Ответственное раскрытие - Responsible disclosure
В компьютерная безопасность или в другом месте, ответственное раскрытие информации это раскрытие уязвимости модель, в которой уязвимость или проблема раскрывается только по прошествии периода времени, который позволяет выявить уязвимость или проблему. залатанный или починили. Этот период отличает модель от полное раскрытие.
Разработчикам аппаратного и программного обеспечения часто требуются время и ресурсы для исправления своих ошибок. Хакеры и ученые по компьютерной безопасности считают, что это их социальная ответственность информировать общественность об уязвимостях с высоким уровнем воздействия. Скрытие этих проблем может вызвать чувство ложная безопасность. Чтобы избежать этого, вовлеченные стороны объединяют усилия и согласовывают период времени для устранения уязвимости и предотвращения любого будущего ущерба. В зависимости от потенциального воздействия уязвимости, ожидаемого времени, необходимого для разработки и применения аварийного исправления или обходного пути, а также других факторов, этот период может варьироваться от нескольких дней до нескольких месяцев. Программное обеспечение легче исправлять, используя Интернет как канал сбыта.
Ответственное раскрытие информации не удовлетворяет исследователей в области безопасности, которые рассчитывают на финансовую компенсацию, в то время как сообщение об уязвимостях поставщику с ожиданием компенсации может рассматриваться как вымогательство. Несмотря на развитие рынка уязвимостей, коммерциализация уязвимостей остается горячо обсуждаемой темой, связанной с концепцией раскрытия уязвимостей. Сегодня двумя основными игроками на рынке коммерческих уязвимостей являются iDefense, запустившая свою программу поддержки уязвимостей (VCP) в 2003 году, и Переломный момент, с их инициативой нулевого дня (ZDI), стартовавшей в 2005 году. Эти организации следуют ответственному процессу раскрытия информации о приобретенных материалах. С марта 2003 г. по декабрь 2007 г. в среднем 7,5% уязвимостей Microsoft и Apple были обработаны VCP или ZDI.[1] Независимые фирмы, оказывающие финансовую поддержку ответственного раскрытия информации путем оплаты награды за ошибки включают Facebook, Google, Mozilla, и Barracuda Networks.[2]
Производитель-сек был списком рассылки ответственного раскрытия информации. Многие, если не все, CERT группы координируют ответственное раскрытие информации.
Политика раскрытия информации
Google Project Zero имеет 90-дневный крайний срок раскрытия информации, который начинается после уведомления поставщиков об уязвимости, а подробности публикуются в защитном сообществе через 90 дней или раньше, если поставщик выпустит исправление.[3]
У ZDI есть 120-дневный срок раскрытия информации, который начинается после получения ответа от поставщика.[4]
Примеры
Выбрано уязвимости безопасности решается путем применения ответственного раскрытия информации:
- MD5 коллизионная атака, показывающая, как создавать ложные сертификаты CA, 1 неделя[5]
- Starbucks подарочная карта двойная трата / условие гонки для создания бесплатных дополнительных кредитов, 10 дней (Егор Хомаков)[6]
- Дэн Камински открытие Отравление кеша DNS, 5 месяцев[7]
- MBTA против Андерсона, Студенты Массачусетского технологического института нашли уязвимость в системе безопасности метро Массачусетса, 5 месяцев[8]
- Radboud University Nijmegen нарушает безопасность MIFARE Классические карты, 6 месяцев[9]
- В Уязвимость Meltdown, уязвимость оборудования затрагивает Микропроцессоры Intel x86 и немного РУКА микропроцессоры, 7 мес.[10]
- В Уязвимость Spectre, аппаратная уязвимость с реализациями предсказание ветвления влияющие на современные микропроцессоры с спекулятивное исполнение, позволяя злонамеренным процессы доступ к отображаемая память содержание других программ, 7 месяцев.[10]
- В ROCA уязвимость, влияющие на ключи RSA, сгенерированные Infineon библиотека и Юбикис, 8 месяцев.[11]
Смотрите также
- Разоблачение
- Информационная чувствительность
- Белая шляпа (компьютерная безопасность)
- Проактивная киберзащита
- Группа реагирования на компьютерные чрезвычайные ситуации
- Защита критически важной инфраструктуры
Рекомендации
- ^ Стефан Фрей, Доминик Шацманн, Бернхард Платтнер, Брайан Траммел (2009). «Моделирование экосистемы безопасности - динамика (не) безопасности».CS1 maint: несколько имен: список авторов (связь)
- ^ http://securitywatch.eweek.com/vulnerability_research/facebook_joins_google_mozilla_barracuda_in_paying_bug_bounties.html
- ^ "Отзывы и основанные на данных обновления политики Google в отношении раскрытия информации". Project Zero. 2015-02-13. Получено 2018-11-17.
- ^ «Политика раскрытия информации». www.zerodayinitiative.com. Получено 2018-11-17.
- ^ «Атака коллизии MD5, показывающая, как создавать ложные сертификаты CA».
- ^ «Взлом Starbucks на неограниченное количество кофе».
- ^ «Дэн Камински обнаружил отравление кеша DNS» (PDF).
- ^ «Студенты Массачусетского технологического института обнаружили уязвимость в системе безопасности метро Массачусетса».
- ^ «Исследователи нарушают безопасность карт MIFARE Classic» (PDF).
- ^ а б «Project Zero: чтение привилегированной памяти с помощью побочного канала».
- ^ Возвращение атаки медников: практическая факторизация широко используемых модулей RSA, Матус Немец, Марек Сис, Петр Свенда, Душан Клинец, Вашек Матьяс, ноябрь 2017 г.
Этот Информатика статья - это заглушка. Вы можете помочь Википедии расширяя это. |