 |
Адрес в интернете: https://news.hostdb.ru/index/show/id/856 |
Google предлагает переосмыслить подход к раскрытию информации об уязвимостях
В официальном блоге компании Google, посвященном вопросам безопасности, опубликована статья, в которой участники Google Security Team излагают свои соображения по вопросу раскрытия информации об уязвимостях, обнаруженных в программном обеспечении. Основным приоритетом при выборе политики раскрытия подобной информации сотрудники команды безопасности Google полагают защищенность конечного пользователя.
В настоящее время можно выделить два ключевых подхода к раскрытию такой информации:
Ответственное раскрытие (responsible disclosure). При таком подходе исследователь, обнаруживший уязвимость, уведомляет о ней только производителя уязвимого программного обеспечения, скрывая информацию от общественности. Очевидным достоинством этого подхода является то, что производителю предоставляется возможность выпустить исправления раньше, чем уязвимость начнет массово использоваться злоумышленниками.
Полное раскрытие (full disclosure). При данном подходе исследователь, после обнаружения им уязвимости, публикует в открытом доступе всю информацию о ней. Основным достоинством данного подхода является наличие для производителя стимула выпустить исправление как можно скорее.
Подробную аргументацию за и против для каждого из этих подходов можно прочитать в статье Брюса Шнайера, датируемой еще 2001 годом. Однако команду безопасности Google больше интересует, какой подход является более эффективным для защиты конечного пользователя сейчас, в 2010 году.
В настоящее время наиболее распространенным является подход ответственного раскрытия, однако участники Google Security Team подчеркивают, что эта концепция в чистом виде часто не может обеспечить эффективной защиты конечного пользователя. Нередки случаи, когда производитель откладывает эксклюзивную информацию об уязвимостях «в долгий ящик», не выпуская исправлений месяцами, а то и годами. В то же время, исследователи в области безопасности, не связывающие себя соображениями профессиональной этики («серые» и «черные шляпы») могут обнаружить эти уязвимости, пользуясь теми же знаниями и инструментами, что и «белые шляпы» (добросовестные исследователи, честно уведомившие производителя о проблеме). Таким образом, обнаруженная уязвимость нулевого дня начинает активно эксплуатироваться теневыми кругами, в то время как производитель, не знающий об этом, считает вопрос устранения уязвимости не приоритетным.
В качестве профилактики подобных ситуаций, авторы статьи предлагают использование комбинированного подхода, сочетающего достоинства обоих изложенных выше методов. При таком подходе, изначально об уязвимости уведомляется только производитель. Однако, в отличие от ответственного раскрытия, устанавливается некоторый срок, по истечении которого информация об уязвимости должна быть открыта широкой общественности. Разумеется, производитель уведомляется об этом условии, и как раз оно и должно стимулировать его выпустить исправления в разумные сроки. Авторы статьи полагают, что в качестве верхней границы такого срока можно принять 60 дней. Конкретный выбор срока в каждом случае производится с учетом таких факторов, как сложность устранения уязвимости, оценочные сроки распространения исправленной версии и т.п. Также срок может быть резко сокращен, если стало известно, что «черные шляпы» уже владеют этой информацией. В случае, если производитель отказывается рассматривать проблему, информация публикуется немедленно.
Именно такой подход команда безопасности Google намерена отныне использовать в своей работе. Также, ее сотрудники готовы к тому, что подобный подход будет использоваться и в отношении Google, как производителя программного обеспечения. Более того, они призывают всех «белых шляп» последовать их примеру — чем шире распространится такой подход, тем лучше будут защищены конечные пользователи, считают сотрудники Google Security Team.
Распечатано с HostDB.ru.