Completo ou responsáveis divulgação: como vulnerabilidades de segurança são divulgados
Três semanas atrás, um grave problema de segurança no OS X 10.10.4 foi descoberto. Isso, em si, não é particularmente interessante.
Conteúdo
- Completa vs divulgação responsável
- Os argumentos a favor da divulgação responsável
- Video: [divulgação] - como explorar opensssl heartbleed bug exploit - curso de segurança
- Video: [divulgação] descobrir senha wi-fi com wpa e wpa2 (método wps) - curso de segurança
- O argumento para full disclosure
- O que vendors quer?
- Video: sefaz rj confirma pagamento de servidores da área de segurança para a próxima segunda feira dia 17
vulnerabilidades de segurança em pacotes de software populares são descobertos o tempo todo, e OS X não é excepção. O Open Source Vulnerability banco de dados (OSVDB) mostra pelo menos 1100 vulnerabilidades tag como “OS X”. Mas o que é interessante é a maneira em que este particular vulnerabilidade foi divulgado.
Ao invés de dizer Apple e dar-lhes tempo para resolver o problema, o pesquisador decidiu postar sua façanha na Internet para que todos vejam.
O resultado final foi uma corrida armamentista entre Apple e hackers black-hat. Apple teve que lançar um patch antes de a vulnerabilidade foi weaponized, e os hackers tiveram de criar um exploit antes que os sistemas em risco se remendado.
Você pode pensar que determinado método de divulgação é irresponsável. Você poderia até chamá-lo antiético, ou imprudente. Mas é mais complicado do que isso. Bem-vindo ao estranho, confuso mundo da vulnerabilidade de divulgação.
Completa vs Divulgação Responsável
Há duas maneiras populares de divulgação de vulnerabilidades para fornecedores de software.
O primeiro é chamado divulgação completa. Bem como no exemplo anterior, os pesquisadores publicam imediatamente a sua vulnerabilidade para a vida selvagem, dando os vendedores absolutamente nenhuma oportunidade de liberar uma correção.
O segundo é chamado divulgação responsável, ou divulgação escalonada. Este é o lugar onde os contatos pesquisador do fornecedor antes de a vulnerabilidade é liberado.
Ambas as partes, em seguida, chegar a acordo sobre um período de tempo em que o pesquisador promete não publicar a vulnerabilidade, a fim de dar ao vendedor a oportunidade de construir e lançar uma correção. Este período de tempo pode ser em qualquer lugar de 30 dias a um ano, dependendo da gravidade e complexidade da vulnerabilidade. Algumas falhas de segurança não pode ser corrigido facilmente, e necessitam de sistemas de software inteiras para ser reconstruído a partir do zero.
Uma vez que ambas as partes estão satisfeitas com a correção que foi produzido, a vulnerabilidade é então revelado e dado um número CVE. Estes identificar cada vulnerabilidade e a vulnerabilidade é arquivada online na OSVDB.
Mas o que acontece se o tempo de espera expira? Bem, uma das duas coisas. O vendedor irá então negociar uma extensão com o pesquisador. Mas se o pesquisador está descontente com a forma como o fornecedor tem respondido ou comportado, ou sentem que o pedido de prorrogação não é razoável, eles podem simplesmente publicá-lo online sem correção pronto.
No campo da segurança, há debates acalorados sobre o que método de divulgação é melhor. Alguns pensam que o único método ético e preciso é a divulgação completa. Alguns pensam que é melhor para dar vendedores uma oportunidade para corrigir um problema antes de liberá-lo para a vida selvagem.
Como se vê, existem alguns argumentos convincentes para ambos os lados.
Os argumentos a favor da divulgação responsável
Vejamos um exemplo de onde era melhor usar divulgação responsável.
Quando falamos de infra-estrutura crítica no contexto da Internet, é difícil evitar falar sobre o protocolo de DNS. Isto é o que nos permite traduzir os endereços web legível (como makeuseof.com) em endereços IP.Como mudar seus servidores DNS & Melhorar Internet SecurityComo mudar seus servidores DNS & Melhorar Internet SecurityImagine isso - você acordar uma bela manhã, sirva-se de uma xícara de café, e, em seguida, sentar-se em seu computador para começar com o seu trabalho para o dia. Antes de realmente começar ...consulte Mais informação
O sistema DNS é incrivelmente complicado, e não apenas a nível técnico. Há um monte de confiança depositada neste sistema. Nós confio que quando digitar um endereço da Web, estamos enviado para o lugar certo. Não há simplesmente muito em jogo a integridade deste sistema.
Se alguém foi capaz de interferir ou comprometer um pedido DNS, existe um grande potencial para danos. Por exemplo, eles poderiam enviar as pessoas para páginas bancárias online fraudulentos, permitindo-lhes obter seus dados bancários on-line. Eles poderiam interceptar seu e-mail e tráfego on-line através de um ataque man-in-the-middle, e ler o conteúdo. Eles poderiam fundamentalmente minar a segurança da Internet como um todo. Coisas assustadoras.
Dan Kaminsky é um pesquisador de segurança bem respeitado, com um longo currículo de encontrar vulnerabilidades em software bem conhecido. Mas ele é mais conhecido para a descoberta 2008 é de, talvez, a vulnerabilidade mais grave no sistema DNS já encontrado. Isso teria permitido alguém para executar facilmente um ataque de envenenamento de cache (ou falsificação de DNS) em um servidor de nomes DNS. Os detalhes mais técnicos de esta vulnerabilidade foram explicados na conferência Def Con de 2008.
Kaminsky, perfeitamente consciente das consequências de liberar uma falha tão grave, decidiu divulgá-la para os fornecedores de software de DNS que são afetados por esse bug.
Video: [Divulgação] - Como explorar OpensSSL Heartbleed Bug Exploit - Curso de Segurança
Havia um grande número de produtos de DNS afetados, incluindo aqueles construídos pela Alcatel-Lucent, BlueCoat Technologies, Apple e Cisco. O problema também afetou um número de implementações de DNS que foram fornecidos com algumas distribuições populares de Linux / BSD, incluindo aqueles para o Debian, Arch, Gentoo e FreeBSD.
Kaminsky deu-lhes 150 dias para produzir uma correção, e trabalhou com eles em segredo para ajudá-los a entender a vulnerabilidade. Ele sabia que esta questão era tão grave, e os danos potenciais tão grande, que teria sido incrivelmente imprudente para liberá-lo publicamente, sem dar os vendedores a oportunidade de emitir um patch.
Video: [Divulgação] Descobrir senha Wi-Fi com WPA e WPA2 (Método WPS) - Curso de Segurança
Aliás, a vulnerabilidade foi divulgada por acidente pela empresa de segurança Matsano em um post de blog. O artigo foi retirado do ar, mas foi espelhado, e um dia após a publicação um exploit tinha sido criado.Isto é como eles dica Você: O Muricy Mundial de Exploit KitsIsto é como eles dica Você: O Muricy Mundial de Exploit KitsScammers pode usar conjuntos de software para explorar vulnerabilidades e criar malware. Mas o que são estes exploram kits? De onde eles vêm? E como eles podem ser parado?consulte Mais informação
vulnerabilidade DNS do Kaminsky em última análise, resume o cerne do argumento a favor do responsável divulgação, escalonada. Algumas vulnerabilidades - como vulnerabilidades de dia zero - são tão significativos, que de divulgar publicamente por poder causar danos significativos.
Mas há também um argumento convincente em favor de não dar aviso prévio.
O argumento para Full Disclosure
Ao liberar uma vulnerabilidade no aberto, você desbloquear uma caixa de Pandora onde os indivíduos desagradáveis são capazes de produzir rapidamente e facilmente exploits, e comprometer sistemas vulneráveis. Então, por que alguém iria escolher para fazer isso?
Há um par de razões. Em primeiro lugar, os fornecedores são muitas vezes bastante lento para responder às notificações de segurança. Ao forçar eficazmente a sua mão pela liberação de uma vulnerabilidade na natureza, eles estão mais motivados para responder rapidamente. Pior ainda, alguns são inclinados a não divulgar o fato de que eles estavam enviando software vulnerável. A divulgação completa obriga-os a ser honesto com seus clientes.Por que as empresas Mantendo Violações um segredo poderia ser uma boa coisaPor que as empresas Mantendo Violações um segredo poderia ser uma boa coisaCom tanta informação on-line, todos nós se preocupar com possíveis violações de segurança. Mas essas violações poderia ser mantido em segredo nos EUA, a fim de protegê-lo. Parece loucura, então o que está acontecendo?consulte Mais informação
Mas também permite aos consumidores fazer uma escolha informada sobre se eles querem continuar a usar um pedaço particular, vulnerável de software. Eu imagino que a maioria não.
O que Vendors quer?
Os vendedores realmente não gosto divulgação completa.
Video: SEFAZ RJ confirma pagamento de servidores da área de segurança para a próxima segunda feira DIA 17
Afinal de contas, é incrivelmente ruim PR para eles, e ele coloca seus clientes em risco. Eles tentaram incentivar as pessoas a revelar vulnerabilidades de forma responsável através de programas de recompensa bug. Estes têm sido notavelmente bem-sucedida, com o Google pagando dólares $ 1,3 milhões só em 2014.
Embora seja importante ressaltar que algumas empresas - como a Oracle - desencorajar as pessoas de realizar pesquisa de segurança em seu software.A Oracle quer que você parar de enviar-los Erros - É aqui porque isso é loucuraA Oracle quer que você parar de enviar-los Erros - É aqui porque isso é loucuraOracle é em água quente sobre um post equivocada pelo chefe de segurança, Mary Davidson. Esta demonstração de como a filosofia de segurança da Oracle parte do mainstream não foi bem recebido na comunidade de segurança ...consulte Mais informação
Mas ainda vão ser as pessoas que insistem em usar a divulgação completa, seja por razões filosóficas, ou para a sua própria diversão. Nenhum programa de bug de recompensas, não importa o quão generoso, pode contrariar isso.