Думаю, многие, если не все, но слышали про 0day уязвимость в Microsoft Windows Help Centre, про которую известил Tavis Ormandy. Если говорить про рунет, то кое-как медии этот факт осветили, но я не нашёл никаких дискуссий по поводу того, как поступил исследователь с нравственной точки зрения. А тем не менее, за пределами рунета тема responsible disclosure касательно данной уязвимости вызвала бурный шквал эмоций, критики и множество постов. Я бы хотел поведать о том, что же там происходит и высказать свои мысли.

Всё началось с того, что 10 Июня Tavis Ormandy опубиликовал детали уязвимости в Full Disclosure: Microsoft Windows Help Centre Handles Malformed Escape Sequences Incorrectly Ну а далее исследователя начали бомбардировать письмами ненависти, осуждать в самых разных блогах самые разные люди. Критиковали его за то, что он не дал Microsoft адекватного запаса времени на исправление уязвимости. Как пишут, то в Microsoft были оповещены за 5 дней до публикации в FD.

Первый ответ от известного исследователя RSnake, Robert Hansen появился в его блоге, под темой Windows Help Centre Vuln, где он подверг жёсткой критике Tavis Ormandy и корпорацию Google в частности. Надо сказать, весьма туманный пост, идею которого никто сначала не понял - RSnake его правил потом несколько раз. Впрочем, RSnake усиленно пытается прикрепить Tavis Ormandy к Google и сделать виновной именно корпорацию, подчёркивая то, что люди, работающе на Google, хорошие исследователи и вполне могли бы быть друзями, если бы не определённые обстоятельства. Сам RSnake не отрицает того, да и это давно известно, что он не любит Google, так как не сложились отношения. Было ли всё это поводом ужалить корпорацию?

Далее Brad Spengler выступил в защиту Tavis Ormandy. В своём посте, Hyenas of the Security Industry, выступает против RSnake, Graham Cluley, Andrew Storms и разного сорта журналистов. Что он хотел подчеркнуть: данный случай стал хорошим поводом выяснить отношения, а кому-то попиарить себя. В общем, многие использовали эту тему в личных целях, но не во благо самой безопасности как таковой.

На данный момент последний ответ, а не перепечатка журналистов - Lurene Grenier с темой Defenders of the Faith. Он хорошо отметил тот факт, что уязвимости и эксплойты не рождаются только в FD. Tavis Ormandy не единственный исследователь на этой планете, так что где гарантия того, что эту уязвимость не использовали месяцами, годами? Такие публикации в FD делают приватные эксплойты бессмысленными, они обесцениваются на рынке.

Журналисты без всякого понимания сути проблемы украшают заголовки своих статей тем фактом, что было отведено всего 5 дней на исправление уязвимости. Однако, никто не знает толком что произошло между исследователем и корпорацией. Tavis Ormandy пытался договориться про сроки, отослав им детали уязвимости, однако что-то пошло не так и это заставило исследователя опубиликовать уязвимость. Тем не менее, Microsoft выпустил патч 11 Июня. Получается, 5 дней не так уж и мало? Кто знает, может быть данная уязвимость была бы в списке тех, что висят в багтреке месяцами и годами со статусом "критично", если бы не шаг исследователя.

Ещё хочется отметить тот печальный факт, что термин Responsible Disclosure стал для вендором удобной отговоркой, автоматически делая все другие способы извещения про уязвимость неэтичными, неподобающими нормам морали исследоватей, а того даже нелегальными. Такое злоупотребление RD позволяет откладывать выпуски патчей, исправленных релизов, тем самым ставя пользователей под угрозу.

Tavis опубликовал немало других критичных уязвимостей в лучших тонах RD. Всё было прекрасно - он уважаемый, толерантный, правильный и так далее. Однако, одним махом всё меняет цвета после данного FD. Другие исследователи публиковали эксплойты к уязвимостям вообще без каких-либо предупреждений, но почему-то такой шумихи не возникало. Пока исследователя пытаются сжечь на костре, стоит подумать о том, что бы было, будь на его месте другой исследователь, не из Google.

теги: RD, Microsoft, Google, taviso, 0day | показов: 344