Войти
В области компьютерной безопасности независимые исследователи часто обнаруживают недостатки в программном обеспечении, которыми можно злоупотреблять, чтобы вызвать непреднамеренное поведение; эти недостатки называются уязвимостями. Процесс, посредством которого результаты анализа этих уязвимостей передаются третьим лицам, является предметом многочисленных споров и называется политикой раскрытия информации исследователем. Полное раскрытие информации - это практика публикации результатов анализа уязвимостей программного обеспечения как можно раньше, что делает данные доступными для всех без ограничений. Основная цель широкого распространения информации об уязвимостях состоит в том, чтобы потенциальные жертвы были так же осведомлены, как и те, кто их атакует.
В своем эссе 2007 года по этой теме Брюс Шнайер заявил: «Полное раскрытие информации - практика раскрытия подробностей уязвимостей безопасности - чертовски хорошая идея. Общественный контроль - единственный надежный способ повысить безопасность, в то время как секретность только делает нас менее защищенными. ". Леонард Роуз, соавтор электронного списка рассылки, который заменил bugtraq и стал де-факто форумом для распространения рекомендаций, объясняет: «Мы не верим в безопасность посредством неизвестности, и, насколько нам известно, полное раскрытие информации - единственный способ чтобы каждый, а не только инсайдеры, имел доступ к необходимой нам информации ».
Споры вокруг публичного раскрытия конфиденциальной информации не новы. Проблема полного раскрытия информации впервые была поднята в контексте слесарного дела, в ходе споров 19-го века о том, следует ли хранить слабые места в замковых системах в секрете в слесарном сообществе или раскрывать их общественности. Сегодня существует три основных политики раскрытия информации, к которым можно отнести большинство других: неразглашение, скоординированное раскрытие и полное раскрытие информации.
Политика раскрытия информации у основных заинтересованных сторон в исследованиях уязвимости определяется различными мотивами, нередко можно наблюдать за проведением кампаний, маркетингом или лоббированием их предпочтительной политики и наказанием тех, кто не согласен. Многие известные исследователи в области безопасности выступают за полное раскрытие информации, тогда как большинство поставщиков предпочитают скоординированное раскрытие информации. Хранение информации обычно приветствуется поставщиками коммерческих эксплойтов и хакерами.
Скоординированное раскрытие уязвимостей - это политика, в соответствии с которой исследователи соглашаются сообщать об уязвимостях координирующему органу, который затем сообщает об этом поставщику, отслеживает исправления и меры по снижению и координирует раскрытие информации с заинтересованными сторонами, включая общественность. В некоторых случаях координирующим органом является поставщик. Предпосылка скоординированного раскрытия информации обычно заключается в том, что никто не должен быть проинформирован об уязвимости до тех пор, пока поставщик программного обеспечения не скажет, что пора. Хотя в этой политике часто бывают исключения или варианты, распространение должно быть изначально ограничено, а поставщикам должен быть предоставлен привилегированный доступ к закрытым исследованиям.
Первоначальное название этого подхода было « ответственное раскрытие », основанное на эссе менеджера по безопасности Microsoft Скотта Калпа «Пора положить конец информационной анархии» (имеется в виду полное раскрытие информации). Позже Microsoft призвала отказаться от этого термина в пользу «согласованного раскрытия уязвимостей» (CVD).
Хотя аргументы разнятся, многие практики утверждают, что конечные пользователи не могут получить выгоду от доступа к информации об уязвимостях без руководства или исправлений от поставщика, поэтому риски обмена исследованиями с злоумышленниками слишком велики, чтобы получить слишком малую выгоду. Как объясняет Microsoft, «[Скоординированное раскрытие информации] служит всеобщим интересам, гарантируя, что клиенты получают исчерпывающие высококачественные обновления для уязвимостей безопасности, но не подвергаются вредоносным атакам во время разработки обновления».
Полное раскрытие - это политика публикации информации об уязвимостях без ограничений как можно раньше, что делает информацию доступной для широкой публики без ограничений. В целом сторонники полного раскрытия информации считают, что преимущества свободно доступных исследований уязвимостей перевешивают риски, тогда как противники предпочитают ограничивать распространение.
Свободный доступ к информации об уязвимостях позволяет пользователям и администраторам понимать уязвимости в своих системах и реагировать на них, а также позволяет клиентам оказывать давление на поставщиков с целью устранения уязвимостей, которые в противном случае производители могут не чувствовать стимула для устранения. Есть несколько фундаментальных проблем со скоординированным раскрытием информации, которые может решить полное раскрытие информации.
Обнаружение определенного недостатка или уязвимости не является взаимоисключающим событием, несколько исследователей с разными мотивами могут обнаруживать и действительно обнаруживают одни и те же недостатки независимо.
Не существует стандартного способа сделать информацию об уязвимостях общедоступной, исследователи часто используют списки рассылки, посвященные этой теме, научные статьи или отраслевые конференции.
Неразглашение - это политика, согласно которой информация об уязвимостях не должна разглашаться или должна передаваться только в соответствии с соглашением о неразглашении (договорным или неформальным).
К распространенным сторонникам неразглашения информации относятся поставщики коммерческих эксплойтов, исследователи, которые намереваются использовать обнаруженные ими недостатки, и сторонники обеспечения безопасности через неясность.
Исследователи, выступающие за скоординированное раскрытие информации, считают, что пользователи не могут использовать расширенные знания об уязвимостях без указаний поставщика, и что для большинства лучше всего ограничить распространение информации об уязвимостях. Защитники утверждают, что злоумышленники с низкой квалификацией могут использовать эту информацию для выполнения сложных атак, которые в противном случае были бы недоступны для них, и потенциальная выгода не перевешивает потенциальный вред, причиненный злоумышленниками. Информация должна быть опубликована только после того, как поставщик подготовил руководство, которое смогут усвоить даже самые неискушенные пользователи.
Этот аргумент предполагает, что обнаружение уязвимости является взаимоисключающим событием, и что только один человек может обнаружить уязвимость. Существует множество примеров одновременного обнаружения уязвимостей, которые часто используются в секрете до того, как их обнаружат другие исследователи. Хотя могут существовать пользователи, которые не могут извлечь выгоду из информации об уязвимостях, сторонники полного раскрытия информации считают, что это демонстрирует пренебрежение интеллектом конечных пользователей. Хотя это правда, что некоторые пользователи не могут извлечь выгоду из информации об уязвимостях, если они обеспокоены безопасностью своих сетей, они могут нанять специалиста, который поможет им, как вы наняли бы механика, который поможет с автомобилем.
Нераскрытие обычно используется, когда исследователь намеревается использовать знания об уязвимости для атаки компьютерных систем, управляемых их врагами, или для передачи информации об уязвимости третьей стороне для получения прибыли, которая обычно будет использовать ее для атаки своих врагов.
Исследователи, практикующие неразглашение информации, обычно не озабочены повышением безопасности или защитой сетей. Однако некоторые сторонники утверждают, что они просто не хотят помогать поставщикам, и заявляют, что не намерены причинять вред другим.
В то время как сторонники полного и скоординированного раскрытия информации декларируют схожие цели и мотивы, просто не соглашаясь с тем, как их лучше всего достичь, неразглашение информации совершенно несовместимо.
