Responsible disclosure

Responsible disclosure (zodpovědně odhalení) je termín v počítačové bezpečnosti popisující způsob zatajení detailů při zveřejnění informací o nalezené zranitelnosti v software. Podobá se to full disclosure (plné zveřejnění) s tím, že všechny zúčastněné strany souhlasí, že plné zveřejnění bude po nějaký čas pozdrženo, aby mohla být provedena nejprve aktualizace software. Vývojáři hardwaru a softwaru často požadují dostatečný čas na to, aby mohli opravit nalezené chyby. Hackeři a vědci zabývající se počítačovou bezpečností mají názor, že je jejich sociální zodpovědností uvědomit veřejnost o chybách v zabezpečení a jejich následcích. Skrývání těchto problémů může mít za následek falešný pocit bezpečí. Abychom se tomuto vyhnuli, spojují zainteresované strany své síly a souhlasí s tím, aby plné zveřejnění bylo odloženo a byl tak získán čas pro opravu zranitelnosti a předešlo se tak nebezpečným následkům (viz Zero day útok). V závislosti na potenciálním dopadu se onen čas pohybuje mezi několika týdny až měsíci. Jako distribuční kanál se pro aktualizace využívá Internet.

Responsible disclosure však nedokáže uspokojit výzkumníky zabývající se bezpečností, kteří očekávají finanční kompenzaci, přestože by braní peněz za nahlášení zranitelnosti mohlo být vnímáno jako vydírání. Přestože byl trh pro zranitelnost vytvořen, je komercializace stále velmi diskutované téma, vázané na koncepci zveřejnění zranitelnosti. Dnes jsou dva hlavní hráči na trhu: iDefense, kteří začali svůj Vulnerability contributor program (VCP) v roce 2003 a TippingPoint, který přišel se svým Zero-day initiative (ZDI) v roce 2005. Tyto organizace se u nakoupených materiálů řídí podle responsible disclosure. Mezi březnem 2003 a prosincem 2007 bylo v průměru 7,5 % zranitelností, které postihly Microsoft a Apple zpracováváno buď pomocí VCP nebo ZDI.[1]

Mezi nezávislé firmy, které finančně podporují responsible disclosure patří Facebook, Google, Mozilla a Barracuda Networks.[2]

Vybrané zranitelnosti vyřešené použitím responsible disclosure:

  • Dan Kaminsky objevil Cache poisoning, 5 měsíců[3]
  • Radboud University Nijmegen prolomila zabezpečení MIFARE Classic cards, 6 měsíců[4]
  • MBTA vs. Anderson, MIT studenti našli zranitelnost v Massachusettském metru, 5 měsíců[5]
  • MD5 kolizní útok, který ukazuje, jak vytvořit falešné CA certifikáty, 1 týden[6]

Reference

V tomto článku byl použit překlad textu z článku Responsible disclosure na anglické Wikipedii.

  1. Paper measuring the prevalence of responsible disclosure and model of the processes of the security ecosystem [online]. Dostupné online. (anglicky) 
  2. Archivovaná kopie. securitywatch.eweek.com [online]. [cit. 2013-12-15]. Dostupné v archivu pořízeném dne 2012-03-06. 
  3. Dan Kaminsky discovery of DNS cache poisoning [online]. Dostupné online. (anglicky) 
  4. Researchers break the security of the MIFARE Classic cards [online]. [cit. 2013-12-15]. Dostupné v archivu pořízeném dne 2021-03-18. (anglicky) 
  5. MIT students find vulnerability in the Massachusetts subway security [online]. Dostupné online. (anglicky) 
  6. MD5 collision attack that shows how to create false CA certificates [online]. Dostupné online. (anglicky)