Ответственное раскрытие - Responsible disclosure

В компьютерная безопасность или в другом месте, ответственное раскрытие информации это раскрытие уязвимости модель, в которой уязвимость или проблема раскрывается только по прошествии периода времени, который позволяет выявить уязвимость или проблему. залатанный или починили. Этот период отличает модель от полное раскрытие.

Разработчикам аппаратного и программного обеспечения часто требуются время и ресурсы для исправления своих ошибок. Хакеры и ученые по компьютерной безопасности считают, что это их социальная ответственность информировать общественность об уязвимостях с высоким уровнем воздействия. Скрытие этих проблем может вызвать чувство ложная безопасность. Чтобы избежать этого, вовлеченные стороны объединяют усилия и согласовывают период времени для устранения уязвимости и предотвращения любого будущего ущерба. В зависимости от потенциального воздействия уязвимости, ожидаемого времени, необходимого для разработки и применения аварийного исправления или обходного пути, а также других факторов, этот период может варьироваться от нескольких дней до нескольких месяцев. Программное обеспечение легче исправлять, используя Интернет как канал сбыта.

Ответственное раскрытие информации не удовлетворяет исследователей в области безопасности, которые рассчитывают на финансовую компенсацию, в то время как сообщение об уязвимостях поставщику с ожиданием компенсации может рассматриваться как вымогательство. Несмотря на развитие рынка уязвимостей, коммерциализация уязвимостей остается горячо обсуждаемой темой, связанной с концепцией раскрытия уязвимостей. Сегодня двумя основными игроками на рынке коммерческих уязвимостей являются iDefense, запустившая свою программу поддержки уязвимостей (VCP) в 2003 году, и Переломный момент, с их инициативой нулевого дня (ZDI), стартовавшей в 2005 году. Эти организации следуют ответственному процессу раскрытия информации о приобретенных материалах. С марта 2003 г. по декабрь 2007 г. в среднем 7,5% уязвимостей Microsoft и Apple были обработаны VCP или ZDI.[1] Независимые фирмы, оказывающие финансовую поддержку ответственного раскрытия информации путем оплаты награды за ошибки включают Facebook, Google, Mozilla, и Barracuda Networks.[2]

Производитель-сек был списком рассылки ответственного раскрытия информации. Многие, если не все, CERT группы координируют ответственное раскрытие информации.

Политика раскрытия информации

Google Project Zero имеет 90-дневный крайний срок раскрытия информации, который начинается после уведомления поставщиков об уязвимости, а подробности публикуются в защитном сообществе через 90 дней или раньше, если поставщик выпустит исправление.[3]

У ZDI есть 120-дневный срок раскрытия информации, который начинается после получения ответа от поставщика.[4]

Примеры

Выбрано уязвимости безопасности решается путем применения ответственного раскрытия информации:

Смотрите также

Рекомендации

  1. ^ Стефан Фрей, Доминик Шацманн, Бернхард Платтнер, Брайан Траммел (2009). «Моделирование экосистемы безопасности - динамика (не) безопасности».CS1 maint: несколько имен: список авторов (связь)
  2. ^ http://securitywatch.eweek.com/vulnerability_research/facebook_joins_google_mozilla_barracuda_in_paying_bug_bounties.html
  3. ^ "Отзывы и основанные на данных обновления политики Google в отношении раскрытия информации". Project Zero. 2015-02-13. Получено 2018-11-17.
  4. ^ «Политика раскрытия информации». www.zerodayinitiative.com. Получено 2018-11-17.
  5. ^ «Атака коллизии MD5, показывающая, как создавать ложные сертификаты CA».
  6. ^ «Взлом Starbucks на неограниченное количество кофе».
  7. ^ «Дэн Камински обнаружил отравление кеша DNS» (PDF).
  8. ^ «Студенты Массачусетского технологического института обнаружили уязвимость в системе безопасности метро Массачусетса».
  9. ^ «Исследователи нарушают безопасность карт MIFARE Classic» (PDF).
  10. ^ а б «Project Zero: чтение привилегированной памяти с помощью побочного канала».
  11. ^ Возвращение атаки медников: практическая факторизация широко используемых модулей RSA, Матус Немец, Марек Сис, Петр Свенда, Душан Клинец, Вашек Матьяс, ноябрь 2017 г.