Questa è una domanda in più parti ....
Riguardo a ASP.NET Padding Oracle, ( link dimostrativo ) era che l'exploit di sicurezza trattato in modo etico maniera? Cosa avrebbe potuto essere fatto in modo diverso o migliore?
Quali sono gli incentivi per gestire un exploit nel modo più etico?
Che cosa può fare l'industria InfoSec per incentivare (finanziariamente o meno) la corretta gestione dei problemi di sicurezza?
Una domanda abbastanza simile è già qui: Come divulgare una vulnerabilità della sicurezza in modo etico? .
Per quanto riguarda l'argomento corrente e il modo in cui è stata divulgata la vulnerabilità - non male, ma ancora, la comunità della sicurezza IT è alla ricerca di modalità più etiche di divulgazione delle vulnerabilità. Bene, i ricercatori potrebbero informare (o forse lo hanno fatto, non so) fornitore, attendere alcuni giorni, mesi, forse anni in cui il bug è stato corretto. A quel tempo la vulnerabilità potrebbe essere sfruttata. Inoltre, chi ha detto che questa vulnerabilità non è stata precedentemente sfruttata dai black-hat? Quando il bug è pubblicamente noto, non ha più valore sul mercato criminale, è più facile da difendere, più facile da fermare gli attacchi di script-kiddies, confrontandolo con abili black-hat. Ci sono infiniti argomenti su FD e RD, con numerosi pro e contro.
Tenendo conto delle modalità conosciute di risposta dei fornitori noti, non sorprende che i ricercatori agiscano in questo modo. Ricorda "Niente più bug gratis".
Gli oracoli di imbottitura sono noti da anni. Si tratta di una situazione di massima divulgazione completa in quanto sono interessate molte app. MyFaces è stato parlato un anno fa, ma ora le app ASP.NET (ad esempio DotNetNuke) sono sotto la pistola.
Penso che sia solo un'altra iterazione di piena divulgazione rispetto al dibattito sulla divulgazione responsabile che sta avvenendo nel settore della sicurezza IT da anni. È solo questione di opinioni personali, ogni parte ha i suoi punti di forza.
Pro e contro citati spesso di ciascun approccio sono:
Full disclosure:
Pro:
Con:
0 giorni mettono in pericolo tutti gli utenti fino a quando la patch non viene rilasciata
Potrebbe essere fatto solo per fama
Divulgazione responsabile:
Pro:
Ai venditori piace, possono pianificare e allocare le loro risorse e testare le patch
Nessun utente è a rischio (se i black hat non lo scoprono)
Ehi, responsabile è una parola così positiva;)
Con:
I venditori tendono a ignorare i rapporti o a ritardare le patch
La vulnerabilità è là fuori, senza patch
Nessuna informazione per gli utenti su come mitigare il rischio
Tornando al 'era ASP.NET riempimento oracle divulgazione etica'. Secondo me, è eticamente corretto rivelare la questione, in ogni caso, che il ricercatore ha deciso, sia che si tratti di uno 0 giorni con l'exploit, di una e-mail privata al venditore o di una divulgazione pubblica. Le loro decisioni sono generalmente ben ponderate anche se non sei d'accordo con loro.
Ci sono solo due approcci sbagliati : dimentica il problema scoperto (se sembra serio) o vendilo al mercato nero. A parte questo, è il solo privilegio del ricercatore a decidere.
Non sono sicuro che "etico" sia realmente coinvolto quando si tratta di esporre gli exploit. Gli exploit sono totalmente anti-etici e totalmente anti-sociali, quindi esporli ad ogni costo mi sembra accettabile. Persino un'esposizione totalmente disordinata è meno anti-etica e meno anti-sociale di quanto lo sia l'exploit.
Per me è un po 'come chiedere: "C'è un bel modo per uccidere qualcuno che sta cercando di uccidermi?"
Non ho molta familiarità con le specifiche della divulgazione, ma per quanto ne so è stato gestito in modo ragionevole. Non sono a conoscenza di problemi etici associati alla divulgazione.
Ad esempio, penso che fosse del tutto etico divulgare l'esistenza e la natura del problema. Come menziona @atdre, gli attacchi di oracle con padding sono noti da anni, quindi i blackhaut potrebbero aver già saputo di questo attacco, per quanto ne sappiamo. Data la gravità del problema e l'ampiezza del problema, è stato fondamentale per ottenere rapidamente la parola. Quindi non sono a conoscenza di qualcosa che i ricercatori hanno sbagliato.
Se pensi che ci sia qualcosa in particolare su come hanno gestito la divulgazione che ha sollevato questioni etiche nella tua mente, ti incoraggio ad approfondire cosa fosse.
Leggi altre domande sui tag ethics disclosure exploit