Pengungkapan Informasi kepada Publik
Kehidupan kerentanan tahap siklus publisitas dimulai setelah pengujian
menyeluruh patch
upaya pembangunan. Selama tahap ini, pencipta itu, koordinator, dan vendor
kooperatif mengembangkan isi dari pengungkapan kepada publik dengan cara
menyenangkan
untuk proses pengungkapan semua pihak. Publik mirip
dengan pengungkapan penuh dengan satu pengecualian, pengungkapan publik
tidak akan menyertakan kode dieksploitasi. Namun,
pengungkapan penuh rincian teknis disertakan dengan potensi, tambalan diuji
waktu kerentanan. Diketahui
dari pengungkapan publik yang benar dilakukan harus
bertepatan dengan ketersediaan tambalan. Namun, jika ada kebocoran diketahui kerentanan
atau sudah sedang aktif dieksploitasi pengungkapan publik akan mendahului
ketersediaan tambalan.
Kerentanan Penanganan ISS - Haruskah
Anda Bayar?
Selama paruh kedua tahun 2002, Internet Security Systems (ISS) yang diterima
cukup
kritik atas penanganan kerentanan beberapa. ISS menemukan kelemahan dalam
Internet Software Consortium BIND lunak, perangkat lunak server Web Apache, dan
Sun Microsystems Solaris X font Windows layanan. Dalam semua kasus, ISS
diberitahu
vendor dan bekerja dengan mereka untuk mengkoordinasikan pengungkapan publik
dengan ketersediaan patch.
Terlepas dari siapa yang salah dalam penanganan setiap kejadian, prosedur
tidak diterima dengan baik oleh masyarakat umum. Dalam kasus ISC Bind
kerentanan, patch tidak didistribusikan patch penjual cepat cukup.Ruangan
untuk masalah Font Solaris adalah cacat dan harus diingat. Akhirnya,
Apache Patch tidak didistribusikan sampai setelah pengungkapan publik, meskipun
hitam
topi telah mengeksploitasi kerentanan selama lebih dari empat bulan.
Karena peristiwa ini, ISS termotivasi untuk merilis kebijakan publik
menggambarkan setiap langkah itu akan mengambil ketika mengungkapkan kerentanan
baru ditemukan.
Kebijakan Pengungkapan ISS mengandung beberapa pengungkapan yang bertanggung
jawab kunci
konsep dengan satu pengecualian: ISS menyatakan bahwa hal itu akan mengungkapkan
kerentanan
untuk membayar pelanggan dari layanan satu hari setelah memberitahukan vendor.
Selanjutnya, mereka dapat memasukkan pengujian untuk kerentanan baru dalam
mereka
keamanan produk. Sangat menarik untuk dicatat bahwa salah satu tujuan utama
bertanggung jawab
pengungkapan adalah untuk menjaga pengetahuan tentang kerentanan dalam
lingkaran terkecil
orang sampai patch dapat dikembangkan dan dipublikasikan. Apa yang mencegah
topi hitam
dari berlangganan ke layanan berlangganan ISS dan menerima pemberitahuan
dari satu hari setelah kerentanan vendor diberitahu? Apakah ini jenis selektif
etika pengungkapan?
Konservatif
ISS tidak akan
mengungkapkan rincian teknis tentang kerentanan,
tetapi topi hitam akan tahu apa jenis kerentanan ada dan
di mana bagian dari pengetahuan product.That vendor dapat membantu hitam
hat dalam mengembangkan mengeksploitasi dan menggunakannya pada sistem rentan
sebelum
Patch penjual tersedia. Selain itu, tidak etis tepat untuk membuat
uang dari ISS eksploitasi tempat information.This dalam kompromi
Posisi karena mereka tidak menghasilkan uang kecuali ada eksploitasi.
Liberal
Menghasilkan
uang dari meneruskan informasi dieksploitasi adalah
terhormat perdagangan. Jika penting bagi suatu organisasi untuk memperoleh
informasi ini,
mereka akan bersedia membayar untuk itu. Ini tidak memakan waktu yang
signifikan dan
energi untuk secara akurat penelitian potensi kerentanan dan mengatasinya
cerdas. Organisasi topi hitam mungkin berakhir dengan akses ke data ini;
Namun, ada yang tidak etis tentang informasi.
Kerentanan Pengungkapan oleh Security
Perusahaan riset - Haruskah Mereka Katakan?
Dengan frekuensi yang lebih besar, perusahaan riset keamanan menerima kritik
untuk mengungkapkan
kerentanan untuk tujuan tunggal menghasilkan liputan. Liputan media
yang menguntungkan
sebuah perusahaan keamanan mungkin menerima pendapatan
substansial dalam
bentuk kontrak pelanggan baru atau yang lebih besar. Karena itu, masyarakat
mulai
mempertanyakan motivasi sebenarnya di balik beberapa penelitian kerentanan dan
pengungkapan organisasi.
Dalam beberapa kasus, pengungkapan kerentanan oleh perusahaan keamanan adalah pengujian tekanan
bahasa dari intens kemungkinan produk. Bahasa
dari kerentanan datang ke kehidupan di luar pelanggan laboratorium Palsu diproduksi Kecil, jika tidak mustahil.
Haruskah pengungkapan kerentanan ditemukan di
laboratorium di bawah
Yang tidak Biasa
kondisi seperti ujian tekanan intensif dibuat
tersedia bagi
angkutan umum?
konservatif
Penemuan mempublikasikan kerentanan
hanya membantu hacker dan tidak terapi etis. Jika anda menerapkan jenis yang tepat dari tekanan hampir setiap produk vendor, Anda akan menemukan kelemahan. Ancaman Yang sebenarnya
adalah tujuan bahasa dari pengungkapan penuh, bukan "bagaimana
jika" sekenario. Ini juga pelanggan di mana perusahaan keamanan dapat memilih pada penjual artikel baru tertentu pengujian tekanan
hanya prodak kami. Hasil ilmiah tidak cukup meyakinkan untuk mendukung mempublikasikan pengujian
tekanan kecuali itu
dilakukan oleh badan yang berimbang tentang ahli yang tidak ada keuntungan bahasa
dari penerbitan nihil.
Liberal
Mengungkapkan semua data tentang penggunaan angkutan umum yang sistem adalah alat yang efektif serangan terhadap bahaya. Berdasarkan data klien menentukan apakah
kelemahan sistem akan pernah
terjadi di pelanggan produksi mereka.
Publikasi kerentanan sistem di bawah pelanggan pengujian tekanan adalah aset
kepada komunitas TI.
Tidak ada komentar:
Posting Komentar