Měly by se informace o zranitelnostech zveřejňovat?
Měly by se informace o nově nalezených zranitelnostech zveřejňovat i přesto, že v okamžiku zveřejnění zranitelnosti dochází k prudkému nárůstu nových verzí malwaru a útokům zneužívajících danou zranitelnost a to až stotisíckrát?
Mezi odbornou veřejností převládá názor, že ano. Ovšem nenadešel čas tento názor přehodnotit?
Když někdo odhalí nějakou novou zranitelnost v systému nebo aplikaci, tak by o této skutečnosti měl neprodleně informovat vývojáře daného systému či aplikace a poskytnout mu o ni veškeré informace. A teprve v okamžiku, kdy daný autor nejeví žádnou snahu danou chybu odstranit nebo mu její odstranění trvá příliš dlouho, informovat o ní co nejširší veřejnost.
Byť je tento názor široce přijímán, vyvolává spoustu otázek. Měla by osoba, která danou zranitelnost objeví, tyto informace poskytovat nezištně? Pokud říkáte, že ne, tak komu a za kolik? Tomu, kdo nabídne za informace o dané zranitelnosti nebo funkční exploit nejvíc? A co když autor daného SW nereaguje? Kdo posoudí, zda autor daného softwaru nejevil snahu zranitelnost odstranit, a na základě čeho? Že neodpověděl na e-mail nebo že mu to trvalo příliš dlouho? A co je v tomto případě dlouho, 90 dnů?
A vůbec, jste opravdu přesvědčeni o tom, že když se zveřejní informace o tom, že určitý systém nebo aplikace obsahuje zranitelnost, tak tato informace většině uživatelů daného systému nebo aplikace nějak pomůže? Přestanou ji kvůli tomu používat? Nebo si myslíte, že si snad začnou sami vyvíjet nějaký patch, nebo přijmou taková opatření, aby zranitelnosti nemohlo být zneužito?
Dle studie společnosti Symantec dochází v okamžiku zveřejnění nějaké zranitelnosti k prudkému nárůstu nových verzí malwaru a útokům zneužívajících danou zranitelnost a to až stotisíckrát. Nabízí se tak otázka, zda ty zranitelnosti vůbec zveřejňovat. Mnozí bezpečnostní experti jsou přesvědčeni, že zveřejnění zranitelnosti vytvoří větší tlak na výrobce daného softwaru a ten rychleji uvolní příslušný patch nebo novou verzi.
Musíme se proto ptát, zda má rychlejší uvolnění patche nebo nové verze softwaru pro společnost jako celek opravdu takový přínos, obzvlášť když odhalením dané zranitelnosti výrazně vzrůstá riziko pro koncové uživatele v důsledku zvýšeného počtu nových verzí malwaru a útoků, jak se píše ve výše odkazované studii.
Obzvlášť, když dle této studie jsou zranitelnosti nultého dne k masivním útokům zneužívány minimálně, ne-li vůbec. Což je logické, protože v okamžiku, kdy dojde k masivnímu zneužití nějaké zranitelnosti, tak se zvyšuje pravděpodobnost, že si daného útoku někdo všimne a odhalí i způsob, jak byl proveden a jaké zranitelnosti bylo zneužito.
A to pro útočníka představuje riziko, proto se snaží zero day zranitelností zneužívat spíše k útokům maximálně na několik málo cílů, ne-li jenom jeden. Skutečnost je taková, že k masivním útokům jsou zpravidla zneužívány již známé zranitelnosti.
Nepochybuji o tom, že odhalit zranitelnost a napsat funkční exploit je výrazně těžší než napsat novou verzi malwaru, neboť k dispozici jsou nejrůznější frameworky a zdrojové kódy. Dokonce si troufám tvrdit, že drtivá většina autorů malwaru jsou břídilové, a danou zranitelnost by sama nikdy nenašla.
Dále je nutné si uvědomit, že samotné zranitelnosti nultého dne jsou pak prodávány na černém trhu, kde je kupují nejrůznější vládní organizace, které jsou za ně ochotny zaplatit nesrovnatelně více než autor daného software v rámci tzv. Bug Bounty programů, pokud ho vůbec nabízí.
Nezapomínejte, že mnohé firmy jako je ReVuln nebo Vupen apod., které se hledáním zranitelností zabývají, si na tomto nákupu a prodeji zranitelností postavily velice výnosný business, a v mnoha případech autora daného softwaru ani nekontaktují, protože jim je jasné, že by od něj nic nedostaly.
Drtivá většina firem, jejichž předmětem podnikání je poskytování služeb, nákup zboží za účelem dalšího prodeje, nebo vyrábějí nějaký homogenní produkt, se nemusí příliš obávat, že by na ně byl veden nějaký cílený útok, který by zneužíval zranitelnosti nultého dne v jejich systému. Musí však počítat s tím, že útoky zneužívající známé zranitelnosti na ně budou vedeny nadále, a proto by měly udržovat své systémy aktuální, používat nějaké antimalware řešení a zavést základní bezpečnostní opatření.
Firmy, které obchodují se strategickými informacemi, mají nějaký opravdu inovativní produkt s potenciálně vysokou návratností investice, zaujímají většinové postavení na trhu nebo patří do kritické infrastruktury státu, jsou, a nadále i budou předmětem zájmu nejrůznějších skupin a logicky tedy i cílem útoků. Nicméně jak již bylo uvedeno výše, i v případě průniků do systémů těchto organizací ve většině případů stačí zneužít nějaké již dlouho známé zranitelnosti.
Tyto tzv. APT útoky jsou realizovány vysoce organizovanými skupinami, a to prostřednictvím exploitů zneužívajících zero-day zranitelností, kterou jsou vyhledávány, nakupovány a prodávány společnostmi, které mají na tomto postaven svůj business. A k těmto APT útokům bude docházet i nadále bez ohledu na to, zda nově objevené zranitelnosti budou zveřejňovány či nikoliv.
Je nasnadě, že pokud budou detailní informace o zranitelnostech zveřejňovány, a nedej bože i exploity, tak budou ve zvýšené míře zneužívány především k plošným útokům na domácí uživatele a SME, kteří informace o nových zranitelnostech zpravidla nijak proaktivně nevyhledávají, a tudíž jim zveřejnění těchto informací nijak nepomůže, naopak se ocitnou ještě ve výrazně větším ohrožení, než jsou.
Závěr: V zásadě proti sobě stojí dva tábory, které mají na celou problematiku naprosto opačný názor. Jeden tvrdí, že veškeré informace ohledně nově objevené zranitelnosti by se měly okamžitě zveřejnit, aby se o nich každý dozvěděl, a prosazují tzv. „full disclosure“ přístup. A druhý je přesvědčen, že informace o nově objevených zranitelnostech by se neměly zveřejňovat vůbec, protože to nikomu nepomůže a prosazují tzv. „non disclosure“ přístup. Někde mezi je pak skupina, která zastává názor, že informace o nově objevených zranitelnostech by se měly zveřejňovat v koordinaci s danou společností, a zaujímají tzv. „responsible disclosure“ přístup.
Štítky: zranitelnosti
K článku “Měly by se informace o zranitelnostech zveřejňovat?” se zde nachází 1 komentář.
Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.
Způsob, jakým by měli vendoři reagovat na hlášení ohledně zranitelností v jejich produktech, je uveden ve standardu ISO 29147. Jak by měli provádět šetření zranitelností a přistupovat k řešení všech potenciálních zranitelností je pak uvedeno ve standardu ISO 30111.
Přičemž vendoři by měli jasně uvést, jakým způsobem si přejí, aby jim byly zranitelnosti hlášeny, a přijetí takového hlášení pak potvrdit do 7 kalendářních dnů. Následně by pak měli vydat varování ohledně dané zranitelnosti, přičemž by měli zvážit, zda uvedení nadbytečných technických informací nemůže být na škodu a nenapomáhá spíše útočníkům a nezvyšuje riziko.