Просунуте відповідальне оприлюднення уразливостей
22:40 26.03.2010В своїй статті Хакінг веб сайтів, секюріті дослідження, оприлюднення та законодавство в частині “Оприлюднення уразливостей” я описав різні варіанти оприлюднення уразливостей. Так звані політики оприлюднення.
Політики оприлюднення уразливостей.
Існують наступні варіанти оприлюднення: responsible disclosure (відповідальне оприлюднення), full disclosure (повне оприлюднення) та advanced responsible disclosure (просунуте відповідальне оприлюднення). Є також цікава версія full disclosure (яку я використовую і з кожним роком я використовую її все більше) - responsible full disclosure. Це суміш перших двох типів оприлюднення.
В своїй діяльності я найчастіше використовую просунуте відповідальне оприлюднення уразливостей. Більш детально про різні політики оприлюднення ви можете прочитати у вищезгаданій статті, а зараз я детально розповім про просунуте відповідальне оприлюднення. Що я використовую при проведенні соціального секюріті аудиту, який є однією з задач мого веб проекту.
Політика просунутого відповідального оприлюднення.
Advanced responsible disclosure (просунуте відповідальне оприлюднення) - це моя версія оприлюднення, яка поєднує всі переваги responsible disclosure і full disclosure. Я створив її 18.07.2006, коли відкрив мій веб сайт. Концепція advanced responsible disclosure полягає в наступному:
1) Спочатку я роблю анонс на моєму веб сайті про уразливість на веб сайті (веб додатку) без деталей.
2) Потім я посилаю листа з деталями власнику веб сайта (розробнику веб додатка) і даю йому деякий час для виправлення.
3) Після закінчення часу, я оприлюднюю всі деталі уразливості в записі на моєму сайті (під анонсом).
4) Я завжди даю достатньо часу для виправлення, але якщо для розробника часу недостатньо і він просить про додатковий час, тоді я дам йому додатковий час, щоб дозволити йому виправити уразливість перед оприлюдненням.
5) Анонс та час для виправлення (перед оприлюдненням деталей) є стимулами для власників веб сайтів (розробників веб додатків) для виправлення дірок. Це головна причина, чому я створив даний тип оприлюднення.
Історія створення даної політики оприлюднення.
Після того як я почав працювати в сфері веб безпеки в 2005 і почав інформувати власників веб сайтів про дірки на їхніх сайтах, я виявив, що responsible disclosure не працює. В зв’язку з ігноруванням (чи не подякують і не виправлять, чи подякують, але не виправлять, бо їм байдуже) власниками веб сайтів. Вони не слідкують за безпекою їхніх сайтів і якщо ви скажете їм про дірки використовуючи відповідальне оприлюднення, вони продовжать робити те саме. На початку 2006 я бачив ту саму ситуацію і я вирішив, що потрібен інший метод оприлюднення (який буде використовувати сайт для розміщення публічних оприлюднень, щоб зробити стимули для власників сайтів виправляти дірки).
І після того як я відкрив мій сайт 18.07.2006, я почав використовувати цей новий метод оприлюднення уразливостей на веб сайтах та веб додатках. Ось так народився advanced responsible disclosure. І я назвав дану роботу по знаходженню уразливостей на веб сайтах та інформуванню їхніх адмінів як соціальний секюріті аудит.
Наскільки відповідальне оприлюднення працює.
Дана политика оприлюднення працює, як і взагалі соціальний секюріті аудит, хоча не завжди, але все ж працює. Є деякі позитивні ефекти моєї роботи, на яку я витратив чимало часу з початку 2005 року. За більше 5 років, що я займаюся веб безпекою, в тому числі витративши чимало часу на соціальний секюріті аудит, є позитивні зрушення і деяке покращення безпеки сайтів, хоча дуже невеликі в маштабах всього Інтернета.
Так що є сенс в advanced responsible disclosure і я рекомендую використовувати його при оприлюдненні дірок на веб сайтах та у веб додатках. І у випадку коли адмін веб сайту (розробник веб додатку) дуже ламерить, тоді responsible full disclosure може бути використаний, про який я розповідав раніше (або у випадку, якщо уразливість дуже маленька). Стандартний full disclosure краще використовувати тільки в рідких і тяжких випадках.