понедельник, 18 октября 2010 г.

Раскрывать или не раскрывать

imageВторая тема, которую мне хотелось бы обсудить после обнаружения мной уязвимости в VMWare, звучит почти по-Шекспировски. Что должны делать человек или организация в случае обнаружения ими уязвимости? Сообщить вендору и публично разгласить подробности одновременно? Просто раскрыть публично? Уведомить вендора и ждать обновления? Очевидно, существует куча возможных стратегий, и, как обычно, каждый выбирает для себя свою точку зрения на проблему. Microsoft, к примеру, придерживается своей Coordinated Vulnerability Disclosure Policy. Это означает, что они желают получить время на произведение исправление, его тестирование (чтобы клиенты испытывали как можно меньше проблем) и доставку пользователям. А так же они предоставят такую же возможность и другим вендорам, в случае, если найдут уязвимость у них. Google использует свою Responsible Disclosure Policy, предоставляя кому угодно 60 дней на исправление уязвимости. Первый вариант дает вендору возможность действительно хорошо оттестировать свое исправление, что немаловажно, но может провоцировать его к манкированию опасностью. Второй, похоже, будет заставлять вендора чинить проблему как можно быстрее, но производство обновлений в самом лучшем случае может занимать 3-4 недели. В сложных случаях это будет даже больше времени. Распространение же информации об уязвимости раньше ее закрытия может навредить даже больше, чем ее длительное игнорирование. Или нет? Безопасность – странная область знаний, в которой почти нет достоверной статистики для многих вещей.

Что ж, похоже, что каждый будет искать свое собственное решение проблемы (какими бы ни были параметры выбора: вера, собственная статистика или маркетинговые намерения). Вопрос, что мне выбрать для себя? Что я должен принять, как разумное решение? Практика показала, что я больше на стороне MS: я напишу вендору (и безопаснику в моей компании, конечно же). Но что я буду делать, если они не почешутся? Я не был в подобной ситуации, так что мне сложно сказать. Наверное, все будет зависеть от критичности уязвимости, реакции вендора и прошедшего времени. Возможно, немного позже я бы начал угрожать вендору раскрытием информации и потом просто расскажу “всему миру” (да, всем моим читателям. Не много, но чем богаты, тем и рады Winking smile). К счастью мое общение с VMWare было совсем другим, так что я все еще не знаю, как повел бы себя: с момента моего письма им до выпуска новой версии прошло всего 17 дней.

А Вы что думаете? Как бы поступали Вы или считаете правильным поступать?

8 комментариев:

volobuiev комментирует...

Мое мнение (хотя в силу специфики интересов с подобным не сталкивался): нужно принимать правила игры вендора. Попытка бороться против действующей системы не ее методами приводит к тому, что система перестает работать. Нужен ли такой исход?

KomatoZo комментирует...

То есть изучить политику соответствующего вендора и после следовать ей? Принято, интересно - такое мне в голову не приходило =)
Спасибо.

Анонимный комментирует...

Я б не стал раскрывать наверное вообще. Смысл? Пользы от раскрытия с гулькин, а вреда - заметно больше. После этого дыркой попробуют воспользоваться и те, кто не допер сам ее найти. Оно надо?

KomatoZo комментирует...

2Анонимный: То есть даже после устранения уязвимости?

vekk комментирует...

ссылки на классные тексты с пищей для размышления по топику

http://infowatch.livejournal.com/110151.html

http://infowatch.livejournal.com/153355.html

KomatoZo комментирует...

Не, это не то. Это пища для размышлений по поводам "а не проще ли вообще не рыпаться" и "как быстрее известить". Я эти тексты прочитал как только они были опубликованы. Мне больше интересно, что делать в случае контакта с крупнейшими SW вендорами, скорее. Правда в явном виде я этого не указывал, сам только сейчас понял. =)
А тексты эти ответов не дают, они дают вопросы, которых я сам могу назадавать кучу =)

Andrey Beshkov комментирует...

Я думаю что лучше работать опираясь на политику вендора. Так будет проще. Если до твоего разглашения кто то найдет ту же уязвимость скорее всего он не поделится ею с широкой публикой так что в глобальном смысле урон будет не велик.

KomatoZo комментирует...

2:1 в пользу политики конкретного вендора. =)