руководства со стороны поставщика, и что большинству из них лучше всего ограничить распространение информации об уязвимостях. Защитники утверждают, что злоумышленники с низкой квалификацией могут использовать эту информацию для проведения сложных атак, которые в противном случае были бы за пределами их возможностей, и потенциальная польза не перевешивает потенциальный вред, причиненный злоумышленниками. Информация должна быть опубликована только после того, как поставщик подготовил руководство, которое смогут понять даже самые неискушенные пользователи.

Этот аргумент предполагает, что обнаружение уязвимости является взаимоисключающим событием, что только один человек может обнаружить уязвимость. Существует множество примеров одновременного обнаружения уязвимостей, которые часто используются тайно до того, как их обнаружат другие исследователи. [21] Хотя могут существовать пользователи, которые не могут извлечь выгоду из информации об уязвимостях, сторонники полного раскрытия информации считают, что это демонстрирует пренебрежение к интеллекту конечных пользователей. Хотя это правда, что некоторые пользователи не могут извлечь выгоду из информации об уязвимостях, если они обеспокоены безопасностью своих сетей, они могут нанять эксперта, который поможет им, как вы нанимаете механика для помощи с автомобилем.

Аргументы против неразглашения [ править ]

Нераскрытие информации обычно используется, когда исследователь намеревается использовать знания об уязвимости для атаки на компьютерные системы, которыми управляют их враги, или продать знания об уязвимости третьей стороне ради получения прибыли, которая обычно будет использовать их для атаки на своих врагов.

Исследователи, практикующие неразглашение информации, обычно не озабочены повышением безопасности или защитой сетей. Однако некоторые сторонники [ ВОЗ? ] утверждают, что они просто не хотят помогать продавцам и не заявляют о намерении причинить вред другим.

Хотя сторонники полного и скоординированного раскрытия информации заявляют о схожих целях и мотивах, просто расходясь во мнениях относительно того, как лучше всего их достичь, неразглашение информации совершенно несовместимо.

Ссылки [ править ]

  1. ^ Хейзер, Джей (январь 2001 г.). «Разоблачение ажиотажа в области информационной безопасности» . информационной безопасности Маг . . ТехТаржет. Архивировано из оригинала 28 марта 2006 года . Проверено 29 апреля 2013 г.
  2. ^ Шнайер, Брюс (январь 2007 г.). «Чертовски хорошая идея» . ЦСО онлайн . Проверено 29 апреля 2013 г.
  3. ^ Роуз, Леонард. «Полное раскрытие» . Слегка модерируемый список рассылки для обсуждения вопросов безопасности . Архивировано из оригинала 23 декабря 2010 года . Проверено 29 апреля 2013 г.
  4. ^ Хоббс, Альфред (1853). Замки и сейфы: конструкция замков . Лондон: Virtue & Co.
  5. ^ Jump up to: Перейти обратно: а б Шеперд, Стивен. «Раскрытие информации об уязвимостях: как мы определяем ответственное раскрытие информации?» . SANS GIAC SEC ПРАКТИЧЕСКАЯ ВЕРСИЯ. 1.4Б (ВАРИАНТ 1) . Институт САНС . Проверено 29 апреля 2013 г.
  6. ^ Мур, Роберт (2005). Киберпреступность: расследование компьютерных преступлений в сфере высоких технологий . Мэтью Бендер и компания. п. 258. ИСБН  1-59345-303-5 .
  7. ^ «Раскрытие информации об уязвимостях программного обеспечения в Европе» . СЕПС . 27 июня 2018 г. Проверено 18 октября 2019 г.
  8. ^ Веулен Краненбарг, Марлен; Холт, Томас Дж.; ван дер Хам, Йерун (19 ноября 2018 г.). «Не стреляйте в посланника! Криминологический и компьютерный взгляд на скоординированное раскрытие уязвимостей» . Криминология . 7 (1): 16. дои : 10.1186/s40163-018-0090-8 . ISSN   2193-7680 .
  9. ^ «Проект Ноль: Часто задаваемые вопросы о раскрытии уязвимостей» . Проект Ноль . Проверено 18 октября 2019 г.
  10. ^ Кристи, Стив. «Процесс ответственного раскрытия уязвимостей» . IETF. п. 3.3.2 . Проверено 29 апреля 2013 г.
  11. ^ «Руководство по надлежащей производственной практике и надлежащей практике распределения: вопросы и ответы | Европейское агентство по лекарственным средствам» . www.ema.europa.eu . Проверено 1 марта 2024 г.
  12. ^ Калп, Скотт. «Пришло время положить конец информационной анархии» . Технет Безопасность . Microsoft TechNet. Архивировано из оригинала 9 ноября 2001 года . Проверено 29 апреля 2013 г.
  13. ^ Гудин, Дэн. «Microsoft навязывает политику раскрытия информации о безопасности всем работникам» . Регистр . Проверено 29 апреля 2013 г.
  14. ^ Jump up to: Перейти обратно: а б Безопасность Майкрософт. «Скоординированное раскрытие уязвимостей» . Майкрософт . Архивировано из оригинала 16 декабря 2014 г. Проверено 29 апреля 2013 г.
  15. ^ «О безопасности приложений Google – Google» . о.Google . Проверено 17 мая 2023 г.
  16. ^ «Политика | Инициатива нулевого дня» . Zerodayinitiative.com . Проверено 17 мая 2023 г.
  17. ^ «Обзор политики ответственного раскрытия информации в течение 90 дней в 2022 году» . Тенабл® . 2022-08-30 . Проверено 17 мая 2023 г.
  18. ^ «Dailydave: Больше никаких бесплатных ошибок (и WOOT)» . сайт seclists.org . Проверено 17 мая 2023 г.
  19. ^ « Больше никаких бесплатных ошибок»? Никогда не было бесплатных ошибок» . ЗДНЕТ . Проверено 17 мая 2023 г.
  20. ^ «Больше никаких бесплатных ошибок для поставщиков программного обеспечения» . Threatpost.com . 23 марта 2009 г. Проверено 17 мая 2023 г.
  21. ^ B1tch3z, Ac1d. «Ac1db1tch3z против ядра Linux x86_64» . Проверено 29 апреля 2013 г. {{cite web}}: CS1 maint: числовые имена: список авторов ( ссылка )
Retrieved from "https://en.wikipedia.org/w/index.php?title=Full_disclosure_(computer_security)&oldid=1213690255"
Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: 5c5cbb1b83858dfb00141c0375d40289__1710418620
URL1:https://arc.ask3.ru/arc/aa/5c/89/5c5cbb1b83858dfb00141c0375d40289.html
Заголовок, (Title) документа по адресу, URL1:
Full disclosure (computer security) - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)