Audyt Umysłu Hackera : „Symetryczne” pełne ujawnienie

„Symetryczne” pełne ujawnienie opisuje procedury ujawniania, które mają na celu zapewnienie symetrycznego, pełnego ujawnienia luki (i często exploita) wszystkim dostępnym społecznościom zajmującym się bezpieczeństwem informacji, bez uprzedniego powiadamiania określonej grupy osób. Ten rodzaj procedury ujawniania informacji jest prawdopodobnie powszechnie stosowany przez tych, którzy nie rozumieją odpowiedzialnych procedur ujawniania, często z powodu braku doświadczenia w koordynowaniu wydań luk z firmami programistycznymi lub z tymi, którzy są w stanie zapewnić oficjalne rozwiązanie problemu. W przeszłości tak też było powszechne było stosowanie tej formy ujawniania informacji przez osoby, które chciały publicznie zdyskredytować sprzedawców oprogramowania lub osoby odpowiedzialne za utrzymanie danego oprogramowania. Warto zauważyć, że w takim przypadku kod exploita jest często publikowany wraz z informacjami dotyczącymi luki w celu zwiększenia wpływu luki na społeczność informatyczną, jako próba dalszego zdyskredytowania dostawcy oprogramowania. Należy zauważyć, że publiczne ujawnienie jest definiowane (przynajmniej w tym kontekście) jako punkt, w którym informacje dotyczące luki trafiają do domeny publicznej bez subskrypcji – punkt, w którym informacje o luce pojawiają się w witrynach bezpieczeństwa lub z wiadomościami, na przykład. Chociaż większość list dyskusyjnych dotyczących bezpieczeństwa, takich jak Bugtraq i Vuln-Dev, jest ogólnie dostępna, działają one na zasadzie subskrypcji, a zatem nie są w pełni publiczne. Wynikiem tego typu ujawnienia jest to, że dostawca oprogramowania i rządowe organy doradcze ds. Luk w zabezpieczeniach, takie jak CERT, mają walczyć z szansą przeprowadzenia własnej oceny podatności, pracy nad rozwiązaniem lub obejściem problemu i ostatecznie wydaniem własnego poradnika w rozsądnym skali czasowej, zanim problem zwróci uwagę opinii publicznej i, co może ważniejsze, w dzisiejszych czasach, mediów. Chociaż ta forma procedury ujawniania pozostawia odpowiedzialnym za znalezienie środka zaradczego dla ujawnionych problemów pewien czas, aby zapewnić ochronę aktywów krytycznych przed nowym zagrożeniem, piłka (przynajmniej na krótki czas) znajduje się w sądzie cyberprzestępca. W zależności od umiejętności danej osoby i jakości ujawnianych informacji, wysoce wykwalifikowanemu i zmotywowanemu przeciwnikowi może zająć zaledwie godzinę, aby uzyskać możliwość wykorzystania ujawnionej luki w zabezpieczeniach.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *