В последнее время произошло очень много движений в сфере ИБ по теме Responsible Disclosure. Хочется отметить, что в основном позитивных. Здесь я хотел бы осветить главные пики данной активности. Итак, обо всём по порядку.

MSRC

В своём недавнем посте я уже писал про стычку небезызвестного Tavis Ormandy, Microsoft и сообщества ресёрчеров. Естественно, такая "трагедия" не могла остаться незамеченной и уйти в небытие без последствий. Таким образом, создаётся MSRC. Нет, не Microsoft's Security Response Center, а Microsoft-Spurned Researcher Collective. Одинаковая аббревиатура отнюдь не совпадение, а иронизированный чёрный юмор в адрес Microsoft. Microsoft-Spurned Researcher Collective можно перевести на русский как "Коллектив Ресёрчеров, Отвергнутых Microsoft". MSRC это сообщество анонимных White-hat, отвергнутых Microsoft, они будут публиковать уязвимости без координации с Microsoft. Вот их список (взято из ссылки seclists.org):

Current MSRC Members (alphabetical order!):
XX XXXXXX
XXXX XXXXXXXX
XXXXX XXX
XXXXXXX XXXXXXX
XXXXXX XXXXXXXXX
XXXXX XXXXXXXX

MSRC не заставило себя долго ждать и 3 Июля этого года на багтреке seclists.org появилась первая уязвимость от данного коллектива : MSRC-001: Windows Vista/Server 2008 NtUserCheckAccessForIntegrityLevel Use-after-free Vulnerability

Хочется отметить, что акт подобного рода не первый. Правда, принципы совсем иначе. Ещё в прошлом году группа таких известных ресёрчеров, как Alex Sotirov, Dino Dai Zovi и Charlie Miller, начали новое движение - "No More Free Bugs". Правда, какой смысл отдавать уязвимости за бесплатно, когда на их поиск требуется время, когда ты рискуешь своей свободой, когда разработчики совершенно не торопятся, если делают это вообще? Про то, как выйти сухим из воды, находя уязвимости и разрабатывая эксплойты, я уже писал здесь.

Mozilla Bug Bounty

Далее новость, обошедшая весь интернет о том, что Mozilla повышает сумму приза за найдённые уязвимости в своих продуктах до $3000. Сложно сказать есть ли это последствие предыдущей шумихи или своего рода совет Microsoft'у - "ребята, смотрите как надо жить дружно". Однако, в любом случае, это верный шаг.

Rebooting Responsible Disclosure: a focus on protecting end users

Команда Google по ИБ опубликовала в своём блоге новый подход к публикации уязвимостей. Новый подход заключается в комбинировании FD и RD, который позволяет плавно регулировать сроки публикации уязвимости - в зависимости от обстоятельств.

Chrome Bug Bounty

Вслед за Mozilla, второй вездесущий гигант, Google, тоже повышает сумму за уязвимости, но ставит планку чуть повыше - $3133,7. Без других браузеров, Chrome и FireFox два ярких противника. Вполне вероятно, что Chrome решили не давать противнику фору. А повысили ли они бы вознаграждение, не будь действий со стороны Mozilla, не смотря на то, что в блоге хромовцы описывают свой действие, как по причине "вот, прошло полгода и пора"? Весьма похоже на гонку, но полезную гонку.

Microsoft RD to CVD

Пока Mozilla и Chrome тянут одеяло каждый на себя, Microsoft кроет свой плед: Announcing Coordinated Vulnerability Disclosure. Команда MSRC вводит новый термин CVD - Coordinated Vulnerability Disclosure или Координировнное Раскрытие Уязвимостей. В принципе, никакой разницы между RD и CVD нету, Microsoft просто затягивает ремни и ставит акцент на том, что публикация уязвимостей без координации с вендором, есть безответственный поступок, ставящий под угрозу всех и вся. Тем не менее, с точки зрения Microsoft, смысл их новой политики заключается в более плотной работе с ресёрчерами.

Итого

Те, кто следят за Twitter'ом, могут понаблюдать за реакцией сообщества ресёрчеров на подобные события и сделать вывод, что на Microsoft и "ко" никто не надеется. Похоже, что гиганты с широко развитой корпоративной структурой и имеющие исключительно бизнес-интересы, не заинтересованы в поощрениях исследователей и их любимой "Responsible Disclosure" отдаче. Microsoft, Abode, Apple - безопасность их продуктов оставляет желать лучшего, но, кажется, у них и так всё прекрасно работает.

Ещё многое стоит переосмыслить в методах преподнесения информации про уязвимости публике. Есть над чем поработать в плане коммуникации между вендорами и исследователями. Но прогресс налицо, ждём подключения ещё большего количества вендоров и ещё большей активности и инициативы с обеих сторон.

теги: уязвимости, деньги, Mozilla, Microsoft, Google, FD, RD | показов: 367