Раскрытие уязвимости программного обеспечения-это настоящий беспорядок

Сообщения о недостатках безопасности могут быть сильно преувеличены и даже совершенно неправильно. Исследователи должны сделать свою домашнюю работу и доклад ответственно.

Software Vulnerability Disclosure Is a Real Mess

В июле, несколько авторитетных сайтов сообщили о критической уязвимости безопасности в VLC, популярный с открытым исходным кодом, мультиплатформенный медиа-плеер приложения. Читателям было предложено чистый VLC, прежде чем они взломали. Проблема в том, что уязвимости не существует—по крайней мере, не так, как сайты сообщили.

Software Vulnerability Disclosure Is a Real Mess

Рассказы после раскрытия информации немецкого агентства безопасности, который утверждал, что VLC имеет критический удаленное выполнение кода (RCE) уязвимости. Этот тип уязвимости позволяет злоумышленникам выполнить произвольные команды на взломанных машинах, таких как установка и модифицирующих приложений, запуска вредоносного кода и кражи информации.

Исследователи подали отчет с торцовочной корпорации, финансируемой правительством США научно-исследовательская организация, которая отслеживает общие уязвимости и воздействия (CVE). Предполагается эксплуатировать, наконец, был включен в Национальный базе данных уязвимость под номером CVE-2019-13615 со счетом уязвимость 9.8, классифицируемые как “критическое”.

Вскоре после, однако, у VideoLAN VLC плеер разработчик пояснил, что ошибка в сторонней библиотеке, что уже пропатчено. Столкновение в Twitter последовало.

Эпизод, который вызвал панику, разочарование и пространных рассуждений на социальные медиа—свидетельствует о нарушенном состоянии раскрытия уязвимости. От открытия до публикации уязвимости в программном обеспечении задействованы многочисленные организации и отдельные личности, каждый со своими проблемами. Получать их все на одной странице может быть сложнейшая задача.

Необходимость ответственного отчетности

“В ” Информзащиты”, все о получении кликов. Мы на уровне таблоидов”, – говорит президент у VideoLAN Жан-Батист Кемпф.

После показов рекламы являются основным источником дохода для интернет-изданий, журналисты находятся под давлением, чтобы писать рассказы, которые привлекают больше зрителей, которые могут привести к ссылка-приманка. Будучи первым, чтобы сломать новости и наберет больше просмотров, которое толкает некоторых журналистов писать рассказы без подтверждающих деталей. И в случае уязвимости в VLC, в большинстве случаев журналисты опубликовали свои рассказы без связавшись с разработчиками.

Чтобы быть справедливым, есть много нашумевшей истории в других секторах ИТ-индустрии. Но Кемпф указывает на то, что вопросы кибербезопасности разные.

“Если есть ссылка-приманка статьи о блокчейн, вы не заботитесь. Если речь идет о безопасности, это о потере данных и получения взломали. Люди больше заботятся о безопасности, поэтому кибербезопасности журналистам следует быть более осторожным, чем другие, потому что последствия могут быть больше”, – говорит Кемпф.

После разъяснения у VideoLAN, большинство технических изданий обновили свои рассказы. Запись НВД также был обновлен, уменьшение степени тяжести и добавив упоминание об уязвимых стороннюю библиотеку. Но обновления редко получают одну и ту же экспозицию, как и оригинал статьи.

Исследователи в области безопасности и разработчиков нужно поговорить

Кемпф указывает также, что эксперты по безопасности часто завышают свои отчеты, чтобы привлечь внимание к своей работе. “В программе VLC безопасности, исследователь предложил [Митру] для CVE и получил его в число 9.8”, – говорит он, указывая на то, что последние ядра Linux уязвимость, которая позволяла злоумышленникам скомпрометировать систему просто отправляет пакет на Linux сервер в облаке не получил 9.8 результат.

Он также подчеркивает, что исследователи не выйти на VLC для проверки своих выводов, прежде чем сделать их достоянием общественности. Многие эксперты по безопасности согласятся, что такое поведение является неэтичным и вредным.

“Хотя цель [этические] хакеры не делать вреда, исполнение раскрытие создал ненужную обеспокоенность на рынке и довольно большой пиар, вопрос на воспроизведение”, – говорит Юлия Kanouse, генеральный директор Ассоциации технологии Иллинойс. “Для этического взлома, чтобы считаться по-настоящему этическое, оно важно для хакера, чтобы соблюдать какой-то кодекс поведения.”

Исследователи должны понимать особенности целевой организации бизнеса, системы и сети, Kanouse говорит. В случае отчет в VLC уязвимость, исследователи провели эксперименты с устаревшей версией уязвимую библиотеку.

Кроме того, исследователи должны оставаться полностью прозрачным и в контакте с разработчиками до, во время и после их испытаний. “Прозрачность и раннего раскрытия версия позволила бы им превентивно решить эту проблему и сохранить то, что оказался не в глазах общественности,” Kanouse говорит.

Задача модерирования авианосца

Кемпф также жалуется на то, что Митре, которая проходит программа CVE, не связывался с ними перед принятием публичного раскрытия. Но, по мнению Курта Сейфрид, директор Blockchain и директор по специальным проектам в CloudSecurityAlliance, проверки каждого отчета бнэ практически невозможно.

“Я хотел бы отметить, что Митра не создать этот отчет уязвимость; исследователь сделал. Кроме того, CVE-это системы на основе утверждений—мы не можем проверить большинство этой дряни в разумные сроки”, – говорит Сейфрид, который также является членом редакционной коллегии CVE в митре

Сейфрид говорит, что во многих случаях, разработчики слишком долго реагировать на сообщения об уязвимостях. И приводятся, как правило, общих уязвимостей, которые часто уже известны хакерам. Во многих случаях, идентификаторов CVE способствовать повышению уровня осведомленности и защиты населения.

“Плохие парни быстро обмениваться информацией. Хорошие ребята, мы очень страшные обмен информацией своевременно, если на всех”, – говорит он.

Сейфрид также отмечает, что ущерб от раскрытия информации часто преувеличены. “Кто-нибудь сформулировал то, что недостатком этого все было? VLC является раздражены, конечно, и некоторые люди, вероятно, удалил его, опираясь на эту новость… но в чем вред?” – спрашивает он. “Это был беспорядок? Да. Был ли вред? Я не знаю. Каждый имеет мнение на эти вещи. Никто не имеет никаких данных”.

К Кемпф, организаций, что умеренное эти отчеты несут ответственность за то, что они публикуют. “Я понимаю, что они не могут проверить каждую уязвимость CVE, но то, что они одобрят CVE по 9.8 и не останавливайтесь ни на секунду, чтобы посмотреть на него или связаться с разработчиками? В этом нет смысла”. Кемпф говорит. “Вы публикуете что-то на вашем сайте, Вы несете ответственность. Ты не одна назначение авианосца? Меня не волнует. Это не моя проблема. Есть ложной информации на вашем сайте. Исправь это!”

Понравилась статья? Поделиться с друзьями:
Гуру ПК
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: