ОБСУЖДАЕМ FULL DISCLOSURE
Sean Brian Townsend
ОБСУЖДАЕМ FULL DISCLOSURE
(для людей не запертых в языковом гетто, сразу оригинал https://www.schneier.com/blog/archives/2007/01/debating_full_d.html?fbclid=IwAR3NXvY2XL8Ao0LpyBLorHVuqQqdzUov5t9B-1T__14Vpy8PUGn7m3_yu9A )
Full disclosure - детальное и публичное раскрытие уязвимостей - чертовски хорошая идея. Тщательная публичная проверка единственный надежный способ обезопаситься, в то время как секретность делает нас менее защищенными.
К сожалению, секретность тоже /кажется/ хорошей идеей. Сохрани уязвимости в софте в секрете, как утверждает довод, и они не попадут в руки к хакерам. В соответствии с данной позицией, проблема не столько в уязвимостях самих по себе, а скорее в информации об уязвимостях.
Но тут предполагается, что хакеры не могут находить уязвимости самостоятельно, и что софтверные компании будут тратить время и деньги, на то чтобы их по-тихому исправить. Оба предположения ложны. Хорошо известно, что хакеры весьма искусны в поиске уязвимостей, и full disclosure единственная причина, по которой разработчики регулярно вносят в свои системы исправления.
Чтобы понять почему второе предположение неверно, вы должны понять, лежащую в основе экономику. Для софтверной компании, уязвимости по большей части "не наша проблема". То есть, они задевают вас - пользователей, гораздо больше чем задевают их. Хитрый разработчик относится к уязвимостям, не как к проблеме с софтом, а как проблеме с репутацией (PR). И если мы, сообщество пользователей, хотим чтобы разработчики исправляли уязвимости, мы должны сделать ударение на репутации.
Что и делает full disclosure. До того, как full disclosure стало нормой, исследователи находили уязвимости в софте и слали подробности софтверным компаниям, которые их игнорировали, полагаясь на безопасность, основанную на секретности. Некоторые заходили так далеко, что угрожали исследователям судебным преследованием, если те раскроют уязвимость.
Потом, исследователи стали делать заявления, о том что некая уязвимость существует, но не публиковали подробности. Софтописатели отвечали, что уязвимости "теоретические" и отрицали их существование. Конечно, они по-прежнему игнорировали проблемы, и иногда угрожали исследователям судебными исками. Затем, опять-таки, какой-нибудь хакер писал эксплоит для уязвимости, и компания очень быстро выпускала исправление, глубоко сожалела, и объясняла всё тем, что всё произошло из-за злых хакеров-злодеев.
Пока исследователи не публикуют детали, производители софта не начинают их исправлять.
И, естественно, софтописатели всё это ненавидят. Они получают удар по репутации, каждый раз когда становится известно об уязвимости, и единственный способ восстановить репутацию - быстро выпустить исправление. Для большой компании, такой как Майкрософт, очень дорого.
Так что группка софтверных компаний и специалистов по безопасности, скооперировались и изобрели "responsible disclosure" (ответственное разглашение, см. chilling effect /сдерживающий эффект, в русском языке нет такого понятия - прим. пер./) Основная идея в том, что угроза публикации уязвимости почти настолько же хороша, как и настоящая публикация. Ответственный исследователь тихонько даёт разработчику фору на исправление софта, перед тем как что-то выкладывать.
Неплохая идея - и в настоящее время - обычное дело, но это возможно только потому, что full disclosure было нормой. И это неплохая идея, только пока полное разглашение остаётся угрозой.
Всё это относится не только к софту, вывод более общий. Общественное внимание усиливает безопасность, говорим ли мы о безопасности софта, безопасности аэропортов или об анти-террористических мерах со стороны правительства. Да, есть компромиссы (trade-offs). Благодаря full disclosure плохие ребята узнают об уязвимостях одновремнно с нами (если конечно они не знали о них до того), но в большинстве случаев выгода изрядно перевешивает ущерб.
Секретность не даёт людям точно оценить собственные риски. Секретность исключает общественное обсуждение мер безопасности, и тормозит образование, которое могло бы привести к улучшениям. Секретность не усиливает безопасность, а душит её.
Я хотел бы знать всё что только возможно, чтобы принять информированное решение о безопасности, не важно идёт ли речь о покупке программного продукта или о выборе между двумя политическими партиями. Я хотел бы владеть информацией, чтобы принудить разработчиков к улучшению защиты.
Я не хочу жить в мире, в котором компании сознательно продают мне программы полные дыр, или в котором правительство внедряет меры по безопасности, не неся за них ответственности. Мне больше подходит мир, в котором у меня есть вся необходимая мне информация, чтобы оценить риски и защитить себя самостоятельно.
https://www.facebook.com/ruheight/posts/701735083608186