Полное раскрытие

Материал из Википедии — свободной энциклопедии
Перейти к: навигация, поиск

В области компьютерной безопасности, независимые исследователи часто находят недостатки в программном обеспечении, которые могут быть использованы для вызова непредвиденного поведения программы. Эти недостатки называются уязвимостями. Процесс, посредством которого результаты исследований становятся доступны третьим лицам, является объектом жарких споров и называется политикой раскрытия исследователя. Полное раскрытие — это практика публикации результатов исследования уязвимостей программного обеспечения так быстро, как только это возможно, делая данные доступными для всех без ограничений. Основным аргументом «за» столь широкое распространение информации является то, что потенциальные жертвы также осведомлены об уязвимостях, как и те, кто нападают на них.[1]

В своем эссе по теме Брюс Шнайер утверждает: «Полное раскрытие — открытие публичного доступа к деталям уязвимостей — чертовски хорошая идея. Общественный контроль является единственным надёжным способом увеличения безопасности, тогда как тайны только уменьшают нашу безопасность».[2]

Леонард Роуз, один из создателей электронного листа рассылки, который вытеснил bugtraq, фактически став форумом для распространения рекомендаций по защите, поясняет: «Мы не верим в достижение безопасности через неясность, насколько мы знаем, полное раскрытие — единственный способ удостовериться, что все, а не только инсайдеры имеют доступ к необходимой информации».[3]

Дебаты о раскрытии уязвимостей[править | править вики-текст]

Споры вокруг публичного раскрытия конфиденциальной информации не новы. Вопрос полного раскрытия был впервые поднят в контексте изготовления замков. В 19 веке велись споры относительно того, должны ли уязвимые места замков держаться в секрете сообществом ключников или же быть открытыми публике.[4]

Сегодня, существует три основных политики раскрытия информации, по которым может быть распределена большая часть остальных:[5] Нераскрытие, Координированное Раскрытие и Полное Раскрытие.

Основные заинтересованные стороны в исследовании уязвимостей, изменяли свою политику раскрытия под действием различных факторов. Не является редкостью продвижение собственной политики как основной и порицание тех, чья политика раскрытия отличается. Множество видных исследователей безопасности предпочитают полное раскрытие, тогда как большая часть производителей предпочитает координированное раскрытие. Нераскрытие обычно является выбором продавцов уязвимостей и хакеров «черношапочников».[6]

Координированное раскрытие[править | править вики-текст]

Сторонники координированного раскрытия считают, что производители программного обеспечения имеют право контролировать информацию об уязвимостях в их продуктах.[7] Основной принцип координированного раскрытия — никто не должен быть информирован об уязвимости в продукте, пока разработчик не дал своего согласия. Хотя существуют вариации и исключения из этой политики, распространение должно быть изначально ограничено и производители должны иметь доступ к закрытым исследованиям. Защитники координированного раскрытия предпочитают аккуратный, но менее точный термин — «ответственное раскрытие», введенный Директором по Безопасности Майкрософта Скоттом Калпом в его статье «Пора Положить Конец Информационной Анархии»[8](относительно полного раскрытия). Позже представители Майкрософт настояли, чтобы термин был заменен на «координированное раскрытие».[9]

Хотя суждения и были подвержены переменам, но многие компании и исследователи утверждали, что конечные пользователи не могут воспользоваться доступом к информации об уязвимостях без руководства или патчей от производителя, таким образом, риски от попадания исследований не в те руки слишком велики. Как объясняет Майкрософт, «[Координированное раскрытие] служит интересам всех, удостоверяясь, что пользователи получают всеобъемлющие, высококачественные обновления для уязвимостей в системе безопасности, но в то же время они не доступны для злоумышленников во время разработки.»[10]

Доводы против координированного раскрытия[править | править вики-текст]

Исследователи, предпочитающие координированное раскрытие считают, что пользователи не могут использовать дополнительные знания об уязвимостях без помощи со стороны разработчика и что для большинства будет лучше, если ограничить распространение информации об уязвимостях. Сторонники утверждают, что низкоквалифицированные злоумышленники могут использовать эту информацию для проведения сложных атак, которые в противном случае были бы неосуществимы для них, а потенциальная выгода не перевешивает потенциальный вред от злоумышленников. Только когда разработчик подготовит руководство, которое позволит даже самым неопытным пользователям разобраться в информации, тогда информацию можно публиковать.

Этот довод предполагает, что обнаружение уязвимости может быть сделано только одним человеком. Существует множество примеров, когда уязвимости были найдены одновременно, после чего тайно использованы до открытия другими исследователями.[11] Хотя могут существовать пользователи, которые не могут воспользоваться информацией об уязвимостях, сторонники полного раскрытия считают, что это демонстрация презрения к интеллекту конечных пользователей. Это правда, что некоторые пользователи не могут воспользоваться информацией об уязвимостях, но если их действительно волнует безопасность их сетей, они могут нанять эксперта для помощи, точно так же как вы можете нанять механика для помощи с машиной.

Полное раскрытие[править | править вики-текст]

Полное раскрытие это политика публикации информации об уязвимостях без ограничений, так быстро, как только возможно, делая информацию доступной публике без ограничений. В общем, сторонники полного раскрытия считают, что польза от свободно доступной информации об уязвимостях перевешивает риски, тогда как их оппоненты предпочитают ограничивать распространение. Свободный доступ к информации об уязвимостях позволяет пользователям и администраторам осознавать и реагировать на уязвимости в их системах, а также позволяет потребителям оказывать давление на разработчиков, дабы те устранили уязвимости, для решения которых иначе отсутствовал бы стимул. Есть несколько базовых проблем, которые может решить полное раскрытие.

  • Если потребители не знают об уязвимостях, они не могут требовать патчи, а разработчикам экономически нецелесообразно исправлять уязвимости без требований.
  • Администраторы не могут принимать осознанные решения, связанные с рисками в их системах, если информация по уязвимостям не доступна.
  • Злоумышленники, которые также знают про недостаток, могут долго его использовать

Нахождение специфического недостатка или уязвимости не является эксклюзивным; несколько исследователей с различными целями могут открыть одни и те же недостатки независимо.

Не существует стандартного способа сделать информацию об уязвимостях публичной, обычно исследователи используют листы подписок по теме, академические доклады или международные конференции.

Нераскрытие[править | править вики-текст]

Нераскрытие это принцип, по которому не следует делиться информацией об уязвимостях или следует, но только под подпиской о неразглашении.

Типичными сторонниками нераскрытия являются продавцы уязвимостей, исследователи, которые планируют использовать найденные уязвимости и разработчики, считающие что любая информация об уязвимостях помогает хакерам.

Обсуждение[править | править вики-текст]

Аргументы против нераскрытия[править | править вики-текст]

Нераскрытие обычно используется, когда исследователь планирует использовать знание уязвимостей для атаки компьютерных систем своих противников, или же продать эти знания третьей стороне, которая будет использовать их для атак на оппонентов.

Исследователи, практикующие нераскрытие, обычно не озабочены увеличением безопасности или защиты сетей. Однако, некоторые сторонники заявляют что просто не хотят помогать разработчикам и не имеют намерения вредить другим.

В то время, как сторонники полного и координированного раскрытия имеют общие цели, не соглашаясь лишь в методах их достижения, нераскрытие полностью не совместимо с ними.

Ссылки[править | править вики-текст]

  1. Heiser, Jay Exposing Infosecurity Hype. Information Security Mag. TechTarget. Проверено 1 января 2001.
  2. Schneier, Bruce Damned Good Idea. CSO Online. Проверено 29 апреля 2013.
  3. Rose, Leonard Full-Disclosure. A lightly-moderated mailing list for the discussion of security issues. Проверено 29 апреля 2013.
  4. Hobbs Alfred. Locks and Safes: The Construction of Locks. — London: Virtue & Co., 1853.
  5. Shepherd, Stephen Vulnerability Disclosure: How do we define Responsible Disclosure?. SANS GIAC SEC PRACTICAL VER. 1.4B (OPTION 1). SANS Institute. Проверено 29 апреля 2013.
  6. Moore Robert. Cybercrime: Investigating High Technology Computer Crime. — Matthew Bender & Company, 2005. — P. 258. — ISBN 1-59345-303-5.
  7. Christey, Steve Responsible Vulnerability Disclosure Process. IETF. Проверено 29 апреля 2013.
  8. Culp, Scott It’s Time to End Information Anarchy. Technet Security. Microsoft TechNet. Проверено 29 апреля 2013.
  9. Goodin, Dan Microsoft imposes security disclosure policy on all workers. The Register. Проверено 29 апреля 2013. Архивировано 26 мая 2013 года.
  10. Microsoft Security Coordinated Vulnerability Disclosure. Проверено 29 апреля 2013.
  11. B1tch3z, Ac1d Ac1db1tch3z vs x86_64 Linux Kernel. Проверено 29 апреля 2013. Архивировано 26 мая 2013 года.