Резюме

Когда вы сталкиваетесь с необходимостью сообщить о найденной уязвимости, вам приходится решать множество сложных вопросов. Например, нужно решить, стоит ли делать проблемы безопасности достоянием широкой публики или же достаточно сообщить о них производителю. Что же касается вопроса, стоит ли вообще кого-либо информировать об обнаруженном изъяне, ответ на него вполне однозначен. Долг каждого – донести эти сведения до специалистов в области компьютерной безопасности раньше, чем уязвимое место обнаружат хакеры. Даже если вы не способны на полное исследование уязвимости, по крайней мере следует сообщить о ее существовании.

Концепция полного раскрытия предполагает, что обнародованию подлежат все детали уязвимости. Разумеется, таким способом хакеры получают полную информацию о слабых местах систем, но это также вынуждает производителя быстро выпустить исправленную версию и обратить пристальное внимание на вопросы безопасности. Кроме того, когда пользователи осведомлены о проблемах, обычно повышенным спросом пользуются наиболее защищенные приложения.

Наши попытки понять, кому именно следует направлять сообщение о проблемах компьютерной безопасности, привели к созданию их классификации. Проблемы можно разделить на три основные категории в зависимости от того, в каких продуктах они обнаруживаются: узкоспециализированный (low-profile) продукт или служба; продукт или служба, рассчитанные на широкий круг пользователей (high profile); продукты или службы, работающие на различных платформах. Для каждой из этих трех категорий требуется отдельный подход. В этой главе были рассмотрены процедуры направления производителю сообщения о проблемах безопасности, а такжето, какие сведения следует в него включать. В числе прочего сообщение должно содержать дату и время обнаружения уязвимости, описание конфигурации ваших аппаратных средств и действий, при которых было обнаружено уязвимое место, а также контактную информацию.

Не существует единого мнения по поводу того, стоит ли включать в сообщение код, использующий уязвимость, но в некоторых случаях это, несомненно, имеет смысл. Иногда только таким способом можно привлечь внимание производителя к проблеме и заставить искать пути ее решения.

Сообщение о проблемах безопасности сопряжено с определенным риском, например судебного преследования со стороны производителя, а наличие в нем ошибок может негативно сказаться на вашей репутации.

Загрузка...