William Charles
0 
2248
530
Trzy tygodnie temu odkryto poważny problem bezpieczeństwa w OS X 10.10.4. To samo w sobie nie jest szczególnie interesujące.
Wykryto luki w zabezpieczeniach popularnych pakietów oprogramowania cały czas, a OS X nie jest wyjątkiem. Baza danych luk w zabezpieczeniach Open Source (OSVDB) pokazuje co najmniej 1100 luk oznaczonych jako “OS X”. Ale co jest Interesujący jest sposób ujawnienia tej szczególnej podatności.
Zamiast poinformować Apple i dać im czas na rozwiązanie problemu, badacz postanowił opublikować swój exploit w Internecie, aby każdy mógł go zobaczyć.
Końcowym rezultatem był wyścig zbrojeń między Apple a hakerami w czarnych kapeluszach. Apple musiało opublikować łatkę, zanim luka została uzbrojona, a hakerzy musieli stworzyć exploita, zanim załatane zostaną zagrożone systemy..
Możesz pomyśleć, że ta szczególna metoda ujawnienia jest nieodpowiedzialna. Możesz nawet nazwać to nieetycznym lub lekkomyślnym. Ale to bardziej skomplikowane. Witamy w dziwnym, mylącym świecie ujawniania luk w zabezpieczeniach.
Pełne i odpowiedzialne ujawnianie informacji
Istnieją dwa popularne sposoby ujawniania luk w zabezpieczeniach sprzedawcom oprogramowania.
Pierwszy nazywa się pełne ujawnienie informacji. Podobnie jak w poprzednim przykładzie, badacze natychmiast opublikowali swoją lukę w środowisku naturalnym, nie dając producentom absolutnie żadnej możliwości opublikowania poprawki.
Drugi nazywa się odpowiedzialne ujawnienie, lub rozłożone ujawnienia. W tym miejscu badacz kontaktuje się ze sprzedawcą przed wydaniem luki.
Obie strony uzgadniają następnie ramy czasowe, w których badacz obiecuje nie opublikować luki w zabezpieczeniach, aby dać dostawcy możliwość zbudowania i wydania poprawki. Ten okres może wynosić od 30 dni do roku, w zależności od ważności i złożoności luki. Niektórych dziur w zabezpieczeniach nie da się łatwo naprawić i wymagają one całkowitej odbudowy całego oprogramowania.
Gdy obie strony są zadowolone z wprowadzonej poprawki, luka jest następnie ujawniana i otrzymuje numer CVE. One jednoznacznie identyfikują każdą lukę, a ta luka jest archiwizowana online na OSVDB.
Ale co się stanie, jeśli upłynie czas oczekiwania? Cóż, jedna z dwóch rzeczy. Sprzedawca następnie negocjuje rozszerzenie z badaczem. Ale jeśli badacz jest niezadowolony z tego, jak sprzedawca zareagował lub zachował się, lub uważa, że prośba o rozszerzenie jest nieuzasadniona, może po prostu opublikować ją online bez gotowej poprawki.
W dziedzinie bezpieczeństwa toczy się gorąca debata na temat tego, która metoda ujawnienia informacji jest najlepsza. Niektórzy uważają, że jedyną etyczną i dokładną metodą jest pełne ujawnienie. Niektórzy uważają, że najlepiej dać sprzedawcom możliwość rozwiązania problemu przed wypuszczeniem go na wolność.
Jak się okazuje, obie strony są przekonujące.
Argumenty za odpowiedzialnym ujawnieniem
Spójrzmy na przykład, gdzie najlepiej było zastosować odpowiedzialne ujawnianie informacji.
Kiedy mówimy o infrastrukturze krytycznej w kontekście Internetu, trudno jest uniknąć rozmowy o protokole DNS Jak zmienić serwery DNS i poprawić bezpieczeństwo w Internecie Jak zmienić serwery DNS i poprawić bezpieczeństwo w Internecie Wyobraź to sobie - budzisz się jedną piękną rano, nalej sobie filiżankę kawy, a następnie usiądź przy komputerze, aby rozpocząć pracę na cały dzień. Zanim faktycznie… To pozwala nam tłumaczyć czytelne dla ludzi adresy internetowe (np. Makeuseof.com) na adresy IP.
System DNS jest niezwykle skomplikowany i to nie tylko na poziomie technicznym. W tym systemie jest dużo zaufania. Ufamy, że kiedy wpisujemy adres internetowy, zostajemy wysłani we właściwe miejsce. Po prostu integralność tego systemu jest bardzo duża.
Jeśli ktoś był w stanie ingerować lub skompromitować żądanie DNS, istnieje duże prawdopodobieństwo uszkodzenia. Mogą na przykład wysyłać ludzi na fałszywe strony bankowości internetowej, umożliwiając im w ten sposób uzyskanie danych bankowości internetowej. Mogli przechwytywać ruch e-mailowy i internetowy przez atak typu man-in-the-middle i czytać zawartość. Mogłyby one zasadniczo podważyć bezpieczeństwo Internetu jako całości. Straszna rzecz.
Dan Kaminsky jest szanowanym badaczem bezpieczeństwa, z długim podsumowaniem znajdowania luk w znanym oprogramowaniu. Ale najbardziej znany jest z odkrycia w 2008 roku najpoważniejszej luki w systemie DNS, jaką kiedykolwiek znaleziono. Umożliwiłoby to komuś łatwe wykonanie ataku zatruwania pamięci podręcznej (lub fałszowania DNS) na serwer nazw DNS. Bardziej techniczne szczegóły tej luki zostały wyjaśnione na konferencji Def Con 2008.
Kamiński, doskonale świadomy konsekwencji uwolnienia tak poważnej wady, postanowił ujawnić ją dostawcom oprogramowania DNS dotkniętym tym błędem.
Dotyczyło to wielu głównych produktów DNS, w tym tych zbudowanych przez Alcatela-Lucenta, BlueCoat Technologies, Apple i Cisco. Ten problem dotyczył także wielu implementacji DNS dostarczanych z niektórymi popularnymi dystrybucjami Linux / BSD, w tym dla Debiana, Archa, Gentoo i FreeBSD.
Kamiński dał im 150 dni na poprawkę i pracował z nimi w tajemnicy, aby pomóc im zrozumieć lukę. Wiedział, że ten problem był tak poważny, a potencjalne szkody tak duże, że publiczne uwolnienie go byłoby niezwykle lekkomyślne bez umożliwienia dostawcom wydania łatki.
Nawiasem mówiąc, luka ta została ujawniona przez przypadek firmy ochroniarskiej Matsano w poście na blogu. Artykuł został usunięty, ale został skopiowany, a jeden dzień po opublikowaniu exploita This Is How Hack You: The Mrky World of Exploit Kits This Is How Hack You: The Mrky World of Exploit Kits Oszuści mogą używać pakietów oprogramowania, aby: wykorzystuj luki i twórz złośliwe oprogramowanie. Ale czym są te zestawy exploitów? Skąd oni pochodzą? I jak można je zatrzymać? został stworzony.
Luka Kaminsky'ego w systemie DNS ostatecznie podsumowuje sedno argumentu na rzecz odpowiedzialnego, rozłożonego na części ujawnienia. Niektóre luki - na przykład luki zerowe Co to jest luka w Zero Day? [MakeUseOf wyjaśnia] Co to jest luka w Zero Day? [MakeUseOf wyjaśnia] - są tak znaczące, że ich publiczne zwolnienie spowodowałoby znaczne szkody.
Ale jest też przekonujący argument za tym, aby nie dawać wcześniejszego ostrzeżenia.
Sprawa pełnego ujawnienia
Uwalniając lukę w otwartym polu, odblokowujesz puszkę pandory, w której niesmaczne osoby są w stanie szybko i łatwo wytwarzać exploity oraz narażać zagrożone systemy. Dlaczego więc ktoś miałby to zrobić?
Jest kilka powodów. Po pierwsze, dostawcy często dość wolno reagują na powiadomienia dotyczące bezpieczeństwa. Skutecznie zmuszając rękę do uwolnienia luki w środowisku naturalnym, są bardziej zmotywowani do szybkiego reagowania. Co gorsza, niektórzy są skłonni nie publikować: Dlaczego firmy utrzymujące tajemnicę mogą być dobrą rzeczą Dlaczego firmy utrzymujące tajemnice mogą być dobrą rzeczą Przy tak dużej ilości informacji w Internecie wszyscy martwimy się o potencjalne naruszenia bezpieczeństwa. Ale te naruszenia mogą być trzymane w tajemnicy w USA, aby cię chronić. Brzmi szalenie, więc co się dzieje? fakt, że wysyłali wrażliwe oprogramowanie. Pełne ujawnienie zmusza ich do uczciwości wobec klientów.
Pozwala to również konsumentom na dokonanie świadomego wyboru, czy chcą nadal korzystać z określonego, wrażliwego oprogramowania. Wyobrażam sobie, że większość nie.
Czego chcą dostawcy?
Sprzedawcy naprawdę nie lubią pełnego ujawnienia.
W końcu jest to dla nich niesamowicie zły PR i zagraża ich klientom. Próbowali zachęcić ludzi do odpowiedzialnego ujawniania luk w zabezpieczeniach za pomocą programów premiowych za błędy. Odniosły one niezwykły sukces, ponieważ Google zapłacił 1,3 mln USD w samym 2014 roku.
Chociaż warto zauważyć, że niektóre firmy - takie jak Oracle Oracle chcą przestać wysyłać im błędy - oto dlaczego to szalone Oracle chcą przestać wysyłać im błędy - oto dlaczego to szalone Oracle jest w gorącej wodzie nad błędnym postem na blogu szefa bezpieczeństwa , Mary Davidson. Ta demonstracja tego, w jaki sposób filozofia bezpieczeństwa Oracle odchodzi od głównego nurtu, nie została dobrze przyjęta w społeczności bezpieczeństwa… - zniechęca ludzi do przeprowadzania badań bezpieczeństwa oprogramowania.
Ale nadal będą ludzie, którzy nalegają na stosowanie pełnego ujawnienia, z powodów filozoficznych lub dla własnej rozrywki. Żaden program premiowy za błędy, bez względu na to, jak hojny, nie może temu zaradzić.