15 Ноября, 2011

Помощь зала

InfoWatch
Обратились тут за консультацией. Некий доброхакер нашёл уязвимость в популярной программе. И, как полагается, сначала сообщил об этом приватно производителю. Однако разработчики посовещались и высказали мнение, что уязвимость эта – никакая не уязвимость, а так, мелкий недочёт. И что никакой опасности нет, дополнительных рисков не появляется, устранять нечего.

Хакер же категорически не согласен. Он считает, что опасность есть, эксплоиты и атаки вскоре появятся, а производитель просто ошибается. Либо прикрывает тупым отрицанием свою лень или некомпетентность.

Чтобы выносить вопрос на широкое обсуждение, придётся опубликовать все детали. А это позволит "чёрным шляпам" написать эксплоит. Наш этичный хакер этого не желает. Самому разработать concept proof ему кажется слишком затратным мероприятием, тем более, что работу эту никто не оплатит.

С похожими проблемами мы сами сталкиваемся частенько. Большинство утечек, о которых пишут в прессе, на взгляд вашего покорного слуги, неопасны. Утекшую информацию нерентабельно или вовсе невозможно обратить в деньги, поэтому злоумышленники её использовать не станут. Оппоненты же возражают, выдумывая с утекшими данными умозрительные схемы злодеяний в вакууме, хотя на практике ничего подобного не наблюдалось. Как доказать, что утечка опасна или безопасна? Самому, что ли, украсть и смошенничать? И что мне это даст? И что мне за это будет?

Возвращаясь к вопросу, поставленному нашим доброхакером. Пока я ему посоветовал оставить дело без движения. Может, производитель сам опомнится. Может, сыщется-таки эксплоит. Может, подвопросная уязвимость навсегда останется неизвестной и тихо помрёт вместе с продуктом.

Но хотелось бы узнать мнение уважаемых читателей. Ведь в женщинах, политике и футболе разбираются все, независимо от образования, возраста и профессии. Может, вам и про этику есть, что сказать?

или введите имя

CAPTCHA
ZlobnyBuratin
15 Ноября, 2011
Эксплойт
Если автор ПО не придает значимости найденной уязвимости, а крякеру лень писать эксплойт, то единственный верный вариант развития - опубликовать сведенья об уязвимости. Причем, публикацию сделать в духе мелкомягких: "Дескать, найдена уязвимость в ...dll, позволяющая крякеру что-то нить накрякать". Если людям интересно - уязвимость найдут повторно, а автор ПО будет вынужден почесаться.
0 |
15 Ноября, 2011
Ну раз он уверен, что уязвимость опасна, пусть напишет разработчикам ещё раз, в письме описать уязвимость и как её использовать, и указать n-день, когда данные о уязвимости попадут в сеть, может тогда они зашевелятся...
0 |
FАлександр Поляков
16 Ноября, 2011
Не сочтите за рекламу но как раз такого рода вопросам будет посвящен круглый стол на конференции ZeroNights "политика разглашения информации об уязвимостях"на котором вы сможете задать этот вопрос экспертам и обсудить его вместе с многочисленной аудиторией. Очень буду рад если данная тема поднимется на круглом столе а также тому что к ней проявляют интерес)
0 |
Анонимус
16 Ноября, 2011
=)
Поделись уязвимостью с нами, мы оценим по достоинству твои труды.
0 |
Serpent
16 Ноября, 2011
Публиковать однозначно. Разумеется предупредив производителя. Если проблема мелкая, то ваша публикация не будет иметь значения, если крупная, то в таком случае только публикация заставит производителя заткнуть дыру. Самая опасная информация - неизвестность.
0 |
Kvizzy
16 Ноября, 2011
Искрене считаю, что если производитель не чешется устранять уязвимость, то ее обнародывание так или иначе заставит их это сделать (если ПО не бесплатное конечно) т.к. мнение клиентов о производителе - это деньги. И потеря клиентов - потеря денег. Ошибки одной компании могут стать уроком сотням других. принцип меньшего зла получается...
0 |