Πριν από τρεις εβδομάδες, ανακαλύφθηκε ένα σοβαρό ζήτημα ασφάλειας στο OS X 10.10.4. Αυτό, από μόνο του, δεν είναι ιδιαίτερα ενδιαφέρον.
Τα τρωτά σημεία ασφαλείας στα δημοφιλή πακέτα λογισμικού ανακαλύπτονται συνεχώς και το OS X δεν αποτελεί εξαίρεση. Η βάση δεδομένων ανοιχτού κώδικα ευπάθειας (OSVDB) εμφανίζει τουλάχιστον 1100 τρωτά σημεία με την ετικέτα "OS X". Αλλά αυτό που είναι ενδιαφέρον είναι ο τρόπος με τον οποίο αποκαλύφθηκε αυτή η συγκεκριμένη ευπάθεια.
Αντί να πούμε στην Apple και να της δώσει χρόνο για να διορθώσει το πρόβλημα, ο ερευνητής αποφάσισε να δημοσιεύσει την εκμετάλλευσή του στο Internet για να δει ο καθένας.
Το τελικό αποτέλεσμα ήταν μια κούρσα όπλων μεταξύ της Apple και των μαύρων καπέλων hackers. Η Apple χρειάστηκε να απελευθερώσει ένα έμπλαστρο προτού γίνει ευκολότερη η ευπάθεια και οι χάκερ έπρεπε να δημιουργήσουν εκμετάλλευση προτού τα συστήματα κινδύνου να επιδιορθωθούν.
Μπορεί να πιστεύετε ότι η συγκεκριμένη μέθοδος αποκάλυψης είναι ανεύθυνη. Θα μπορούσατε να το ονομάσετε ανήθικο ή απερίσκεπτο. Αλλά είναι πιο περίπλοκο από αυτό. Καλώς ήρθατε στον παράξενο, σύγχρονο κόσμο της αποκάλυψης ευπάθειας.
Πλήρης και υπεύθυνη γνωστοποίηση
Υπάρχουν δύο δημοφιλείς τρόποι αποκάλυψης ευπάθειας στους πωλητές λογισμικού.
Η πρώτη λέγεται πλήρης αποκάλυψη . Όπως και στο προηγούμενο παράδειγμα, οι ερευνητές δημοσιεύουν αμέσως την ευαισθησία τους στην άγρια φύση, δίνοντας στους πωλητές απολύτως καμία ευκαιρία να απελευθερώσουν μια λύση.
Η δεύτερη λέγεται υπεύθυνη αποκάλυψη ή κλιμακωτή αποκάλυψη. Αυτός είναι ο τόπος όπου ο ερευνητής έρχεται σε επαφή με τον προμηθευτή πριν απελευθερωθεί η ευπάθεια.
Αμφότερα τα μέρη συμφωνούν σε ένα χρονικό πλαίσιο όπου ο ερευνητής υπόσχεται να μην δημοσιεύσει το θέμα ευπάθειας, προκειμένου να δοθεί στον πωλητή η ευκαιρία να δημιουργήσει και να απελευθερώσει μια λύση. Αυτή η χρονική περίοδος μπορεί να είναι οπουδήποτε από 30 ημέρες έως ένα χρόνο, ανάλογα με τη σοβαρότητα και την πολυπλοκότητα της ευπάθειας. Ορισμένες τρύπες ασφαλείας δεν μπορούν να σταθεροποιηθούν εύκολα και απαιτούν ολόκληρο το σύστημα λογισμικού να ξαναχτιστεί από το μηδέν.
Μόλις τα δύο μέρη ικανοποιηθούν με την επιδιόρθωση που έχει παραχθεί, τότε η ευπάθεια αποκαλύπτεται και δίνεται ένας αριθμός CVE. Αυτά αναγνωρίζουν με μοναδικό τρόπο κάθε ευπάθεια και η ευπάθεια είναι αρχειοθετημένη στο διαδίκτυο στο OSVDB.
Αλλά τι συμβαίνει εάν λήξει ο χρόνος αναμονής; Λοιπόν, ένα από τα δύο πράγματα. Ο πωλητής κατόπιν θα διαπραγματεύεται μια επέκταση με τον ερευνητή. Αλλά αν ο ερευνητής δεν είναι ικανοποιημένος με τον τρόπο με τον οποίο ο πωλητής ανταποκρίθηκε ή συμπεριφέρθηκε ή αισθάνεται ότι το αίτημα για επέκταση είναι παράλογο, μπορεί απλώς να το δημοσιεύσει στο διαδίκτυο χωρίς να είναι έτοιμο.
Στον τομέα της ασφάλειας, υπάρχουν έντονες συζητήσεις σχετικά με τη μέθοδο αποκάλυψης που είναι καλύτερη. Ορισμένοι πιστεύουν ότι η μόνη ηθική και ακριβής μέθοδος είναι η πλήρης αποκάλυψη. Κάποιοι πιστεύουν ότι είναι καλύτερο να δώσουμε στους πωλητές την ευκαιρία να διορθώσουν ένα πρόβλημα προτού τους ελευθερωθεί.
Όπως αποδεικνύεται, υπάρχουν μερικά συναρπαστικά επιχειρήματα και για τις δύο πλευρές.
Τα επιχειρήματα υπέρ της υπεύθυνης αποκάλυψης
Ας δούμε ένα παράδειγμα όπου είναι καλύτερο να χρησιμοποιήσουμε την υπεύθυνη αποκάλυψη.
Όταν μιλάμε για κρίσιμη υποδομή στο πλαίσιο του Διαδικτύου, είναι δύσκολο να αποφύγετε να μιλάτε για το πρωτόκολλο DNS Πώς να αλλάξετε τους διακομιστές DNS & να βελτιώσετε την ασφάλεια στο Διαδίκτυο Πώς να αλλάξετε τους διακομιστές DNS & να βελτιώσετε την ασφάλεια στο Internet Φανταστείτε αυτό - ξυπνάς ένα όμορφο το πρωί, ρίξτε τον εαυτό σας ένα φλιτζάνι καφέ, και στη συνέχεια καθίστε στον υπολογιστή σας για να ξεκινήσετε με την εργασία σας για την ημέρα. Πριν να πάρετε πραγματικά ... Διαβάστε περισσότερα. Αυτό μας επιτρέπει να μεταφράσουμε διευθύνσεις στον ιστό (όπως το makeuseof.com) σε διευθύνσεις IP.
Το σύστημα DNS είναι απίστευτα περίπλοκο και όχι μόνο σε τεχνικό επίπεδο. Υπάρχει μεγάλη εμπιστοσύνη στο σύστημα αυτό. Πιστεύουμε ότι όταν πληκτρολογούμε μια διεύθυνση ιστού, στέλνουμε στη σωστή θέση. Υπάρχει απλώς πολλή οδήγηση στην ακεραιότητα αυτού του συστήματος.
Εάν κάποιος μπόρεσε να παρέμβει ή να θέσει σε κίνδυνο ένα αίτημα DNS, υπάρχει μεγάλη πιθανότητα ζημιάς. Για παράδειγμα, θα μπορούσαν να στείλουν άτομα σε σελίδες ηλεκτρονικής τραπεζικής, με αποτέλεσμα να τους επιτρέψουν να αποκτήσουν τις λεπτομέρειες ηλεκτρονικής τραπεζικής τους. Θα μπορούσαν να παρακολουθήσουν την ηλεκτρονική τους αλληλογραφία και την διαδικτυακή κυκλοφορία μέσω μιας επίθεσης στο άτομο και να διαβάσουν τα περιεχόμενα. Θα μπορούσαν βασικά να υπονομεύσουν την ασφάλεια του Διαδικτύου στο σύνολό του. Φοβιές πράγματα.
Ο Dan Kaminsky είναι ένας αξιόπιστος ερευνητής ασφάλειας, με ένα μακρύ βιογραφικό της εύρεσης ευπάθειας σε γνωστό λογισμικό. Αλλά είναι πιο γνωστός για την ανακάλυψη του 2008 ίσως την πιο σοβαρή ευπάθεια στο σύστημα DNS που βρέθηκε ποτέ. Αυτό θα επέτρεπε σε κάποιον να εκτελέσει εύκολα μια επίθεση μνήμης cache (ή spoofing DNS) σε έναν διακομιστή ονομάτων DNS. Οι περισσότερες τεχνικές λεπτομέρειες αυτής της ευπάθειας εξήγησαν στη διάσκεψη Def Def Con 2008.
Ο Kaminsky, έχοντας πλήρη επίγνωση των συνεπειών της απελευθέρωσης ενός τόσο σοβαρού ελαττώματος, αποφάσισε να το αποκαλύψει στους πωλητές του λογισμικού DNS που επηρεάζονται από αυτό το σφάλμα.
Υπήρξε πλήθος σημαντικών προϊόντων DNS που επηρεάστηκαν, συμπεριλαμβανομένων εκείνων που κατασκευάστηκαν από την Alcatel-Lucent, την BlueCoat Technologies, την Apple και τη Cisco. Το ζήτημα επηρέασε επίσης ορισμένες υλοποιήσεις DNS που αποστέλλονταν με ορισμένες δημοφιλείς διανομές Linux / BSD, συμπεριλαμβανομένων αυτών για το Debian, το Arch, το Gentoo και το FreeBSD.
Ο Kaminsky τους έδωσε 150 ημέρες για να παράσχει μια λύση, και εργάστηκε μαζί τους μυστικά για να τους βοηθήσει να καταλάβουν την ευπάθεια. Ήξερε ότι αυτό το ζήτημα ήταν τόσο σοβαρό και οι πιθανές ζημιές τόσο μεγάλες, ότι θα ήταν απίστευτα απερίσκεπτη η δημοσιοποίησή του χωρίς να δοθεί στους πωλητές η ευκαιρία να εκδώσουν ένα έμπλαστρο.
Παρεμπιπτόντως, η ευπάθεια διαρρήχτηκε από ατύχημα από την εταιρεία ασφαλείας Matsano σε μια θέση blog. Το άρθρο αφαιρέθηκε, αλλά ήταν αντικατοπτρίζεται, και μια μέρα μετά τη δημοσίευση ένα εκμεταλλεύονται Αυτό είναι το πώς θα σας Hack: The Murky Κόσμος των Εκπαιδευτικών Kits Αυτό είναι το πώς θα σας Hack: The Murky World των Εκπαιδευτικών Kits Απατεώνες μπορούν να χρησιμοποιήσουν τις σουίτες λογισμικού για να να εκμεταλλεύονται τα τρωτά σημεία και να δημιουργούν κακόβουλα προγράμματα. Αλλά ποια είναι αυτά τα κιτ εκμετάλλευσης; από που έρχονται; Και πώς μπορούν να σταματήσουν; Διαβάστε περισσότερα είχαν δημιουργηθεί.
Η ευπάθεια DNS του Kaminsky συνοψίζει τελικά το κύριο θέμα του επιχειρήματος υπέρ μιας υπεύθυνης, κλιμακωτής αποκάλυψης. Ορισμένα τρωτά σημεία - όπως τρωτά σημεία μηδενικής ημέρας Τι είναι το θέμα ευπάθειας ημέρας μηδέν; [Το MakeUseOf Εξηγεί] Τι είναι η Zero Day ευπάθεια; [Επεξήγηση του MakeUseOf] Διαβάστε περισσότερα - είναι τόσο σημαντικές, ότι η δημοσιοποίησή τους θα προκαλούσε σημαντικές ζημιές.
Υπάρχει όμως και ένα συναρπαστικό επιχείρημα υπέρ της μη προειδοποίησης.
Η υπόθεση για πλήρη αποκάλυψη
Απελευθερώνοντας ένα θέμα ευπάθειας στο ανοιχτό, ξεκλειδώνετε ένα κουτί της Πανδώρας όπου τα δυσάρεστα άτομα είναι σε θέση να παράγουν γρήγορα και εύκολα εκμεταλλεύσεις και να θέτουν σε κίνδυνο τα ευάλωτα συστήματα. Γιατί, λοιπόν, κάποιος θα επιλέξει να το κάνει;
Υπάρχουν μερικοί λόγοι. Πρώτον, οι πωλητές είναι συχνά πολύ αργά για να απαντήσουν στις ειδοποιήσεις ασφαλείας. Αναγκάζοντας αποτελεσματικά το χέρι τους απελευθερώνοντας μια ευάλωτη θέση στην άγρια φύση, είναι πιο κίνητρα να ανταποκριθούν γρήγορα. Ακόμη χειρότερα, μερικοί είναι διατεθειμένοι να μην δημοσιοποιούν Γιατί οι εταιρείες που παραβιάζουν ένα μυστικό θα μπορούσαν να είναι ένα καλό πράγμα Γιατί οι εταιρείες που παραβιάζουν ένα μυστικό θα μπορούσε να είναι ένα καλό πράγμα Με τόσο πολλές πληροφορίες στο διαδίκτυο, όλοι ανησυχούμε για τυχόν παραβιάσεις της ασφάλειας. Αλλά αυτές οι παραβιάσεις θα μπορούσαν να κρατηθούν μυστικές στις ΗΠΑ για να σας προστατεύσουν. Ακούγεται τρελό, έτσι τι συμβαίνει; Διαβάστε περισσότερα το γεγονός ότι στέλνουν ευάλωτα λογισμικά. Η πλήρης αποκάλυψη τους αναγκάζει να είναι ειλικρινείς με τους πελάτες τους.
Προφανώς, το @PepsiCo δεν ενδιαφέρεται για ένα βλεννογόνο στον ιστότοπό του, χωρίς να δέχεται ανεπιθύμητη βοήθεια. Έχει ήδη μια δευτερόλεπτα ομάδα. Θα κάνω πλήρη αποκάλυψη
- Λευκό πακέτο (@WhitePacket) στις 4 Σεπτεμβρίου 2015
Επιτρέπει, ωστόσο, στους καταναλωτές να κάνουν μια συνειδητή επιλογή ως προς το εάν επιθυμούν να συνεχίσουν να χρησιμοποιούν ένα συγκεκριμένο ευάλωτο κομμάτι λογισμικού. Φαντάζομαι ότι η πλειοψηφία δεν θα το έκανε.
Τι χρειάζονται οι προμηθευτές;
Οι πωλητές πραγματικά δεν συμπαθούν την πλήρη αποκάλυψη.
Μετά από όλα, είναι απίστευτα κακή PR για αυτούς, και θέτει τους πελάτες τους σε κίνδυνο. Έχουν προσπαθήσει να ενθαρρύνουν τους ανθρώπους να αποκαλύπτουν υπεύθυνα τα ευάλωτα μέσα από προγράμματα εκκολαπτόμενων bugs. Αυτά ήταν εξαιρετικά επιτυχημένα, με την Google να πληρώνει 1, 3 εκατομμύρια δολάρια μόνο το 2014.
Αν και αξίζει να επισημανθεί ότι ορισμένες εταιρείες - όπως η Oracle Oracle θέλει να σταματήσετε να τους στείλετε σφάλματα - Εδώ είναι γιατί αυτό είναι τρελό Oracle θέλει να σταματήσετε να τους στείλετε σφάλματα - Εδώ είναι γιατί είναι τρελό Oracle είναι σε ζεστό νερό πάνω από μια λανθασμένη θέση blog από τον υπεύθυνο ασφαλείας, Mary Davidson. Αυτή η επίδειξη του πώς η φιλοσοφία ασφαλείας της Oracle απομακρύνεται από το mainstream δεν έχει ληφθεί καλά στην κοινότητα ασφαλείας ... Διαβάστε περισσότερα - αποθαρρύνετε τους ανθρώπους να εκτελούν έρευνα ασφαλείας στο λογισμικό τους.
Αλλά εξακολουθούν να υπάρχουν άνθρωποι που επιμένουν να χρησιμοποιούν πλήρη αποκάλυψη, είτε για φιλοσοφικούς λόγους, είτε για τη δική τους διασκέδαση. Κανένα πρόγραμμα γενναιόδωρου bug, ανεξάρτητα από το πόσο γενναιόδωρο, μπορεί να το αντιμετωπίσει.