Ответственное раскрытие - Responsible disclosure
В компьютерной безопасности , отвечает раскрытие (также известное как раскрытие скоординированной уязвимости) является раскрытие уязвимости модель , в которой уязвимость или вопрос раскрыта только после определенного периода времени , что позволяет уязвимость или выпуску , чтобы быть исправлено или рекомендованными. Этот период отличает модель от полного раскрытия информации .
Разработчикам аппаратного и программного обеспечения часто требуются время и ресурсы для исправления своих ошибок. Часто эти уязвимости находят этические хакеры. Хакеры и специалисты по компьютерной безопасности придерживаются мнения, что их социальная ответственность заключается в том, чтобы информировать общественность об уязвимостях с большим воздействием. Скрытие этих проблем может вызвать чувство ложной безопасности . Чтобы избежать этого, вовлеченные стороны объединяют усилия и согласовывают период времени для устранения уязвимости и предотвращения любого будущего ущерба. В зависимости от потенциального воздействия уязвимости, ожидаемого времени, необходимого для разработки и применения аварийного исправления или обходного пути, а также других факторов, этот период может варьироваться от нескольких дней до нескольких месяцев. Программное обеспечение легче исправлять, используя Интернет в качестве канала распространения.
Ответственное раскрытие информации не удовлетворяет исследователей в области безопасности, которые рассчитывают на финансовую компенсацию, в то время как сообщение об уязвимостях поставщику с ожиданием компенсации может рассматриваться как вымогательство. Несмотря на то, что рынок уязвимостей сформировался, коммерциализация уязвимостей остается горячо обсуждаемой темой, связанной с концепцией раскрытия уязвимостей. Сегодня двумя основными игроками на рынке коммерческих уязвимостей являются iDefense, которая запустила свою программу поддержки уязвимостей (VCP) в 2003 году, и TippingPoint с инициативой нулевого дня (ZDI), начатой в 2005 году. Эти организации следуют процессу ответственного раскрытия информации с материал куплен. В период с марта 2003 г. по декабрь 2007 г. в среднем 7,5% уязвимостей, затрагивающих Microsoft и Apple, были обработаны VCP или ZDI. Независимые фирмы, которые оказывают финансовую поддержку ответственному раскрытию информации путем выплаты вознаграждений за ошибки, включают Facebook , Google , Mozilla и Barracuda Networks .
Vendor-sec был списком рассылки ответственного раскрытия информации. Многие, если не все, группы CERT координируют ответственное раскрытие информации.
Политика раскрытия информации
В Google Project Zero установлен 90-дневный крайний срок раскрытия информации, который начинается после уведомления поставщиков об уязвимости, а подробности публикуются в защитном сообществе через 90 дней или раньше, если поставщик выпустит исправление.
У ZDI есть 120-дневный срок раскрытия информации, который начинается после получения ответа от поставщика.
Примеры
Избранные уязвимости системы безопасности устранены путем применения ответственного раскрытия информации:
- Атака с коллизией MD5 , показывающая, как создавать ложные сертификаты ЦС, 1 неделя
- Условие двойного расходования подарочной карты Starbucks / условия гонки для создания бесплатных дополнительных кредитов, 10 дней (Егор Хомаков)
- Дэн Камински обнаружил отравление кеша DNS , 5 месяцев
- MBTA против Андерсона , студенты Массачусетского технологического института нашли уязвимость в системе безопасности метро Массачусетса, 5 месяцев
- Radboud University Nijmegen нарушает безопасность карт MIFARE Classic, 6 месяцев
- В Meltdown уязвимость , аппаратные уязвимости , влияющие на x86 микропроцессорах Intel и некоторые ARM -На микропроцессоры, 7 месяцев.
- Specter уязвимость , аппаратная уязвимость с реализациями предсказания ветвлений , влияющих на современные микропроцессоры с спекулятивным исполнением , что позволяет вредоносным процессы доступа к отображенной памяти содержанию других программ, 7 месяцев.
- ROCA уязвимость , затрагивающие ключи RSA , генерируемые Infineon библиотеки и YubiKeys , 8 месяцев.
Смотрите также
- Разоблачение
- Информационная чувствительность
- Белая шляпа (компьютерная безопасность)
- Проактивная киберзащита
- Группа реагирования на компьютерные чрезвычайные ситуации
- Защита критически важной инфраструктуры