Teljes nyilvánosságra hozatal

A számítógép-biztonság területén független kutatók gyakran találnak olyan hibákat a szoftverekben, amelyeket kihasználva váratlan programviselkedést idézhetnek elő. Ezeket a gyengeségeket sebezhetőségnek nevezzük . Az a folyamat, amelynek során a kutatási eredményeket harmadik felek számára hozzáférhetővé teszik, heves vita tárgyát képezi, és ezt a vizsgálatot végző közzétételi politikának nevezik.

A teljes körű nyilvánosságra hozatal  az a gyakorlat, hogy a szoftversérülékenység-kutatás eredményeit a lehető legrövidebb időn belül nyilvánosságra hozzák, az adatokat mindenki számára korlátozás nélkül hozzáférhetővé tesszük.

A fő érv az információk ilyen széles körű terjesztése mellett az, hogy a potenciális áldozatok is tisztában vannak a sebezhetőségekkel, valamint az őket megtámadókkal. [egy]

Bruce Schneier a témáról szóló esszéjében kijelenti: „A teljes körű nyilvánosságra hozatal – a sebezhetőségek részleteinek nyilvánossá tétele – átkozottul jó ötlet. A nyilvános ellenőrzés az egyetlen megbízható módja a biztonság növelésének, míg a titkok csak csökkentik a biztonságunkat.” [2]

Leonard Rose, a bugtraq-ot a de facto biztonsági tanácsok terjesztésének fórumaként felváltó levelezőlista egyik létrehozója kifejti: „Nem hiszünk abban, hogy a biztonságot homályon keresztül érjük el, amennyire tudjuk, nem csak a bennfentesek. hozzáférést biztosít a szükséges információkhoz." [3]

A sebezhetőségről szóló vita

A bizalmas információk nyilvánosságra hozatala körüli vita nem új keletű. A teljes körű nyilvánosságra hozatal kérdése először a zárkészítés kapcsán vetődött fel. A 19. században vita folyt arról, hogy a zárak sebezhetőségét a lakatostársadalom titokban tartsa, vagy nyilvánosságra hozza. [négy]

Ma három fő nyilvánosságra hozatali irányelv létezik, amelyek alapján a többi nagy része terjeszthető: [5] a nyilvánosságra hozatal tilalma, a koordinált közzététel és a teljes nyilvánosságra hozatal.

A sebezhetőségi kutatás fő érdekelt felei különböző tényezők miatt megváltoztatták közzétételi politikájukat. Nem ritka, hogy saját politikát hirdetnek főként, és elítélik azokat, akiknek a közzétételi politikája más. Sok kiemelkedő biztonsági kutató a teljes nyilvánosságra hozatalt részesíti előnyben, míg a legtöbb szállító az összehangolt közzétételt részesíti előnyben. A titoktartás általában a sebezhetőséget gyártók és a feketekalapos hackerek választása. [6]

Összehangolt közzététel

Az összehangolt közzététel hívei úgy vélik, hogy a szoftvergyártóknak jogukban áll ellenőrizni a termékeik sebezhetőségeivel kapcsolatos információkat. [7] Az összehangolt közzététel alapelve, hogy senkit sem szabad tájékoztatni a termék sérülékenységéről, amíg a fejlesztő nem adta beleegyezését. Bár vannak eltérések és kivételek ettől az irányelvtől, a forgalmazást kezdetben korlátozni kell, és a gyártóknak hozzáférést kell biztosítani a zárt tanulmányokhoz. A koordinált nyilvánosságra hozatal hívei a "felelősségteljes nyilvánosságra hozatal" ügyes, de kevésbé pontos kifejezését részesítik előnyben, amelyet a Microsoft biztonsági igazgatója, Scott Culp talált ki az "Ideje véget vetni az információs anarchiának" [8] című cikkében (a teljes nyilvánosságra hozatalra vonatkozóan). Később a Microsoft képviselői ragaszkodtak ahhoz, hogy a kifejezést "koordinált közzétételre" változtassák. [9]

Míg az ítéletek változtak, sok vállalat és kutató azzal érvelt, hogy a végfelhasználók nem részesülhetnek a sebezhetőségekkel kapcsolatos információkhoz való hozzáférésből a gyártó útmutatása vagy javítása nélkül, így túl nagy a kockázata annak, hogy a kutatás rossz kezekbe kerül. Ahogy a Microsoft kifejti, "[a koordinált közzététel] mindenki érdekeit szolgálja azáltal, hogy biztosítja, hogy a felhasználók átfogó, jó minőségű frissítéseket kapjanak a biztonsági résekről, ugyanakkor a fejlesztés során ne legyenek elérhetők a támadók számára." [tíz]

Érvek az összehangolt közzététel ellen

Az összehangolt közzétételt preferáló kutatók úgy vélik, hogy a felhasználók nem használhatják fel a sebezhetőségekkel kapcsolatos további ismereteket a fejlesztő segítsége nélkül, és a legtöbben jobban járnának, ha a sebezhetőségekről szóló információk terjesztése korlátozott lenne. A támogatók azzal érvelnek, hogy az alacsonyan képzett támadók ezeket az információkat felhasználhatják olyan kifinomult támadások indítására, amelyek egyébként nem lennének megvalósíthatóak számukra, és a lehetséges előnyök nem haladják meg a támadók esetleges kárát. Csak akkor lehet közzétenni az információkat, ha a fejlesztő elkészített egy útmutatót, amely lehetővé teszi a legtapasztalatlanabb felhasználók számára is, hogy megértsék az információkat.

Ez az érv azt sugallja, hogy a sebezhetőség felfedezését csak egy személy végezheti. Számos példa van arra, hogy egy időben találtak sebezhetőséget, majd titokban kihasználták, mielőtt más kutatók felfedezték volna. [11] Bár előfordulhatnak olyan felhasználók, akik nem tudnak hasznot húzni a sebezhetőségekről szóló információkból, a teljes nyilvánosságra hozatal hívei úgy vélik, hogy ez a végfelhasználók intelligenciája iránti megvetés. Igaz, hogy egyes felhasználók nem tudják kihasználni a sebezhetőségi információkat, de ha valóban törődnek a hálózataik biztonságával, akkor szakértőt kérhetnek a segítségükre, ahogyan egy szerelőt is bérelhetnek a gépek kezeléséhez.

Teljes nyilvánosságra hozatal

A teljes körű nyilvánosságra hozatal az a politika, amely szerint a sebezhetőségekkel kapcsolatos információkat korlátozás nélkül, a lehető leggyorsabban nyilvánosságra hozva, korlátozás nélkül hozzáférhetővé téve a nyilvánosság számára. Általánosságban elmondható, hogy a teljes nyilvánosságra hozatal hívei úgy vélik, hogy a sebezhetőségekkel kapcsolatos, szabadon hozzáférhető információk előnyei meghaladják a kockázatokat, míg ellenfeleik inkább korlátozzák a terjesztést.

A sebezhetőségekkel kapcsolatos információkhoz való ingyenes hozzáférés lehetővé teszi a felhasználóknak és a rendszergazdáknak, hogy tudatában legyenek a rendszereik sebezhetőségeinek, és reagáljanak rájuk, valamint lehetővé teszi a fogyasztók számára, hogy nyomást gyakoroljanak a fejlesztőkre, hogy javítsák ki azokat a biztonsági réseket, amelyek javítására egyébként nem lennének ösztönzők. Van néhány alapvető probléma, amelyet a teljes nyilvánosságra hozatal megoldhat.

  • Ha a fogyasztók nincsenek tisztában a sérülékenységekkel, nem kérhetnek javításokat, és a fejlesztők számára gazdaságilag nem kivitelezhető, hogy a sebezhetőségeket anélkül javítsák be.
  • Az adminisztrátorok nem hozhatnak megalapozott döntéseket rendszereik kockázatairól, ha nem állnak rendelkezésre információk a sebezhetőségekről.
  • Azok a támadók, akik szintén tudnak a hibáról, sokáig kihasználhatják azt

Egy adott hiba vagy sebezhetőség megtalálása nem kizárólagos; több, eltérő céllal rendelkező kutató egymástól függetlenül fedezheti fel ugyanazokat a hibákat.

Nincs szabványos módja a sebezhetőségekről szóló információk nyilvánosságra hozatalának, általában a kutatók előfizetési listákat használnak egy-egy témában, tudományos dolgozatokat vagy nemzetközi konferenciákat.

Titoktartás

A titoktartási elv az, hogy a sebezhetőségeket nem szabad megosztani, vagy meg kell osztani, de csak egy titoktartási megállapodás alapján.

A titoktartás tipikus támogatói a sebezhetőséget gyártó cégek, a felfedezett sérülékenységek kihasználását tervező kutatók és azok a fejlesztők, akik úgy vélik, hogy a sebezhetőségekkel kapcsolatos bármilyen információ segít a hackereknek.

Érvek a titoktartás ellen

A titoktartást általában akkor alkalmazzák, amikor a kutató azt tervezi, hogy a sebezhetőségek ismeretét arra használja fel, hogy megtámadja ellenfelei számítógépes rendszereit, vagy eladja ezt a tudást egy harmadik félnek, aki felhasználja az ellenfelek megtámadására.

A titoktartást gyakorló kutatók általában nem foglalkoznak a hálózatok biztonságának vagy védelmével. Egyes támogatók azonban azt állítják, hogy egyszerűen nem akarnak segíteni a fejlesztőknek, és nem áll szándékukban másoknak ártani.

Míg a teljes körű és összehangolt nyilvánosságra hozatal hívei közösek a közös célokban, csak abban nem értenek egyet, hogyan érjék el ezeket, a nyilvánosságra hozatal elmulasztása teljesen összeegyeztethetetlen velük.

Jegyzetek

  1. Heiser, Jay leleplezi az információbiztonsági hírverést . Információbiztonsági Mag . technológiai célpont. Letöltve: 2001. január 1.
  2. Schneier, Bruce Rohadt jó ötlet . KSH Online. Letöltve: 2013. április 29. Az eredetiből archiválva : 2013. július 5..
  3. Rose, Leonard Full-Disclosure (a link nem érhető el) . Enyhén moderált levelezőlista a biztonsági kérdések megvitatásához . Letöltve: 2013. április 29. Az eredetiből archiválva : 2010. december 23.. 
  4. Hobbs, Alfred. Zárak és széfek: A  zárak felépítése . – London: Virtue & Co., 1853.
  5. Shepherd, Stephen Vulnerability Disclosure: Hogyan definiáljuk a felelősségteljes nyilvánosságra hozatalt? . SANS GIAC SEC PRACTICAL VER. 1.4B (1. LEHETŐSÉG) . SANS Intézet. Letöltve: 2013. április 29. Az eredetiből archiválva : 2013. március 22..
  6. Moore, Robert. Kiberbűnözés : A csúcstechnológiás számítógépes bűnözés vizsgálata  . - Matthew Bender & Company , 2005. -  258. o . — ISBN 1-59345-303-5 .
  7. Christey, Steve Felelős sérülékenység feltárási folyamata 3.3.2. IETF. Letöltve: 2013. április 29. Az eredetiből archiválva : 2013. július 8..
  8. Culp, Scott Ideje véget vetni az információs anarchiának . technet biztonság . Microsoft TechNet. Letöltve: 2013. április 29.
  9. Goodin, Dan A Microsoft minden dolgozóra biztonsági közzétételi szabályzatot ír elő . A regiszter . Letöltve: 2013. április 29. archiválva az eredetiből: 2013. május 25.
  10. Microsoft Security Coordinated Vulnerability Disclosure (hivatkozás nem érhető el) . Letöltve: 2013. április 29. Az eredetiből archiválva : 2013. március 7.. 
  11. B1tch3z, Ac1d Ac1db1tch3z vs x86_64 Linux Kernel . Letöltve: 2013. április 29. archiválva az eredetiből: 2013. május 25.