Полное раскрытие информации (компьютерная безопасность) - Full disclosure (computer security)

В области компьютерная безопасность независимые исследователи часто обнаруживают недостатки в программном обеспечении, которыми можно злоупотреблять, чтобы вызвать непреднамеренное поведение; эти недостатки называются уязвимости. Процесс, посредством которого результаты анализа этих уязвимостей передаются третьим сторонам, является предметом многочисленных споров и именуется исследователем. политика раскрытия информации. Полное раскрытие это практика публикации результатов анализа уязвимостей программного обеспечения как можно раньше, делая данные доступными для всех без ограничений. Основная цель широкого распространения информации об уязвимостях состоит в том, чтобы потенциальные жертвы были так же осведомлены, как и те, кто их атакует.[1]

В своем эссе 2007 года по этой теме Брюс Шнайер заявил: «Полное раскрытие информации - практика раскрытия подробностей уязвимостей системы безопасности - чертовски хорошая идея. Общественный контроль - единственный надежный способ улучшить безопасность, в то время как секретность только снижает нашу безопасность».[2] Леонард Роуз, соавтор список электронной рассылки который заменил bugtraq чтобы стать де-факто форумом для распространения рекомендаций, объясняет: «Мы не верим в безопасность посредством неизвестности, и, насколько нам известно, полное раскрытие информации - единственный способ гарантировать, что каждый, а не только инсайдеры, имеют доступ к информации. нам нужно."[3]

Дебаты о раскрытии уязвимости

Споры вокруг публичного раскрытия конфиденциальной информации не новы. Проблема полного раскрытия информации впервые была поднята в контексте слесарного дела, в ходе споров 19-го века о том, следует ли хранить слабые места в замковых системах в секрете в слесарном сообществе или раскрывать их общественности.[4] Сегодня существует три основных правила раскрытия информации, к которым можно отнести большинство других:[5] Не раскрытие информации, согласованное раскрытие информации и полное раскрытие информации.

Политика раскрытия информации у основных заинтересованных сторон в исследованиях уязвимости определяется различными мотивами, нередко можно наблюдать за проведением кампаний, маркетингом или лоббированием их предпочтительной политики и наказанием тех, кто не согласен. Многие известные исследователи в области безопасности выступают за полное раскрытие информации, тогда как большинство поставщиков предпочитают скоординированное раскрытие. Продавцы коммерческих эксплойтов, как правило, выступают за неразглашение информации. хакеры.[6]

Скоординированное раскрытие уязвимостей

Скоординированное раскрытие уязвимостей - это политика, в соответствии с которой исследователи соглашаются сообщать об уязвимостях координирующему органу, который затем сообщает об этом поставщику, отслеживает исправления и меры по снижению и координирует раскрытие информации с заинтересованными сторонами, включая общественность.[7] В некоторых случаях координирующим органом является поставщик. Предпосылка скоординированного раскрытия информации обычно состоит в том, что никто не должен быть проинформирован об уязвимости, пока поставщик программного обеспечения не скажет, что пора.[8][9] Хотя в этой политике часто бывают исключения или варианты, распространение должно быть изначально ограничено, а поставщикам должен быть предоставлен привилегированный доступ к закрытым исследованиям.

Первоначальное название этого подхода было «ответственное раскрытие информации », Основанный на эссе менеджера по безопасности Microsoft Скотта Калпа« Пора положить конец информационной анархии ».[10] (имеется в виду полное раскрытие). Позже Microsoft призвала отказаться от этого термина в пользу «согласованного раскрытия уязвимостей» (CVD).[11][12]

Хотя аргументы разнятся, многие практики утверждают, что конечные пользователи не могут получить выгоду от доступа к информации об уязвимостях без руководства или исправлений от поставщика, поэтому риски обмена исследованиями с злоумышленниками слишком велики, чтобы получить слишком мало пользы. Как объясняет Microsoft, «[Скоординированное раскрытие информации] служит всеобщим интересам, гарантируя, что клиенты получают исчерпывающие высококачественные обновления для уязвимостей безопасности, но не подвергаются злонамеренным атакам во время разработки обновления».[12]

Полное раскрытие

Полное раскрытие - это политика публикации информации об уязвимостях без ограничений как можно раньше, что делает информацию доступной для широкой публики без ограничений. В целом сторонники полного раскрытия информации считают, что преимущества свободно доступных исследований уязвимостей перевешивают риски, тогда как противники предпочитают ограничивать распространение.

Свободный доступ к информации об уязвимостях позволяет пользователям и администраторам понимать уязвимости в своих системах и реагировать на них, а также позволяет клиентам оказывать давление на поставщиков, чтобы они исправляли уязвимости, которые в противном случае продавцы могут не чувствовать стимула для устранения. Есть несколько фундаментальных проблем со скоординированным раскрытием информации, которые может решить полное раскрытие информации.

  • Если клиенты не знают об уязвимостях, они не могут запрашивать исправления, а у поставщиков нет экономического стимула исправлять уязвимости.
  • Администраторы не могут принимать информированные решения о рисках для своих систем, поскольку информация об уязвимостях ограничена.
  • У злоумышленников, которые также знают об этой уязвимости, есть длительный период времени, чтобы продолжить ее использование.

Обнаружение определенного недостатка или уязвимости не является взаимоисключающим событием, несколько исследователей с разными мотивами могут обнаруживать и действительно обнаруживают одни и те же недостатки независимо.

Не существует стандартного способа сделать информацию об уязвимостях доступной для общественности, исследователи часто используют списки рассылки, посвященные этой теме, научные статьи или отраслевые конференции.

Неразглашение

Неразглашение - это политика, согласно которой информация об уязвимостях не должна разглашаться или должна быть передана только в соответствии с соглашением о неразглашении (договорным или неофициальным).

Среди распространенных сторонников неразглашения информации - поставщики коммерческих эксплойтов, исследователи, которые намереваются использовать обнаруженные ими недостатки,[5] и сторонники безопасность через безвестность.

Дебаты

Аргументы против согласованного раскрытия информации

Исследователи, выступающие за скоординированное раскрытие информации, считают, что пользователи не могут использовать расширенные знания об уязвимостях без указаний поставщика, и что для большинства лучше всего ограничить распространение информации об уязвимостях. Защитники утверждают, что злоумышленники с низкой квалификацией могут использовать эту информацию для выполнения изощренных атак, которые в противном случае были бы недоступны для них, и потенциальная выгода не перевешивает потенциальный вред, причиненный злоумышленниками. Информация должна быть опубликована только после того, как поставщик подготовил руководство, которое смогут усвоить даже самые неискушенные пользователи.

Этот аргумент предполагает, что обнаружение уязвимости - это взаимоисключающее событие, и только один человек может обнаружить уязвимость. Существует множество примеров одновременного обнаружения уязвимостей, которые часто используются в секрете до того, как их обнаружат другие исследователи.[13] Хотя могут существовать пользователи, которые не могут извлечь выгоду из информации об уязвимостях, сторонники полного раскрытия информации считают, что это демонстрирует пренебрежение интеллектом конечных пользователей. Хотя это правда, что некоторые пользователи не могут извлечь выгоду из информации об уязвимостях, если они озабочены безопасностью своих сетей, они могут нанять специалиста, который поможет им, как вы наняли бы механика, который поможет с автомобилем.

Аргументы против неразглашения

Нераскрытие обычно используется, когда исследователь намеревается использовать знания об уязвимости для атаки компьютерных систем, управляемых их врагами, или для передачи информации об уязвимости третьей стороне с целью получения прибыли, которая обычно будет использовать ее для атаки своих врагов.

Исследователи, практикующие неразглашение, обычно не озабочены повышением безопасности или защитой сетей. Однако некоторые сторонники утверждают, что они просто не хотят помогать поставщикам, и заявляют, что не намерены причинять вред другим.

В то время как сторонники полного и скоординированного раскрытия информации декларируют схожие цели и мотивации, просто не соглашаясь с тем, как их лучше всего достичь, неразглашение информации совершенно несовместимо.

Рекомендации

  1. ^ Хайзер, Джей (январь 2001 г.). "Разоблачение ажиотажа в области информационной безопасности". Информационная безопасность Mag. TechTarget. Архивировано из оригинал 28 марта 2006 г.. Получено 29 апреля 2013.
  2. ^ Шнайер, Брюс (январь 2007 г.). "Чертовски хорошая идея". CSO Online. Получено 29 апреля 2013.
  3. ^ Роза, Леонард. "Полное раскрытие". Список рассылки с легкой модерацией для обсуждения вопросов безопасности.. Архивировано из оригинал 23 декабря 2010 г.. Получено 29 апреля 2013.
  4. ^ Хоббс, Альфред (1853). Замки и сейфы: конструкция замков. Лондон: Virtue & Co.
  5. ^ а б Пастух, Стивен. «Раскрытие уязвимостей: как мы определяем ответственное раскрытие информации?». SANS GIAC SEC PRACTICAL VER. 1.4B (ВАРИАНТ 1). Институт SANS. Получено 29 апреля 2013.
  6. ^ Мур, Роберт (2005). Киберпреступность: расследование компьютерных преступлений в сфере высоких технологий. Мэтью Бендер и компания. п. 258. ISBN  1-59345-303-5.
  7. ^ «Раскрытие уязвимости программного обеспечения в Европе». CEPS. 2018-06-27. Получено 2019-10-18.
  8. ^ «Project Zero: часто задаваемые вопросы о раскрытии уязвимостей». Project Zero. Получено 2019-10-18.
  9. ^ Кристи, Стив. «Ответственный процесс раскрытия уязвимостей». IETF. п. 3.3.2. Получено 29 апреля 2013.
  10. ^ Калп, Скотт. «Пора положить конец информационной анархии». Технет Безопасность. Microsoft TechNet. Архивировано из оригинал 9 ноября 2001 г.. Получено 29 апреля 2013.
  11. ^ Гудин, Дэн. «Microsoft навязывает политику раскрытия информации о безопасности всем работникам». Реестр. Получено 29 апреля 2013.
  12. ^ а б Безопасность Microsoft. «Скоординированное раскрытие уязвимостей». В архиве из оригинала 16.12.2014. Получено 29 апреля 2013.
  13. ^ B1tch3z, Ac1d. "Ac1db1tch3z против ядра Linux x86_64". Получено 29 апреля 2013.