>Раскрывать или не раскрывать

>

imageВторая тема, которую мне хотелось бы обсудить после обнаружения мной уязвимости в VMWare, звучит почти по-Шекспировски. Что должны делать человек или организация в случае обнаружения ими уязвимости? Сообщить вендору и публично разгласить подробности одновременно? Просто раскрыть публично? Уведомить вендора и ждать обновления? Очевидно, существует куча возможных стратегий, и, как обычно, каждый выбирает для себя свою точку зрения на проблему. Microsoft, к примеру, придерживается своей Coordinated Vulnerability Disclosure Policy. Это означает, что они желают получить время на произведение исправление, его тестирование (чтобы клиенты испытывали как можно меньше проблем) и доставку пользователям. А так же они предоставят такую же возможность и другим вендорам, в случае, если найдут уязвимость у них. Google использует свою Responsible Disclosure Policy, предоставляя кому угодно 60 дней на исправление уязвимости. Первый вариант дает вендору возможность действительно хорошо оттестировать свое исправление, что немаловажно, но может провоцировать его к манкированию опасностью. Второй, похоже, будет заставлять вендора чинить проблему как можно быстрее, но производство обновлений в самом лучшем случае может занимать 3-4 недели. В сложных случаях это будет даже больше времени. Распространение же информации об уязвимости раньше ее закрытия может навредить даже больше, чем ее длительное игнорирование. Или нет? Безопасность – странная область знаний, в которой почти нет достоверной статистики для многих вещей.

Что ж, похоже, что каждый будет искать свое собственное решение проблемы (какими бы ни были параметры выбора: вера, собственная статистика или маркетинговые намерения). Вопрос, что мне выбрать для себя? Что я должен принять, как разумное решение? Практика показала, что я больше на стороне MS: я напишу вендору (и безопаснику в моей компании, конечно же). Но что я буду делать, если они не почешутся? Я не был в подобной ситуации, так что мне сложно сказать. Наверное, все будет зависеть от критичности уязвимости, реакции вендора и прошедшего времени. Возможно, немного позже я бы начал угрожать вендору раскрытием информации и потом просто расскажу “всему миру” (да, всем моим читателям. Не много, но чем богаты, тем и рады Winking smile). К счастью мое общение с VMWare было совсем другим, так что я все еще не знаю, как повел бы себя: с момента моего письма им до выпуска новой версии прошло всего 17 дней.

А Вы что думаете? Как бы поступали Вы или считаете правильным поступать?

Реклама

>Раскрывать или не раскрывать: 8 комментариев

  1. volobuiev

    >Мое мнение (хотя в силу специфики интересов с подобным не сталкивался): нужно принимать правила игры вендора. Попытка бороться против действующей системы не ее методами приводит к тому, что система перестает работать. Нужен ли такой исход?

    Нравится

  2. KomatoZo

    >То есть изучить политику соответствующего вендора и после следовать ей? Принято, интересно — такое мне в голову не приходило =)Спасибо.

    Нравится

  3. Anonymous

    >Я б не стал раскрывать наверное вообще. Смысл? Пользы от раскрытия с гулькин, а вреда — заметно больше. После этого дыркой попробуют воспользоваться и те, кто не допер сам ее найти. Оно надо?

    Нравится

  4. KomatoZo

    >Не, это не то. Это пища для размышлений по поводам "а не проще ли вообще не рыпаться" и "как быстрее известить". Я эти тексты прочитал как только они были опубликованы. Мне больше интересно, что делать в случае контакта с крупнейшими SW вендорами, скорее. Правда в явном виде я этого не указывал, сам только сейчас понял. =) А тексты эти ответов не дают, они дают вопросы, которых я сам могу назадавать кучу =)

    Нравится

  5. Andrey Beshkov

    >Я думаю что лучше работать опираясь на политику вендора. Так будет проще. Если до твоего разглашения кто то найдет ту же уязвимость скорее всего он не поделится ею с широкой публикой так что в глобальном смысле урон будет не велик.

    Нравится

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s