Когда и кому направить сообщение

We use cookies. Read the Privacy and Cookie Policy

Когда и кому направить сообщение

Если вы хотите опубликовать сообщение о найденной вами уязвимости, необходимо определить, будет ли оно отправлено производителю или же вы сделаете его достоянием широкой публики. Также нужно проверить, достаточно ли собранной вами информации. Может оказаться, что нужно произвести дополнительные изыскания для более полного описания проблемы.

Кому направить сообщение о проблемах безопасности?

Обычно нелегко выбрать адресата, которому следует направить сообщение о проблемах безопасности, хотя вариантов и немного: вы можете проинформировать непосредственно производителя, выложить сведения в открытый форум или сразу опубликовать статью в средствах массовой информации. Проще всего сделать выбор, попытавшись понять, кто больше всего пострадает от обнаруженной вами уязвимости.

Предположим, вы обнаружили новую уязвимость некоего программного продукта или службы. Все уязвимости можно разделить на три категории в зависимости от того, в каких продуктах они находятся: это может быть узкоспециализированный (low-profile) продукт или служба, продукт или служба, рассчитанные на широкий круг пользователей (high profile), или же продукты или службы, работающие на различных платформах.

Рассмотрим подробные примеры для каждой из категорий.

• Примером узкоспециализированного продукта, рассчитанного на одну платформу, является приложение CD-Ex, предназначенное для извлечения цифровых звукозаписей. Оно используется в операционной системе Windows. Любая уязвимость этого приложения касается только его непосредственных пользователей. В таких случаях все возможные потери доходов грозят только тем, кто производит данный продукт или предоставляет данный сервис.

• Почтовый сервис Hotmail от Microsoft является примером сервиса, предназначенного для широкого использования, поскольку на этом сервисе находятся многочисленные учетные записи пользователей Интернета. Обнаруженные уязвимости окажут влияние на непосредственных потребителей данного сервиса, а если уязвимость позволяет спаммерам рассылать сообщения, то и на остальных пользователей Интернета. В данном случае использование уязвимости может нанести ущерб тем, кто предоставляет этот сервис, а также тем, кто этим сервисом пользуется.

• Примером продукта, работающего на различных платформах, является ядро Linux. Связанная с ним уязвимость касается всех пользователей, работающих с данным ядром. Также открытыми для атаки оказываются все приложения, запускаемые на этом ядре. В их число могут попасть брандмауэры и базы данных, содержащие секретную информацию. Исправление уязвимостей этого типа – очень сложное и дорогостоящее дело.

Данный текст является ознакомительным фрагментом.