Full disclosure

Full disclosure (úplné odhalení) je v počítačové bezpečnosti označení pro zveřejnění všech známých podrobností o zranitelnosti v software. Jedná se o opačný způsob, než je responsible disclosure, které počítá s využitím security through obscurity. Myšlenka úplného zveřejnění je kontroverzní (vystavuje uživatele okamžitě riziku a zároveň upozorňuje na problém i crackery), ale rozhodně není novinkou, protože se používá v zámečnictví již od 19. století.

Definice pojmu

Full disclosure vyžaduje, aby byly veškeré podrobnosti o zabezpečení zpřístupněny veřejnosti, včetně podrobných informací o zranitelnostech a jak je rozpoznat. Teorie full disclosure spočívá v tom, že uvolnění informace o zranitelnosti okamžitě má za následek rychlejší opravu a tím pádem lepší zabezpečení. Opravy vznikají rychleji, protože prodejci a autoři jsou nuceni reagovat s cílem chránit svůj systém proti možným útokům, stejně jako pro ochranu jejich vlastní image. Bezpečnost je větší, protože čas pro zneužití dané zranitelnosti útokem na ní je snížen.

V oblasti počítačových zranitelností je samotné zpřístupnění často dosaženo pomocí e-mailových konferencí, jako jsou full disclosure mailing list a další podobné.

Různé názory

Dokonce i mezi těmi, kteří věří, že veřejné odhalení chyby je nejlepší způsob, existují různé polemiky o tom, kdy, komu a kolik zveřejnit.

Někteří se domnívají, že i v případě neexistence jakéhokoliv veřejného exploitu, který by využil danou chybu, full and public disclosure by měla být zranitelnost zveřejněna jen k prodejci nebo autorovi systému. Tato soukromá forma zveřejnění umožňuje prodejce třeba opravit problém. Tato filozofie se někdy nazývá responsible disclosure.

V případě, že prodejce je znám a oprava není nalezena v přiměřené lhůtě, je na čase problém zveřejnit. Názory se liší na to, co je vlastně přiměřený čas. Pět až třicet dnů je běžně, ovšem lhůta by klidně mohla být i otázka hodin. Internet Security Systems byl široce kritizován za to, že zveřejnil informace o zranitelnosti v Apache HTTP Server za méně než osm hodin.

Omezený přístup, je alternativní přístup, kdy jsou všechny podrobnosti o zranitelnosti poskytnuty omezené komunitě vývojářů a dodavatelů, zatímco veřejnost je informována pouze o potenciální bezpečnostním problému. Zastánci tohoto přístupu také používají termín "responsible disclosure". K vyřešení sporu kolem prozrazování škodlivých informací široké internetové komunitě, v roce 2000, Rain Forest Puppy vyvinul RFPolicy, což je pokus o formalizaci procesu, jak upozornit dodavatele na bezpečnostní problémy ve svých produktech, a stanovil pokyny k tomu, co dělat v případě, když prodávající nereaguje. [1]

Jedním z problémů plynoucího z "responsible disclosure" je to, že někteří výrobci nereagují, nebo neúměrně prodlouží dobu k reakci na zranitelnosti, které nejsou veřejné. Tak dlouho, jak zranitelnost není široce známa veřejnosti (s dostatečnými detaily k opakování útoku), mohou prodejci odmítnout opravit chybu nebo problém neopraví hned. Bohužel, tyto zranitelnosti již mohou být zneužity, nebo může být využity někým s úmyslem zneužít je. Proto většina bezpečnostních analytiků udává maximální dobu (např. 14 nebo 30 dnů) před úplným odhalením zranitelnosti na veřejnost, protože jinak mnoho prodejců by nikdy opravili ani kritické chyby ve svých produktech. Mnoho bezpečnostních výzkumníků uvádí, že právě neschopnost vývojářů reagovat na zranitelnostní výstrahy, je důvod pro úplné a okamžité zveřejňování zranitelností.

Historie

Myšlenka plného zpřístupnění byla poprvé vznesena v souvislosti se zámečnictvím, v 19. století vznikla kontroverze ohledně toho, zda nedostatky v zabezpečení systémů by měly být utajeny v komunitě zámečníků, nebo je odhalit veřejnosti.

Debaty o full disclosure se vrátily zpět do povědomí lidí kvůli nespokojenosti s metodami použitých od infrastruktury bezpečnosti internetu v roce 1990. Zranitelnosti softwaru zabezpečení byly nahlášeny na CERT, který je pak předal dodavateli tohoto softwaru. Zveřejňování toho to všeho se neuskuteční, dokud prodávající pracuje na chybě, a její opravě.

Nicméně, protože zveřejnění byly soukromá, některým prodejcům trvalo roky, než přišli na opravu, nebo ji pro jistotu neprodukovali vůbec. Mezitím byly chyby aktivně zneužity hackery. Prodejci ignorovali varování a spoléhali se na neznalost útočníků a Security through obscurity - ale tam je dobře zavedená zásada zakládající se na Kerckhoffsově principu, a na dodavateli spoléhajícího se na nejasnosti spočívající v překroucení bezpečnosti svých výrobků.

Vzhledem k tomu, že CERT a prodejci si byli vědomi bezpečnostních děr, ale pokoušeli se je držet v tajnosti dokonce i správcům zařízení, je hacker v této oblasti neškodný.

V reakci na to byly e-mailové konference a jiné cesty pro úplné zveřejnění náhle založeny a to zejména tzv. Full disclosure mailing list.

Diskuze

Full disclosure může být sporné, jak často tyto zveřejnění zahrnují kód nebo spustitelný nástroje pro zneužití dané chyby v zabezpečení. Argument proti zpřístupnění je to, že poskytuje kompletní informace nebo nástroje pro útočníky, jako jsou tzv. black hats a script kiddie, což jim umožňuje využít zranitelnosti rychleji a dělá útoky více rozšířitelné. Nicméně, tento argument předpokládá, že bez odhalení nástrojů a útoků by k tomu nedošlo. Výhodou je to, že zpřístupnění tzv. white hat se získají informace, a že zranitelnost bude detekována a zaplátována rychleji.[2]

Reference

V tomto článku byl použit překlad textu z článku Full disclosure na anglické Wikipedii.

  1. Robert Lemos,. Bug brokers offering higher bounties. SecurityFocus. 2007-01-23. Dostupné online [cit. 2011-01-06]. (anglicky) 
  2. Googler criticized for disclosing Windows-related flaw. news.cnet.com. 2010-06-11. Dostupné online [cit. 2011-01-06]. (anglicky) [nedostupný zdroj]