Pengungkapan yang bertanggung
jawab mengacu pada jumlah waktu yang diperlukan bagi topi hitam untuk menghasilkan
serangan setelah memperoleh pengetahuan tentang kelemahan system. Serangan
jahat dapat terjadi kapan saja, namun, pengungkapan yang bertanggung jawab mengidentifikasi
waktunya guna bagi vendor untuk melindungi bagian setelah mereka tahu kelemahannya.
Tujuan utama dari pengungkapan yang bertanggung jawab adalah untuk meminimalkan
waktu untuk mengurangi terjadinya serangan. Secara teori, jika
Jumat, 16 November 2012
Responsible Disclosure Plans
Tujuan dari "pengungkapan
yang bertanggung jawab" adalah untuk memungkinkan pelanggan dari vendor produk
cukup waktu untuk melindungi sistem mereka dari eksploitasi dan serangan.
Patch Development
Selama proses mendeteksi dan memperbaiki
kerentanan produk, tahap koreksi dimulai dengan pengembangan patch.
Pengembangan patch adalah langkah penting ketika menangani kerentanan produk.
Jangka waktu yang dibutuhkan untuk melihat hasil patch dari penemuan kerentanan
sangat bervariasi tergantung pada vendor dan kompleksitas kelemahan produk atau
sistem. Dalam beberapa kasus, pengembangan patch dapat menyita banyak waktu
jika cacat sudah melekat pada
Black and White Hackers
HITAM DAN PUTIH SIFAT HACKER
Orang-orang yang menentang pengungkapan kerentanan penuh melakukannya karena mereka merasa bahwa penerbitan kerentanan sistem menyediakan pembukaan untuk "black hat hacker" untuk melakukan serangan berbahaya pada produk vendor. Mengungkap rincian sistem kelemahan hacker bahan bakar dengan pengetahuan yang mereka butuhkan untuk menyalahgunakan kelemahan-kelemahan. Selain itu, "hacker topi putih" yang bertanggung jawab untuk menemukan kerentanan, telah menetapkan sendiri masalah moral untuk mengatasi saat reverse engineering produk untuk tujuan perlindungan kerentanan menemukan.
Bagian ini membahas cara-cara yang hacker menyalahgunakan pengungkapan penuh proses. Hal ini juga membahas dampak etis dari penyalahgunaan tersebut, baik kepada hacker dan mereka yang memberikan pengungkapan penuh. Selanjutnya, kita menggali
Limited Disclosure
PENGUNGKAPAN TERBATAS
Pengungkapan terbatas adalah sama dengan menjaga rahasia karena member tahu kerentanan Informasi yang terjadi dalam sekelompok orang..Perbedaan yang unik ialah tidak pengungkapkan rahasia yang terjadi didalam organisasi dan pengungkapan yang terbatas dapat mencakup individu di luar organisasi .Selama tahap awal pengungkapan ,akses perincian lengkap tentang kerentanan diberikan kepada sekelompok kecil dari kelompok individu .kelompok berpotensi menimbulkan tiga berbedaan , Pengungkap, vendor, dan mungkin koordinator pihak ketiga. Tidak seperti pengungkapan yang lain, proses pengungkapan yang terbatas ini tidak memberikanrincian teknis secara detail dari kerentanan pada saat pengungkapan terakhir rincian yang terjadi hanya ketika penyedia layanan memperbaiki sistem. Alasan untuk batasan pada data teknis pendukung klaim pengguna, programmer, dan administrator tidak memerlukan informasi teknis rinciuntuk menutup atau membela sistem. Selain itu, pendukung pengungkapan terbatas
Ethical Duty to Warn
Kewajiban untuk Memperingatkan
Seseorang atau bisnis memiliki "kewajiban untuk mengingatkan" jika pemanfaatan produk mereka dapat menyebabkan kerusakan pada kewajiban bisnis pertama. User A 'adalah untuk merancang ulang produk atau menerapkan potongan yang diperlukan untuk menghilangkan bahaya. Jika untuk beberapa alasan yang tidak bisa terjadi, orang atau bisnis harus menyediakan cara lain untuk melindungi pengguna dari bahaya yang terkait dengan produk mereka. Jika masalah masih ada, mereka cukup harus memperingatkan pengguna tentang hal itu. Jika bug atau kerentanan terbuka dengan jelas, maka
Public Disclosure
Pengungkapan Informasi kepada Publik
Kehidupan kerentanan tahap siklus publisitas dimulai setelah pengujian
menyeluruh patch
upaya pembangunan. Selama tahap ini, pencipta itu, koordinator, dan vendor
kooperatif mengembangkan isi dari pengungkapan kepada publik dengan cara
menyenangkan
untuk proses pengungkapan semua pihak. Publik mirip
dengan pengungkapan penuh dengan satu pengecualian, pengungkapan publik
tidak akan menyertakan kode dieksploitasi. Namun,
pengungkapan penuh rincian teknis disertakan dengan potensi, tambalan diuji
workarounds, dan mungkin sebuah IDS ide menandatangani. Ide ini adalah untuk
memberikan administrator dan programmer informasi yang cukup
untuk mempertahankan
Full Disclosure
Pengungkapan
Secara Lengkap
Pengungkapan secara lengkap berarti banyak hal yang berbeda tergantung pada orang yang Anda ajak berbicara dengan
kerentanan pada permainan. Apa
pengungkapan secara lengkap berarti bagi Anda? Di istilah buku teks, definisi
pengungkapan secara lengkap adalah proses menyebarkan luaskan informasi sebanyak mungkin mengenai kerentanan produk atau sistem sehingga korban potensial memiliki informasi yang sama sebagai potensi penyerang.
Sebuah pemberitahuan dari jenis
pengungkapan memastikan bahwa pengembang produk dan klien
dengan prapengetahuan kelemahan produk memiliki waktu yang diperlukan untuk melaksanakan tindakan defensif terhadap kerentanan sistem.
Ada empat cara utama calon korban memastikan sistem mereka menahan kerentanan setelah pengungkapan secara lengkap:
- Pertama adalah mengaktifkan sistem proteksi dengan mengembangkan dan menerapkan Intrusion Detection System (IDS) tanda tangan. IDS tanda tangan menyediakan deteksi aman
Vulnerability Nondisclosure
Sebuah kebijakan perusahaan bahwa siapa pun yang menandatangani perjanjian berarti setuju untuk kerentanan menjaga rahasia informasi yang terkandung dalam organisasi, sehingga tidak ada seorang pun di luar organisasi, terutama masyarakat umum, yang pernah belajar dari keberadaan kerentanan produk.
Beberapa vendor dan lembaga keamanan mencoba untuk mempromosikan kebijakan menjaga rahasia.
Mengadopsi Kebijakan menjaga kerahasiaan
Dalam sebuah perusahaan produk vendor, kesalahan utama ketika berpikir tentang menjaga rahasia adalah keyakinan bahwa seseorang dapat mengontrol information. Itu adalah adanya cara untuk menjamin bahwa individu-individu yang dipilih dapat dipercaya untuk tidak menggunakan kerentanan informasi istimewa untuk keuntungan mereka sendiri.
Minggu, 14 Oktober 2012
Pendahuluan
Penemuan kelemahan system dalam
perangkat lunak dan system operasi tak terelakkan dalam industri Teknologi Informasi
(TI). Tanpa menghiraukan waktu dihabiskan pengujian selama pengembangan produk,
kekurangan hampir Selalu hadir selama proses peluncuran awal. Menanggapi
masalah ini, seseorang akan berpikir cara untuk menemukan dan memperbaiki
kelemahan teknologi yang sudah ada.
Namun, proses industri saat ini
untuk mengungkapkan kerentanan berkisar tidak melakukan apapun pada proses yang
membahayakan bisnis dari pembocoran kelemahan data kepada komunitas Topi Hitam.
Ketiadaan umum ini dari bagian dalam
berkomunikasi dan memperbaiki kelemahan produk memanggil perdebatan sengit dalam
komunitas keamanan INFORMASI,
Langganan:
Postingan (Atom)