Вторая тема, которую мне хотелось бы обсудить после обнаружения мной уязвимости в VMWare, звучит почти по-Шекспировски. Что должны делать человек или организация в случае обнаружения ими уязвимости? Сообщить вендору и публично разгласить подробности одновременно? Просто раскрыть публично? Уведомить вендора и ждать обновления? Очевидно, существует куча возможных стратегий, и, как обычно, каждый выбирает для себя свою точку зрения на проблему. Microsoft, к примеру, придерживается своей Coordinated Vulnerability Disclosure Policy. Это означает, что они желают получить время на произведение исправление, его тестирование (чтобы клиенты испытывали как можно меньше проблем) и доставку пользователям. А так же они предоставят такую же возможность и другим вендорам, в случае, если найдут уязвимость у них. Google использует свою Responsible Disclosure Policy, предоставляя кому угодно 60 дней на исправление уязвимости. Первый вариант дает вендору возможность действительно хорошо оттестировать свое исправление, что немаловажно, но может провоцировать его к манкированию опасностью. Второй, похоже, будет заставлять вендора чинить проблему как можно быстрее, но производство обновлений в самом лучшем случае может занимать 3-4 недели. В сложных случаях это будет даже больше времени. Распространение же информации об уязвимости раньше ее закрытия может навредить даже больше, чем ее длительное игнорирование. Или нет? Безопасность – странная область знаний, в которой почти нет достоверной статистики для многих вещей.
Что ж, похоже, что каждый будет искать свое собственное решение проблемы (какими бы ни были параметры выбора: вера, собственная статистика или маркетинговые намерения). Вопрос, что мне выбрать для себя? Что я должен принять, как разумное решение? Практика показала, что я больше на стороне MS: я напишу вендору (и безопаснику в моей компании, конечно же). Но что я буду делать, если они не почешутся? Я не был в подобной ситуации, так что мне сложно сказать. Наверное, все будет зависеть от критичности уязвимости, реакции вендора и прошедшего времени. Возможно, немного позже я бы начал угрожать вендору раскрытием информации и потом просто расскажу “всему миру” (да, всем моим читателям. Не много, но чем богаты, тем и рады 
А Вы что думаете? Как бы поступали Вы или считаете правильным поступать?
8 комментариев:
Мое мнение (хотя в силу специфики интересов с подобным не сталкивался): нужно принимать правила игры вендора. Попытка бороться против действующей системы не ее методами приводит к тому, что система перестает работать. Нужен ли такой исход?
То есть изучить политику соответствующего вендора и после следовать ей? Принято, интересно - такое мне в голову не приходило =)
Спасибо.
Я б не стал раскрывать наверное вообще. Смысл? Пользы от раскрытия с гулькин, а вреда - заметно больше. После этого дыркой попробуют воспользоваться и те, кто не допер сам ее найти. Оно надо?
2Анонимный: То есть даже после устранения уязвимости?
ссылки на классные тексты с пищей для размышления по топику
http://infowatch.livejournal.com/110151.html
http://infowatch.livejournal.com/153355.html
Не, это не то. Это пища для размышлений по поводам "а не проще ли вообще не рыпаться" и "как быстрее известить". Я эти тексты прочитал как только они были опубликованы. Мне больше интересно, что делать в случае контакта с крупнейшими SW вендорами, скорее. Правда в явном виде я этого не указывал, сам только сейчас понял. =)
А тексты эти ответов не дают, они дают вопросы, которых я сам могу назадавать кучу =)
Я думаю что лучше работать опираясь на политику вендора. Так будет проще. Если до твоего разглашения кто то найдет ту же уязвимость скорее всего он не поделится ею с широкой публикой так что в глобальном смысле урон будет не велик.
2:1 в пользу политики конкретного вендора. =)
Отправить комментарий