Penso che sia solo un'altra iterazione di piena divulgazione rispetto al dibattito sulla divulgazione responsabile che sta avvenendo nel settore della sicurezza IT da anni. È solo questione di opinioni personali, ogni parte ha i suoi punti di forza.
Pro e contro citati spesso di ciascun approccio sono:
Full disclosure:
Pro:
- I cappelli neri potrebbero già saperlo comunque (a volte c'è anche una prova )
- Gli utenti ottengono la patch più velocemente a causa della pressione del fornitore
Con:
Divulgazione responsabile:
Pro:
-
Ai venditori piace, possono pianificare e allocare le loro risorse e testare le patch
-
Nessun utente è a rischio (se i black hat non lo scoprono)
-
Ehi, responsabile è una parola così positiva;)
Con:
-
I venditori tendono a ignorare i rapporti o a ritardare le patch
-
La vulnerabilità è là fuori, senza patch
-
Nessuna informazione per gli utenti su come mitigare il rischio
Tornando al 'era ASP.NET riempimento oracle divulgazione etica'. Secondo me, è eticamente corretto rivelare la questione, in ogni caso, che il ricercatore ha deciso, sia che si tratti di uno 0 giorni con l'exploit, di una e-mail privata al venditore o di una divulgazione pubblica. Le loro decisioni sono generalmente ben ponderate anche se non sei d'accordo con loro.
Ci sono solo due approcci sbagliati : dimentica il problema scoperto (se sembra serio) o vendilo al mercato nero. A parte questo, è il solo privilegio del ricercatore a decidere.