Peter Holmes
3 
2844
490
Üç hafta önce OS X 10.10.4'te ciddi bir güvenlik sorunu bulundu. Bu, kendi içinde, özellikle ilginç değil.
Popüler yazılım paketlerindeki güvenlik açıkları keşfedildi her zaman, ve OS X istisna değildir. Açık Kaynak Güvenlik Açığı Veri Tabanı (OSVDB), olarak etiketlenen en az 1100 güvenlik açığını gösterir. “OS X”. Ama ne olduğu ilginç, bu özel güvenlik açığının açıklanma şeklidir.
Araştırmacı, Apple'a söylemekten ve sorunu çözmeleri için onlara zaman vermekten ziyade, araştırmacı herkesin görmesi için istismarını İnternette yayınlamaya karar verdi..
Sonuçta Apple ve siyah şapka korsanları arasında yapılan bir silahlanma yarışı oldu. Apple, güvenlik açığı silahlandırılmadan önce bir yama yayınlamak zorunda kaldı ve hackerlar risk altındaki sistemler yamalanmadan önce bir istismar oluşturmak zorunda kaldı.
Belirli bir açıklama yönteminin sorumsuz olduğunu düşünebilirsiniz. Hatta etik dışı veya umursamaz diyebilirsin. Ama bundan daha karmaşık. Güvenlik açığı açığa çıkmasının garip ve kafa karıştırıcı dünyasına hoş geldiniz.
Tam vs Sorumlu Açıklama
Yazılım satıcılarına açıkları açıklamanın iki popüler yolu vardır.
İlk denir Tam açıklama. Önceki örnekte olduğu gibi, araştırmacılar da kırılganlıklarını derhal vahşi ortamda yayınlayarak, satıcılara bir düzeltme yapmak için kesinlikle fırsat tanımadı.
İkinci denir sorumlu açıklama, veya aşamalı açıklama. Araştırmacı, güvenlik açığı yayımlanmadan önce satıcıyla iletişim kurduğu yerdir.
Her iki taraf daha sonra, satıcıya bir düzeltme oluşturma ve yayınlama fırsatı vermek için araştırmacının güvenlik açığını yayınlamayacağına söz verdiği bir zaman çerçevesi üzerinde hemfikirdir. Bu süre, güvenlik açığının ciddiyetine ve karmaşıklığına bağlı olarak 30 gün ile bir yıl arasında herhangi bir yerde olabilir. Bazı güvenlik delikleri kolayca sabitlenemez ve tüm yazılım sistemlerinin sıfırdan yeniden kurulmasını gerektirir.
Her iki taraf da üretilen düzeltmeden memnun kaldığında, güvenlik açığı açıklanır ve bir CVE numarası verilir. Bunlar her bir güvenlik açığını benzersiz bir şekilde tanımlar ve bu güvenlik açığı OSVDB'de çevrimiçi olarak arşivlenir.
Fakat bekleme süresi geçerse ne olur? Şey, iki şeyden biri. Satıcı daha sonra araştırmacı ile bir uzatma müzakere edecektir. Ancak araştırmacı, satıcının nasıl yanıt verdiğinden veya ne şekilde davrandığından memnun değilse veya bir uzantı isteğinin makul olmadığını düşünüyorsa, düzeltmeye hazır olmadan çevrimiçi olarak yayınlayabilirler..
Güvenlik alanında, en iyi açıklama yönteminin ne olduğuna dair ateşli tartışmalar vardır. Bazıları sadece etik ve doğru yöntemin tam açıklama olduğunu düşünüyor. Bazıları, satıcılara bir sorunu çözmeden önce, sorunu çözme fırsatı vermenin en iyisi olduğunu düşünüyor..
Görünüşe göre her iki taraf için bazı zorlayıcı argümanlar var.
Sorumlu Açıklama Lehine Argümanlar
Sorumlu açıklamaları kullanmanın en iyi olduğu yer olan bir örneğe bakalım..
İnternet bağlamında kritik altyapı hakkında konuştuğumuzda, DNS protokolünden bahsetmekten kaçınmak zordur DNS Sunucularınızı Nasıl Değiştirir ve İnternet Güvenliğini Artırır DNS Sunucularınızı Nasıl Değiştirir ve Internet Güvenliğini Artırır Bunu düşünün - güzel bir tane uyandırın sabah, kendinize bir fincan kahve dökün ve ardından güne işinize başlamak için bilgisayarınıza oturun. Sen gerçekten gelmeden önce…. İnsan tarafından okunabilen web adreslerini (makeuseof.com gibi) IP adreslerine çevirmemize izin veren şey budur..
DNS sistemi inanılmaz derecede karmaşık ve sadece teknik seviyede değil. Bu sisteme çok fazla güven var. Bir web adresi girdiğimizde doğru yere gönderildiğimize inanıyoruz. Bu sistemin bütünlüğünde çok şey var.
Birisi bir DNS isteğini etkileyebilmiş veya bir DNS isteğini tehlikeye atabilseydi, zarar için çok fazla potansiyel vardır. Örneğin, insanları sahte çevrimiçi bankacılık sayfalarına göndererek, çevrimiçi bankacılık ayrıntılarını almalarını sağlayabilir. E-postalarını ve çevrimiçi trafiğini, ortadaki bir adam saldırısı ile engelleyebilir ve içeriğini okuyabilirler. İnternetin bir bütün olarak güvenliğini temel olarak baltalayabilirler. Korkutucu şeyler.
Dan Kaminsky, saygın bir güvenlik araştırmacısıdır ve tanınmış yazılımlardaki zayıf noktaları bulmaya devam etmektedir. Fakat 2008'in belki de DNS sistemindeki en şiddetli güvenlik açığını keşfetmesiyle tanınıyor. Bu, bir kişinin bir DNS ad sunucusunda kolayca önbellek zehirlenmesi (veya DNS sahtekarlığı) saldırısı gerçekleştirmesine olanak tanırdı. Bu güvenlik açığının daha teknik ayrıntıları 2008 Def Con konferansında açıklandı.
Böylesine ciddi bir kusuru açığa çıkarmanın sonuçlarının farkında olan Kaminsky, bu hatadan etkilenen DNS yazılımı satıcılarına ifşa etmeye karar verdi..
Alcatel-Lucent, BlueCoat Technologies, Apple ve Cisco tarafından üretilenler de dahil olmak üzere etkilenen çok sayıda önemli DNS ürünü vardı. Bu sorun ayrıca, Debian, Arch, Gentoo ve FreeBSD’nin de dahil olduğu bazı popüler Linux / BSD dağıtımlarıyla gönderilen bir dizi DNS uygulamasını etkiledi..
Kaminsky onlara düzeltme yapmalarını 150 gün verdi ve güvenlik açığını anlamalarına yardımcı olmak için gizlice onlarla çalıştı. Bu sorunun çok şiddetli olduğunu ve potansiyel hasarların çok büyük olduğunu biliyordu, satıcılara düzeltme eki verme fırsatı vermeden onu kamuya açıklamak inanılmaz derecede umursamazdı..
Bu arada, bir güvenlik açığındaki güvenlik firması Matsano tarafından bir güvenlik açığında kaza sonucu güvenlik açığından etkilendi. Makale kaldırıldı, ancak yansıtıldı ve yayınlanmasından bir gün sonra bir istismar açıklandı: Bu seni nasıl harap ediyorlar: Exploit Kitlerinin Karanlık Dünyası Bu sizi nasıl Hack ettikleri: Exploit Kitlerinin Karanlık Dünyası Scammers yazılım paketlerini kullanabilir güvenlik açıklarından yararlanın ve kötü amaçlı yazılım oluşturun. Fakat bu istismar kitleri nelerdir? Onlar nereden geliyor? Ve nasıl durdurulabilirler? yaratılmış.
Kaminsky'nin DNS güvenlik açığı eninde sonunda, tartışmanın zorluğunu sorumlu, şaşırtıcı açıklamaların lehine özetliyor. Bazı güvenlik açıkları - sıfır gün güvenlik açığı gibi Sıfır Gün Güvenlik Açığı Nedir? [MakeUseOf Açıklar] Sıfır Gün Güvenlik Açığı Nedir? [MakeUseOf Explains] - o kadar önemli ki, herkese açık bir şekilde salıvermek önemli hasara yol açacak.
Ancak önceden uyarı vermemek lehine zorlayıcı bir argüman var.
Tam Açıklama Davası
Açıklığa bir güvenlik açığı bırakarak, hoş olmayan kişilerin hızlı ve kolay bir şekilde istismara neden olabileceği ve savunmasız sistemleri tehlikeye atabilecekleri bir pandora kutusunun kilidini açarsınız. Peki neden birileri bunu yapmayı seçsin??
Bunun birkaç nedeni var. Birincisi, satıcılar güvenlik bildirimlerine yanıt vermede genellikle oldukça yavaştır. Vahşi doğada bir güvenlik açığı bırakarak ellerini etkili bir şekilde zorlayarak, daha hızlı yanıt vermeleri için motive olurlar. Daha da kötüsü, bazıları neden Sırrı İhlal Eden Şirketler İyi Bir Şey Olabilir Neden Sırrı İhlal Eden Şirketler İyi Bir Şey Olabilir Neden çevrimiçi Çok fazla bilgi ile, potansiyel güvenlik ihlallerinden endişe ediyoruz. Ancak bu ihlaller sizi korumak için ABD'de gizli tutulabilir. Çılgınca geliyor, peki neler oluyor? güvenlik açığı bulunan yazılımlar gönderiyorlardı. Tam açıklama, onları müşterileriyle dürüst olmaları için zorlar..
Ancak, tüketicilerin belirli, savunmasız bir yazılımı kullanmaya devam etmek isteyip istemedikleri konusunda bilinçli bir seçim yapmalarını sağlar. Çoğunluğun olmaz olacağını hayal ediyorum.
Satıcılar Ne İstiyor??
Satıcılar tam açıklamadan gerçekten hoşlanmıyor.
Sonuçta, bu onlar için inanılmaz derecede kötü bir PR ve müşterilerini riske sokuyor. Böcek lütuf programları olsa da insanları güvenlik açıklarını sorumlu bir şekilde ifşa etmeye teşvik etmeye çalıştılar. Bunlar, Google’ın yalnızca 2014’te 1.3 milyon dolar ödemesiyle, oldukça başarılı oldu.
Her ne kadar bazı şirketlerin - Oracle Oracle gibi, Onları Göndermeyi Durdurmak İstiyor - İşte bu Çılgınca Neden İşte Oracle Oracle Bunları Göndermeyi Durdurmak İstiyor - İşte Bu Çılgınca Neden Oracle Oracle Mary Davidson. Oracle'ın güvenlik felsefesinin ana akımdan nasıl ayrıldığına dair bu gösteri güvenlik topluluğunda iyi karşılanmadı… - insanları yazılımları üzerinde güvenlik araştırması yapmaktan caydırıyor.
Fakat yine de, felsefi nedenlerle veya kendi eğlenceleri için tam açıklamayı kullanmakta ısrar eden insanlar olacak. Böcek ödül programı yok, ne kadar cömert olursa olsun buna karşı koyabilir.