it-swarm-eu.dev

Wie kann eine Sicherheitslücke auf ethische Weise offengelegt werden?

Wie kann eine Sicherheitslücke auf ethische Weise offengelegt werden? Ich habe gehört, dass es zu diesem Thema verschiedene Denkrichtungen gibt. Ich würde gerne die Vor- und Nachteile der einzelnen kennen.

75
Olivier Lalonde

Sie sollten die Entwickler privat informieren, damit sie die Möglichkeit haben, das Problem zu beheben. Wenn Sie danach die Sicherheitsanfälligkeit öffentlich machen, sollten Sie dem Entwickler genügend Zeit einräumen, um das Problem zu beheben, und jedem, der davon betroffen ist, genügend Zeit, um seine Systeme zu aktualisieren. Persönlich würde ich dem Entwickler erlauben, die Ankündigung in den meisten Fällen in einem Sicherheitsbulletin zu machen, anstatt sie selbst anzukündigen. Zumindest würde ich auf die Bestätigung warten, dass die Sicherheitsanfälligkeit behoben wurde. Wenn Sie Zeit haben und Zugriff auf den Quellcode haben, können Sie auch einen Patch bereitstellen.

43
VirtuosiMedia

Persönlich denke ich, dass Verantwortliche Offenlegung aus ethischer Sicht der beste Weg zu sein scheint und für Dan Kaminsky gut funktioniert hat, um die Details der Sicherheitsanfälligkeit bezüglich DNS-Cache-Vergiftung aufzudecken. Aber alles hängt stark von der Firma oder Gruppe ab, mit der Sie es zu tun haben, und auch von der Benutzerbasis, die davon betroffen ist.

27
Mark Davidson

@VirtuosiMedia leistet hervorragende Arbeit bei der Darstellung von "Responsible Disclosure".

Ich würde zwei Punkte hinzufügen:

  • Arbeiten Sie mit dem Anbieter zusammen (wenn Sie können), um sicherzustellen, dass er es vollständig versteht und keinen halbgebackenen Patch herausgibt.
  • Wenn der Anbieter Sie ignoriert oder ignoriert, versuchen Sie es weiter. Wenn sie jedoch behaupten, dass es sich nicht um eine Sicherheitsanfälligkeit handelt, veröffentlichen Sie sie. So laut wie möglich. Wenn sie versprochen haben, dies zu beheben, aber nicht, versuchen Sie, eine Antwort von ihnen zusammen mit einem endgültigen Zeitplan zu erhalten, zu dem sie sich verpflichten. Wenn sie irgendwann weiter aufschieben, möchten Sie ihnen vielleicht irgendwann mitteilen, dass Sie trotzdem veröffentlichen werden - und ihnen dann etwas Zeit geben, um das Problem tatsächlich zu beheben (aber kurz und begrenzt).
18
AviD

Dies ist ein verdammt komplexes Thema. Ich war vor ein paar Jahren an der Aufdeckung des TLS-Neuverhandlungsfehlers beteiligt, und glauben Sie mir, wir haben uns sehr bemüht, "verantwortlich" zu sein, aber am Ende ist es uns hauptsächlich gelungen, alle um uns herum zu verärgern und (vielleicht) zu verzögern die tatsächliche Veröffentlichung des Fixes. Um nicht zu sagen, dass die Benachrichtigung des Anbieters notwendigerweise schlecht ist, nur dass es wirklich leicht ist, sich zu peitschen und so viel Schaden wie gut oder schlechter zu verursachen.

In unserem Fall hat die IETF ( RFC 5746 ) Maßnahmen ergriffen, um das Problem zu lösen, und obwohl wir an dem Tag, an dem es durchgesickert war, einen Internetentwurf bereit hatten, war die eigentliche Arbeit der Debatte und Entscheidung Die Lösung dauerte noch etwa drei Monate und wurde erst nach der Offenlegung ernsthaft gestartet.

Auf jeden Fall ist dies keine Antwort auf Ihre Frage, aber es ist eine der interessanteren Offenlegungsgeschichten, die mir bekannt sind. Mehr zu dieser Geschichte in der 2010 ShmooCon Keynote Ich habe mit Marsh Ray gemacht, der das Problem entdeckt hat.

11
Steve Dispensa

Im Allgemeinen hängt es von der Reaktion des Anbieters ab. Es empfiehlt sich, wenn der Sicherheitsforscher den Anbieter über die Sicherheitsanfälligkeit informiert und Sie während eines Gesprächs über die Bedingungen für die Veröffentlichung von poc/Exploit dieser Sicherheitsanfälligkeit sprechen. Tatsächlich entscheiden die Forscher, was mit dieser Sicherheitsanfälligkeit geschehen soll - später veröffentlichen oder nicht. Dann veröffentlicht der Anbieter einen Patch oder eine neue Produktversion. Könnte sein. Aber wie die Erfahrung zeigt - nicht alle Anbieter sind so nett. Einige von ihnen beheben Fehler stillschweigend, ohne Endbenutzer und Forscher zu informieren, andere ziehen es vor, Forscher zu ignorieren. Andere versuchen sogar zu klagen. Aus diesem Grund ist Anonymität manchmal die bevorzugte Art der Erstkommunikation mit einem unbekannten Anbieter.

Ich möchte auch zugeben, dass es Bug-Bounty-Belohnungsprogramme gibt - diese werden von Google, Mozilla, angeboten. Außerdem kaufen andere Schwachstellen - ZDI , iDefense , SNOsoft , kommender "Exploit Hub" und usw. Es gibt also mindestens drei Möglichkeiten, den Anbieter zu informieren - direkt, indem Schwachstelleninformationen auf einer Liste oder über Drittanbieter veröffentlicht werden.

8
anonymous

Wenn sie einen öffentlichen Issue-Tracker haben, prüfen Sie, ob Sie einen Fehler mit einem "privaten" oder "Sicherheits" -Label melden können.

Unabhängig davon, ob sie einen Issue-Tracker haben, senden Sie eine E-Mail an [email protected] Firmenname und lassen Sie es sie wissen.

Wenn sie nicht ziemlich schnell reagieren (siehe "Fenster der Offenlegung" im Schneier-Artikel unten), müssen Sie darüber nachdenken, es weiter offen zu legen. Suchen Sie nach Mailinglisten, auf denen Sicherheitswissenschaftler lauern, und fragen Sie sie, wie sie Probleme an den betreffenden Anbieter melden. Möglicherweise können sie sich an der richtigen Stelle in der Organisation vorstellen.

Wenn dies alles fehlschlägt, lesen Sie das Schneier-Bit und überlegen Sie, ob die vollständige Offenlegung Teil des Problems oder Teil der Lösung sein würde.

Bruce Schneier gibt ein Argument für vollständige Offenlegung unter bestimmten Umständen an, basierend auf dem Standard "Teil der Lösung sein, nicht Teil des Problems". Es ist definitiv eine Lektüre wert.

Dies ist die klassische Debatte "Fehlergeheimnis vs. vollständige Offenlegung". Ich habe bereits in Crypto-Gram darüber geschrieben. andere haben auch darüber geschrieben. Es ist ein kompliziertes Problem mit subtilen Auswirkungen auf die gesamte Computersicherheit, und es lohnt sich, es noch einmal zu diskutieren.

...

Dieser freie Informationsfluss sowohl der Beschreibung als auch des Proof-of-Concept-Codes ist auch für die Sicherheitsforschung von entscheidender Bedeutung. Forschung und Entwicklung im Bereich Computersicherheit haben in den letzten zehn Jahren zugenommen, und ein Großteil davon ist auf die Bewegung zur vollständigen Offenlegung zurückzuführen. Die Möglichkeit, sowohl gute als auch schlechte Forschungsergebnisse zu veröffentlichen, führt zu einer besseren Sicherheit für alle. Ohne Veröffentlichung kann die Sicherheitsgemeinschaft nicht aus den Fehlern des anderen lernen. Jeder muss mit Scheuklappen arbeiten und immer wieder die gleichen Fehler machen. Eine vollständige Offenlegung ist unerlässlich, um die Sicherheit unserer Computer und Netzwerke weiter zu verbessern.

...

Zweitens glaube ich daran, den Verkäufer im Voraus zu benachrichtigen. CERT hat dies auf ein Extrem gebracht und dem Anbieter manchmal Jahre Zeit gegeben, um das Problem zu beheben.

...

Ich mag die Metrik "Teil der Lösung sein, nicht Teil des Problems". Sicherheitsforschung ist Teil der Lösung. Anbieter davon zu überzeugen, Probleme zu beheben, ist Teil der Lösung. Angst zu säen ist ein Teil des Problems. Die Übergabe von Angriffswerkzeugen an ahnungslose Jugendliche ist Teil des Problems.

6
Mike Samuel