Показано с 1 по 1 из 1.

Google предлагает переосмыслить подход к раскрытию информации об уязвимостях

  1. #1
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,699
    Вес репутации
    1810

    Google предлагает переосмыслить подход к раскрытию информации об уязвимостях

    В официальном блоге компании Google, посвященном вопросам безопасности, опубликована статья, в которой участники Google Security Team излагают свои соображения по вопросу раскрытия информации об уязвимостях, обнаруженных в программном обеспечении. Основным приоритетом при выборе политики раскрытия подобной информации сотрудники команды безопасности Google полагают защищенность конечного пользователя.

    В настоящее время можно выделить два ключевых подхода к раскрытию такой информации:
    • Ответственное раскрытие (responsible disclosure). При таком подходе исследователь, обнаруживший уязвимость, уведомляет о ней только производителя уязвимого программного обеспечения, скрывая информацию от общественности. Очевидным достоинством этого подхода является то, что производителю предоставляется возможность выпустить исправления раньше, чем уязвимость начнет массово использоваться злоумышленниками.
    • Полное раскрытие (full disclosure). При данном подходе исследователь, после обнаружения им уязвимости, публикует в открытом доступе всю информацию о ней. Основным достоинством данного подхода является наличие для производителя стимула выпустить исправление как можно скорее.

    Подробную аргументацию за и против для каждого из этих подходов можно прочитать в статье Брюса Шнайера, датируемой еще 2001 годом. Однако команду безопасности Google больше интересует, какой подход является более эффективным для защиты конечного пользователя сейчас, в 2010 году.

    В настоящее время наиболее распространенным является подход ответственного раскрытия, однако участники Google Security Team подчеркивают, что эта концепция в чистом виде часто не может обеспечить эффективной защиты конечного пользователя. Нередки случаи, когда производитель откладывает эксклюзивную информацию об уязвимостях «в долгий ящик», не выпуская исправлений месяцами, а то и годами. В то же время, исследователи в области безопасности, не связывающие себя соображениями профессиональной этики («серые» и «черные шляпы») могут обнаружить эти уязвимости, пользуясь теми же знаниями и инструментами, что и «белые шляпы» (добросовестные исследователи, честно уведомившие производителя о проблеме). Таким образом, обнаруженная уязвимость нулевого дня начинает активно эксплуатироваться теневыми кругами, в то время как производитель, не знающий об этом, считает вопрос устранения уязвимости не приоритетным.

    В качестве профилактики подобных ситуаций, авторы статьи предлагают использование комбинированного подхода, сочетающего достоинства обоих изложенных выше методов. При таком подходе, изначально об уязвимости уведомляется только производитель. Однако, в отличие от ответственного раскрытия, устанавливается некоторый срок, по истечении которого информация об уязвимости должна быть открыта широкой общественности. Разумеется, производитель уведомляется об этом условии, и как раз оно и должно стимулировать его выпустить исправления в разумные сроки. Авторы статьи полагают, что в качестве верхней границы такого срока можно принять 60 дней. Конкретный выбор срока в каждом случае производится с учетом таких факторов, как сложность устранения уязвимости, оценочные сроки распространения исправленной версии и т.п. Также срок может быть резко сокращен, если стало известно, что «черные шляпы» уже владеют этой информацией. В случае, если производитель отказывается рассматривать проблему, информация публикуется немедленно.

    Именно такой подход команда безопасности Google намерена отныне использовать в своей работе. Также, ее сотрудники готовы к тому, что подобный подход будет использоваться и в отношении Google, как производителя программного обеспечения. Более того, они призывают всех «белых шляп» последовать их примеру — чем шире распространится такой подход, тем лучше будут защищены конечные пользователи, считают сотрудники Google Security Team.

    The worst foe lies within the self...

  2. Реклама
     

Похожие темы

  1. Ответов: 0
    Последнее сообщение: 25.04.2012, 15:20
  2. Поддельный сервис "Google" предлагает трояны
    От CyberWriter в разделе Новости компьютерной безопасности
    Ответов: 0
    Последнее сообщение: 29.03.2012, 14:10
  3. Маргинальный подход
    От rodocop в разделе Microsoft Windows
    Ответов: 20
    Последнее сообщение: 30.03.2010, 22:08
  4. Google предлагает модифицировать систему доменных имен
    От ALEX(XX) в разделе Новости интернет-пространства
    Ответов: 1
    Последнее сообщение: 02.02.2010, 15:41
  5. Google: на индексацию всей информации уйдёт 300 лет
    От Geser в разделе Новости интернет-пространства
    Ответов: 0
    Последнее сообщение: 12.10.2005, 12:08

Метки для этой темы

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00800 seconds with 18 queries