Скоординированное раскрытие уязвимостей

Модель раскрытия уязвимостей компьютерной безопасности

В компьютерной безопасности координированное раскрытие уязвимостей ( CVD , ранее известное как ответственное раскрытие ) ^[1] представляет собой модель раскрытия уязвимостей , в которой уязвимость или проблема раскрываются общественности только после того, как ответственным сторонам было предоставлено достаточно времени для исправления или устранения уязвимости или проблемы. ^[2] Такая координация отличает модель CVD от модели « полного раскрытия ».

Разработчикам оборудования и программного обеспечения часто требуется время и ресурсы для исправления своих ошибок. Часто именно этичные хакеры находят эти уязвимости. ^[1] Хакеры и специалисты по компьютерной безопасности считают, что их социальная ответственность — информировать общественность об уязвимостях. Сокрытие проблем может вызвать чувство ложной безопасности . Чтобы избежать этого, вовлеченные стороны координируют и договариваются о разумном периоде времени для исправления уязвимости. В зависимости от потенциального воздействия уязвимости, ожидаемого времени, необходимого для разработки и применения экстренного исправления или обходного пути, и других факторов этот период может варьироваться от нескольких дней до нескольких месяцев.

Скоординированное раскрытие уязвимостей может не удовлетворить исследователей безопасности, которые ожидают финансовой компенсации. В то же время, сообщение об уязвимостях с ожиданием компенсации рассматривается некоторыми как вымогательство. ^{[3] [4]} Хотя рынок уязвимостей развился, коммерциализация уязвимостей (или «bug bounties») остается горячо обсуждаемой темой. Сегодня двумя основными игроками на рынке коммерческих уязвимостей являются iDefense, которая запустила свою программу уязвимостей (VCP) в 2003 году, и TippingPoint , с их инициативой нулевого дня (ZDI), начатой ​​в 2005 году. Эти организации следуют процессу скоординированного раскрытия уязвимостей с купленным материалом. В период с марта 2003 года по декабрь 2007 года в среднем 7,5% уязвимостей, затрагивающих Microsoft и Apple, были обработаны либо VCP, либо ZDI. ^[5] Независимые фирмы, финансово поддерживающие скоординированное раскрытие уязвимостей путем выплаты bug bounties , включают Facebook , Google и Barracuda Networks . ^[6]

Политика раскрытия информации

У Google Project Zero есть 90-дневный срок раскрытия информации, который начинается после уведомления поставщиков об уязвимости, при этом подробности публикуются для защитного сообщества по истечении 90 дней или раньше, если поставщик выпускает исправление. ^[7]

У ZDI есть 120-дневный срок для раскрытия информации, который начинается после получения ответа от поставщика. ^[8]

Примеры

Отдельные уязвимости безопасности , устраненные путем применения скоординированного раскрытия информации:

• Атака коллизии MD5 , показывающая, как создавать ложные сертификаты CA, 1 неделя ^[9]
• Двойная трата подарочной карты Starbucks /условие гонки для создания бесплатных дополнительных кредитов, 10 дней (Егор Хомаков) ^[10]
• Дэн Камински открыл отравление кэша DNS , 5 месяцев ^[11]
• MBTA против Андерсона , студенты Массачусетского технологического института обнаружили уязвимость в системе безопасности метро Массачусетса, 5 месяцев ^[12]
• Университет Радбауд в Неймегене взламывает защиту карт MIFARE Classic, 6 месяцев ^[13]
• Уязвимость Meltdown , аппаратная уязвимость, затрагивающая микропроцессоры Intel x86 и некоторые микропроцессоры на базе ARM , 7 месяцев. ^[14]
• Уязвимость Spectre , аппаратная уязвимость с реализациями предсказания ветвлений, влияющая на современные микропроцессоры со спекулятивным выполнением , позволяющая вредоносным процессам получать доступ к отображенному содержимому памяти других программ, 7 месяцев. ^[14]
• Уязвимость ROCA , влияющая на ключи RSA, сгенерированные библиотекой Infineon и Yubikeys , 8 месяцев. ^[15]

Смотрите также

• Информационная чувствительность
• Группа реагирования на компьютерные чрезвычайные ситуации
• Защита критической инфраструктуры

Ссылки

1. Ding, Aaron Yi; De Jesus, Gianluca Limon; Janssen, Marijn (2019). «Этический взлом для повышения уровня управления уязвимостями IoT». Труды Восьмой международной конференции по телекоммуникациям и дистанционному зондированию . Ictrs '19. Родос, Греция: ACM Press. стр. 49–55. arXiv : 1909.11166 . doi : 10.1145/3357767.3357774. ISBN 978-1-4503-7669-3. S2CID  202676146.
2. Weulen Kranenbarg, Marleen; Holt, Thomas J.; van der Ham, Jeroen (2018-11-19). "Don't shoot the messenger! A crimological and computer science perspective on coordinated threatclosure" (PDF) . Crime Science . 7 (1): 16. doi : 10.1186/s40163-018-0090-8 . ISSN  2193-7680. S2CID  54080134. Архивировано (PDF) из оригинала 2024-10-02 . Получено 2024-10-02 .
3. Кун, Джон (27 мая 2016 г.). «Bug Poaching: A New Extortion Tactic Targeting Enterprises». Security Intelligence . Архивировано из оригинала 23 января 2022 г. Получено 23 января 2022 г.
4. Рашид, Фахмида (9 сентября 2015 г.). «Вымогательство или честная торговля? Ценность вознаграждений за ошибки». InfoWorld . Архивировано из оригинала 23 января 2022 г. Получено 23 января 2022 г.
5. Стефан Фрай, Доминик Шатцманн, Бернхард Платтнер, Брайан Траммел (2008). «Моделирование экосистемы безопасности — динамика (не)безопасности». Архивировано из оригинала 2017-09-26 . Получено 2024-10-02 .{{cite web}}: CS1 maint: несколько имен: список авторов ( ссылка )
6. ( 2022). «Эффективность программы скоординированного раскрытия уязвимостей: проблемы и рекомендации». Компьютеры и безопасность . 123. doi :10.1016/j.cose.2022.102936 . Получено 21 августа 2023 г.
7. "Обратная связь и обновления политики раскрытия информации Google на основе данных". Project Zero . 2015-02-13. Архивировано из оригинала 2021-05-15 . Получено 2018-11-17 .
8. "Политика раскрытия информации". www.zerodayinitiative.com . Архивировано из оригинала 2021-02-25 . Получено 2018-11-17 .
9. "Атака коллизии MD5, показывающая, как создавать ложные сертификаты CA". Архивировано из оригинала 2021-05-07 . Получено 2009-04-29 .
10. Гудин, Дэн (2015-05-24). «Исследователь, который эксплуатирует ошибку в подарочных картах Starbucks, получает упрек, а не любовь». Ars Technica . Архивировано из оригинала 2023-05-16 . Получено 2023-05-16 .
11. "Открытие Дэном Каминским отравления кэша DNS" (PDF) . Архивировано (PDF) из оригинала 2012-07-07 . Получено 2009-04-29 .
12. "Студенты MIT обнаружили уязвимость в системе безопасности метро Массачусетса". Архивировано из оригинала 2016-03-18 . Получено 2009-04-29 .
13. "Исследователи взломали защиту карт MIFARE Classic" (PDF) . Архивировано из оригинала (PDF) 2021-03-18 . Получено 2009-04-29 .
14. "Project Zero: Чтение привилегированной памяти с помощью побочного канала". 3 января 2018 г. Архивировано из оригинала 1 октября 2019 г. Получено 2 октября 2024 г.
15. Возвращение атаки Копперсмита: практическая факторизация широко используемых модулей RSA Архивировано 12 ноября 2017 г. на Wayback Machine , Матус Немец, Марек Сис, Петр Свенда, Душан Клинец, Вашек Матьяс, ноябрь 2017 г.

Внешние ссылки

• Руководство CERT по скоординированному раскрытию уязвимостей
• Процесс координированного раскрытия информации об уязвимостях (CVD) CISA
• Подход Microsoft к скоординированному раскрытию уязвимостей
• Руководство по раскрытию уязвимостей, разработанное Национальным центром кибербезопасности Нидерландов
• Политика Hewlett-Packard по скоординированному раскрытию уязвимостей
• Программа Linksys по скоординированному раскрытию уязвимостей
• Глобальный форум по киберэкспертизе скоординировал политику раскрытия уязвимостей
• Philips скоординировала заявление о раскрытии уязвимости
• Политика раскрытия информации об уязвимостях, согласованная ETSI

Внешние ссылки

• «ISO/IEC TR 5895:2022 — Многостороннее скоординированное раскрытие и обработка уязвимостей».