Dezvăluire totală

De la Wikipedia, enciclopedia liberă.
Salt la navigare Salt la căutare
Element de verificat
Acest articol sau secțiune referitoare la informatică este considerat a fi verificat .
Motiv : După cum a fost evidențiat în procedura de ștergere , elementul are următoarele probleme:
Titlul, dintr-o privire rapidă, pare a fi o cercetare originală
Deși a fost tradus din engleză, faptul că elementul are un paragraf cu același nume și alte paragrafe derivate sugerează o pompare ad hoc sau o organizare defectuoasă a conținutului.
În primul caz: fie o jumătate de voce este eliminată, lăsând doar partea referitoare la dezvăluirea totală, fie este propusă pentru anulare din cauza lipsei de enciclopedicitate a subiectelor individuale.
În al doilea caz: trebuie să reorganizați bine textul și să găsiți un titlu care să includă subiectul în ansamblu.
Alăturați-vă discuției și / sau corectați intrarea. Urmați sfaturile de proiectare de referință .
Această intrare va fi wikificată
Acest articol sau secțiune despre subiectul informaticii nu este încă formatat conform standardelor .
Comentariu : adăugați wikilink
Contribuiți la îmbunătățirea acestuia în conformitate cu convențiile Wikipedia . Urmați sfaturile de proiectare de referință .

Dezvăluirea completă este practica publicării analizelor de vulnerabilitate ale unui software cât mai curând posibil, permițând accesul la informații și date de către oricine, fără restricții. Scopul principal al acestei diseminări pe scară largă a informațiilor cu privire la vulnerabilități este acela că potențialele victime ale atacurilor cibernetice sunt la fel de conștiente ca atacatorii. [1] În domeniul securității cibernetice , se poate întâmpla adesea ca cercetătorii să descopere erori în software care pot fi exploatate pentru a provoca un comportament neașteptat, aceste erori fiind denumite vulnerabilități . Procesul prin care aceste analize de vulnerabilitate sunt partajate cu terți face obiectul unei dezbateri aprinse și se referă la politicile de divulgare ale cercetătorilor.

Bruce Schneier , într-un articol pe care l-a scris despre acest subiect, spunea că „Dezvăluirea completă, care este practica de a face publice detaliile vulnerabilităților de securitate, este o idee foarte bună. Căutările publice sunt singurul mod fiabil de a îmbunătăți securitatea, în timp ce secretul ne face doar mai puțin siguri ”. [2]

Dezbaterea privind divulgarea vulnerabilităților

Controversa legată de divulgarea publică a informațiilor sensibile nu este nouă. Într-adevăr, încă din secolul al XIX-lea, tema dezvăluirii complete a fost ridicată în domeniul lăcătușilor, în care s-a discutat dacă o slăbiciune descoperită într-un lacăt ar trebui păstrată secretă în societate sau arătată publicului. [3] Astăzi, există trei politici majore de divulgare a vulnerabilității și sunt clasificate în: [4] Nedivulgare, Dezvăluire coordonată și Dezvăluire completă.

Majoritatea persoanelor implicate în cercetarea vulnerabilității își formează politicile din diverse motive și nu este atât de ciudat că observă campanii comerciale, marketing sau lobby-uri pentru a adopta politica lor preferată și pentru a-i reprima pe cei care diferă de aceasta. Unii experți în securitate cibernetică favorizează divulgarea completă, în timp ce mulți furnizori preferă divulgarea coordonată. Nedivulgarea este în general favorizată de pălăriile negre .

Divulgarea coordonată

Susținătorii divulgării coordonate consideră că furnizorii de software au dreptul de a controla informațiile privind vulnerabilitățile care afectează produsele lor. [5] Principiul cardinal al acestei politici este acela că nimeni nu ar trebui să fie informat despre vulnerabilitate până când producătorul nu acordă permisiunea. Deși există unele variații sau excepții de la această metodologie, inițial distribuția informațiilor trebuie limitată, iar producătorilor li se acordă privilegiul de a accesa cercetări care nu sunt încă publice. Susținătorii divulgării coordonate preferă termenul atent, dar mai puțin descriptiv, al „Divulgării responsabile” inventat de Scott Culp, manager de securitate la Microsoft, în articolul său „Este timpul să punem capăt informației anarhice” [6] (referindu-se la dezvăluirea completă). Ulterior, Microsoft a solicitat eliminarea termenului în favoarea „Divulgării coordonate”. [7]

Deși există mai multe motive, mai mulți profesioniști din industrie au susținut că utilizatorul final nu poate beneficia de accesarea informațiilor despre vulnerabilitate fără instrucțiuni sau patch-uri de la producătorul de software, deoarece riscul partajării cercetărilor cu persoane rău intenționate este prea mare pentru a beneficia de atât de puține beneficii. De fapt, Microsoft a explicat: „Dezvăluirea coordonată este pentru cei care au un interes puternic în a se asigura că clientul primește actualizări de securitate de înaltă calitate, dar că nu sunt expuși la atacuri dăunătoare în timp ce patch-ul este în curs de dezvoltare”. [8]

Dezvăluire totală

Dezvăluirea completă este politica de publicare a informațiilor despre vulnerabilități cât mai curând posibil și fără a omite detalii, făcând informațiile accesibile întregii lumi fără restricții. Susținătorii acestei practici consideră că beneficiile oferite gratuit de cercetare depășesc riscurile, în timp ce adversarii preferă distribuția limitată.

Disponibilitatea informațiilor despre vulnerabilități permite utilizatorilor și administratorilor să înțeleagă și să răspundă la vulnerabilitățile care apar în sistemele lor și le permite, de asemenea, clienților să facă presiuni asupra vânzătorilor pentru ca aceștia să remedieze imperfecțiunile, care altfel ar putea să nu simtă nevoia să le rezolve. Există câteva probleme fundamentale ale dezvăluirii coordonate care pot fi rezolvate cu dezvăluirea completă.

  • Dacă clienții nu sunt conștienți de vulnerabilități, nu pot solicita patch-uri, iar vânzătorii nu au stimulente financiare pentru a remedia vulnerabilitatea.
  • Administratorii de sistem nu pot lua decizii în cunoștință de cauză cu privire la riscul din sistemele lor, deoarece informațiile au acces limitat.
  • Băieții răi care cunosc defectul au mult timp să-l exploateze în continuare.

Descoperirea unei vulnerabilități nu este un eveniment care se exclude reciproc, diferiți cercetători cu motivații diferite, de fapt, pot descoperi același defect independent unul de celălalt.

Nu există modalități standard de a pune la dispoziția publicului informațiile despre vulnerabilitate, cercetătorii folosesc adesea liste de discuții dedicate pentru subiect, rapoarte academice sau conferințe din industrie.

Nedivulgare

Nedivulgarea este principiul conform căruia nicio informație despre vulnerabilități nu ar trebui să fie partajată sau împărtășită în temeiul unui acord de nedivulgare (în mod informal sau printr-un contract).

Avocații majori ai nedivulgării includ vânzătorii de software de exploatare comercială, cercetătorii care intenționează să exploateze defectul pe care l-au găsit [4] și furnizorii care cred că orice informație cu privire la vulnerabilități poate ajuta cumva atacatorii.

Dezbate

Argumente împotriva divulgării coordonate

Cercetătorii în favoarea divulgării coordonate consideră că utilizatorii nu pot profita de cunoștințele despre vulnerabilități fără îndrumarea furnizorului de software, iar cele mai multe dintre acestea au servit prin limitarea distribuției informațiilor despre vulnerabilități. Susținătorii acestei teorii susțin că un atacator destul de calificat poate folosi aceste informații pentru a efectua atacuri sofisticate care depășesc abilitățile lor reale, iar potențialele beneficii depășesc răul probabil făcut de utilizatorii rău intenționați. Numai atunci când vânzătorul a pregătit instrucțiuni pe care chiar și cel mai simplu utilizator le poate înțelege, atunci informațiile ar trebui făcute publice.

Această teză presupune că descoperirea unei vulnerabilități este un eveniment care se exclude reciproc, adică doar o persoană poate descoperi o vulnerabilitate. Există multe exemple de vulnerabilități care au fost descoperite simultan și adesea au fost exploatate în secret înainte de a fi descoperite de alți cercetători. [9]

Argumente împotriva nedivulgării

Nedezvăluirea este de obicei utilizată atunci când un cercetător intenționează să folosească cunoștințele despre o vulnerabilitate pentru a ataca un sistem informatic operat de dușmanii săi sau pentru a face schimb de informații cu o terță parte în schimbul banilor, care de obicei le folosește pentru a-și ataca dușmanii.

Cercetătorii care practică această metodologie nu sunt, în general, preocupați de îmbunătățirea securității sau securității unei rețele. Cu toate acestea, unii susținători ai acestei teorii susțin pur și simplu că nu vor să ajute producătorii de software și susțin, de asemenea, că nu intenționează să facă rău altora.

În timp ce exponenții divulgării complete și coordonate au declarat obiective și motive similare, pur și simplu nu acceptă cel mai bun mod de a le atinge, nedivulgarea este total incompatibilă.

Notă

  1. ^ Jay Heiser, Exposing Infosecurity Hype , în Information Security Mag , TechTarget, ianuarie 2001. Accesat la 20 decembrie 2017 (arhivat din original la 28 martie 2006) .
  2. ^ Bruce Schneier, Damned Good Idea , schneier.com , CSO Online. Adus la 20 decembrie 2017 .
  3. ^ Alfred Hobbs, Locks and Safees: The Construction of Locks , Londra, Virtue & Co., 1853.
  4. ^ a b Stephen Shepherd, Dezvăluirea vulnerabilității: Cum definim Divulgarea responsabilă? , în SANS GIAC SEC PRACTICAL VER. 1.4B (OPȚIUNEA 1) , Institutul SANS. Adus pe 29 aprilie 2013 .
  5. ^ Steve Christey, Procesul de divulgare a vulnerabilității responsabile , la tools.ietf.org , IETF, p. 3.3.2. Adus pe 29 aprilie 2013 .
  6. ^ Scott Culp, It's Time to End Information Anarchy , în Technet Security , Microsoft TechNet. Adus la 29 aprilie 2013 (arhivat din original la 9 noiembrie 2001) .
  7. ^ Dan Goodin, Microsoft impune o politică de divulgare a securității tuturor lucrătorilor , în Registrul . Adus pe 29 aprilie 2013 .
  8. ^ Securitate TechCenter, Dezvăluirea coordonată a vulnerabilității , pe technet.microsoft.com . Adus pe 29 aprilie 2013 .
  9. ^ Ac1d B1tch3z, Ac1db1tch3z vs x86_64 Linux Kernel , la seclists.org . Adus pe 29 aprilie 2013 .
Securitate IT Portal de securitate cibernetică : accesați intrările Wikipedia care se ocupă de securitatea cibernetică
Adus din „ https://it.wikipedia.org/w/index.php?title=Total_Divulgation&oldid=119101430