Sorumlu açıklama - Responsible disclosure

İçinde bilgisayar Güvenliği veya başka bir yerde, sorumlu açıklama bir güvenlik açığı açıklaması bir güvenlik açığının veya sorunun yalnızca güvenlik açığının veya sorunun ortaya çıkmasına izin veren bir süre sonra ortaya çıktığı model yamalı veya tamir edilmiş. Bu dönem, modeli farklı Tam açıklama.

Donanım ve yazılım geliştiricileri, hatalarını onarmak için genellikle zaman ve kaynak gerektirir. Hackerlar ve bilgisayar güvenliği bilim adamları bunun kendi sosyal sorumluluk halkı yüksek etkiye sahip güvenlik açıklarından haberdar etmek. Bu sorunları gizlemek, yanlış güvenlik. Bundan kaçınmak için, ilgili taraflar güçlerini birleştirir ve güvenlik açığını onarmak ve gelecekteki herhangi bir hasarı önlemek için belirli bir süre üzerinde anlaşır. Güvenlik açığının olası etkisine, bir acil durum düzeltmesi veya geçici çözümün geliştirilmesi ve uygulanması için gereken tahmini süre ve diğer faktörlere bağlı olarak, bu süre birkaç gün ile birkaç ay arasında değişebilir. Yazılımı kullanarak yama yapmak daha kolaydır. İnternet dağıtım kanalı olarak.

Sorumlu ifşa, finansal olarak tazmin edilmeyi bekleyen güvenlik araştırmacılarını tatmin etmeyebilirken, güvenlik açıklarını satıcıya tazminat beklentisiyle bildirmek gasp olarak görülebilir. Güvenlik açıkları için bir pazar gelişirken, güvenlik açığının ticarileştirilmesi, güvenlik açığı ifşa kavramına bağlı olarak hararetle tartışılan bir konu olmaya devam ediyor. Bugün, ticari güvenlik açığı pazarındaki iki ana oyuncu, güvenlik açığı katkıda bulunan programını (VCP) 2003 yılında başlatan iDefense ve TippingPoint, sıfır gün girişimi (ZDI) ile 2005 yılında başlamıştır. Bu kuruluşlar, satın alınan malzeme ile sorumlu açıklama sürecini takip etmektedir. Mart 2003 ile Aralık 2007 arasında, Microsoft ve Apple'ı etkileyen güvenlik açıklarının ortalama% 7,5'i VCP veya ZDI tarafından işlendi.^[1] Bağımsız firmalar sorumlu ifşayı ödeme yaparak finansal olarak destekler böcek ödülleri Dahil etmek Facebook, Google, Mozilla, ve Barracuda Networks.^[2]

Satıcı-sn sorumlu bir açıklama posta listesiydi. Hepsi değilse de çoğu CERT gruplar sorumlu açıklamaları koordine eder.

Açıklama politikaları

Google Project Zero 90 gün sonra satıcılara güvenlik açığı bildirildikten sonra başlayan 90 günlük bir ifşa süresi vardır, ayrıntılar 90 gün sonra savunma topluluğuyla kamuya açıklanır veya satıcı bir düzeltme yayınlarsa daha erken bir zamanda paylaşılır.^[3]

ZDI, satıcıdan bir yanıt aldıktan sonra başlayan 120 günlük bir açıklama süresine sahiptir.^[4]

Örnekler

Seçildi güvenlik açıkları sorumlu açıklama uygulanarak çözüldü:

MD5 Sahte CA sertifikalarının nasıl oluşturulacağını gösteren çarpışma saldırısı, 1 hafta^[5]
Starbucks ücretsiz ekstra kredi oluşturmak için hediye kartı çift harcama / yarış koşulu, 10 gün (Egor Homakov)^[6]
Dan Kaminsky keşfi DNS önbellek zehirlenmesi, 5 ay^[7]
MBTA ve Anderson, MIT öğrencileri 5 aydır Massachusetts metro güvenliğinde güvenlik açığı buldu^[8]
Radboud Üniversitesi Nijmegen güvenliğini bozar MIFARE Klasik kartlar, 6 ay^[9]
Meltdown güvenlik açığı, etkileyen donanım güvenlik açığı Intel x86 mikroişlemciler ve bazı KOL tabanlı mikroişlemciler, 7 ay.^[10]
Spectre güvenlik açığı, uygulamalarıyla donanım güvenlik açığı şube tahmini modern mikroişlemcileri etkileyen spekülatif uygulama, kötü niyetli kullanıma izin vermek süreçler erişim eşlenmiş bellek diğer programların içeriği, 7 ay.^[10]
ROCA güvenlik açığı, tarafından oluşturulan RSA anahtarlarını etkileyen Infineon kütüphane ve Yubikey'ler, 8 ay.^[11]

Ayrıca bakınız

Referanslar

^ Stefan Frei, Dominik Schatzmann, Bernhard Plattner, Brian Trammel (2009). "Güvenlik Ekosisteminin Modellenmesi - Güvenliğin Dinamikleri".CS1 bakimi: birden çok ad: yazarlar listesi (bağlantı)
^ http://securitywatch.eweek.com/vulnerability_research/facebook_joins_google_mozilla_barracuda_in_paying_bug_bounties.html
^ "Google'ın ifşa politikası için geri bildirim ve veriye dayalı güncellemeler". Proje Sıfır. 2015-02-13. Alındı 2018-11-17.
^ "Açıklama politikası". www.zerodayinitiative.com. Alındı 2018-11-17.
^ "Sahte CA sertifikalarının nasıl oluşturulacağını gösteren MD5 çarpışma saldırısı".
^ "Sınırsız kahve için Starbucks'ı hacklemek".
^ "Dan Kaminsky, DNS önbellek zehirlenmesinin keşfi" (PDF).
^ "MIT öğrencileri, Massachusetts metro güvenliğinde güvenlik açığı buldu".
^ "Araştırmacılar, MIFARE Classic kartlarının güvenliğini kırıyor" (PDF).
^ ^a ^b "Project Zero: Bir yan kanal ile ayrıcalıklı belleği okuma".
^ Bakırcıların Saldırısının Geri Dönüşü: Yaygın Olarak Kullanılan RSA Modüllerinin Pratik Ayrıştırılması, Matus Nemec, Marek Sys, Petr Svenda, Dusan Klinec, Vashek Matyas, Kasım 2017

Bu bilgisayar Bilimi makale bir Taslak. Wikipedia'ya şu yolla yardım edebilirsiniz: genişletmek.

[1] Stefan Frei, Dominik Schatzmann, Bernhard Plattner, Brian Trammel (2009). "Güvenlik Ekosisteminin Modellenmesi - Güvenliğin Dinamikleri".CS1 bakimi: birden çok ad: yazarlar listesi (bağlantı)

[2] ttp://securitywatch.eweek.com/vulnerability_research/facebook_joins_google_mozilla_barracuda_in_paying_bug_bounties.html

[3] "Google'ın ifşa politikası için geri bildirim ve veriye dayalı güncellemeler". Proje Sıfır. 2015-02-13. Alındı 2018-11-17.

[4] "Açıklama politikası". www.zerodayinitiative.com. Alındı 2018-11-17.

[5] "Sahte CA sertifikalarının nasıl oluşturulacağını gösteren MD5 çarpışma saldırısı".

[6] "Sınırsız kahve için Starbucks'ı hacklemek".

[7] "Dan Kaminsky, DNS önbellek zehirlenmesinin keşfi" (PDF).

[8] "MIT öğrencileri, Massachusetts metro güvenliğinde güvenlik açığı buldu".

[9] "Araştırmacılar, MIFARE Classic kartlarının güvenliğini kırıyor" (PDF).

[MeltdownSpectreGoogleZero-10] "Project Zero: Bir yan kanal ile ayrıcalıklı belleği okuma".

[nemecsys-11] Bakırcıların Saldırısının Geri Dönüşü: Yaygın Olarak Kullanılan RSA Modüllerinin Pratik Ayrıştırılması, Matus Nemec, Marek Sys, Petr Svenda, Dusan Klinec, Vashek Matyas, Kasım 2017

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]