Часто задаваемые вопросы
Часто задаваемые вопросы
Вопрос: Как убедиться, что безопасность моей системы соответствует современным стандартам?
Ответ: Лучше всего подписаться на рассылку Buqtraq, отправив пустое сообщение по адресу bugtraq-listserv@securityfocus.com. После подтверждения подписки вы начнете получать сообщения.
Информацию о проблемах безопасности операционной системы Windows можно получить в рассылке NTBugtraq. Чтобы подписаться на нее, отправьте сообщение по адресу listserv@listserv.ntbugtraq.com. В теле письма должна быть помещена фраза «SUBSCRIBE ntbugtraq Firstname Lastname», где в поле Firstname указывается ваше имя, а в поле Lastname – ваша фамилия.
Вопрос: Как понять, вызвано ли уязвимостью обнаруженное отклонение от обычной работы системы, если у меня нет времени на проведение детальных исследований? Ответ: Сообщение о неисследованной или сомнительной уязвимости можно отправить в рассылку vuln-dev по адресу vuln-dev@securityfocus.com. Она создана специально для сообщений о потенциальных проблемах безопасности от пользователей, не имеющих времени, желания или навыков самостоятельно исследовать дефект. Для подписки на эту рассылку нужно отправить пустое сообщение по адресу vuln-dev-listserv@securityfocus.com. Затем требуется подтвердить свою подписку. Следует помнить, что, отправляя письмо о потенциальной или неисследованной уязвимости, вы делаете эту информацию достоянием широкой публики.
Вопрос: В процессе проверки моей системы на наличие недавно обнаруженной уязвимости оказалось, что проблема гораздо глубже, чем описано в сообщении. Стоит ли публиковать новую информацию? Ответ: Вероятнее всего, делать этого не стоит. В подобных случаях лучше связаться с автором сообщения и сравнить ваши результаты. Чтобы не умножать число источников информации об одной и той же уязвимости, можно попросить автора внести в свое сообщение дополнения и исправления (разумеется, упомянув про ваш вклад). Если же исходное сообщение было анонимным, имеет смысл опубликовать всю информацию еще раз, дополнив ее новыми сведениями.
Вопрос: Можно ли тестировать на уязвимость чужие системы? (Например, можно ли протестировать на безопасность почтовый сервис Hotmail?) Ответ: В большинстве стран, включая США, противозаконно даже пытаться проникнуть в чужую систему, даже если вас интересует всего лишь степень ее уязвимости. Ведь таким образом можно случайно повредить ее или оставить открытой для атак, а кроме того, получить доступ к конфиденциальной информации. Перед тестированием чужой системы следует получить письменное разрешение на подобные действия. Это разрешение должно быть дано владельцем системы, которую вы планируете «атаковать». Нужно также связаться с человеком, который будет следить за состоянием системы в процессе испытаний и сможет восстановить ее работоспособность после ваших испытаний. Если вы не можете найти человека, который разрешил бы вам протестировать свою систему, можно послать запрос в рассылку vuln-dev. Члены подобных рассылок обычно более благоприятно реагируют на подобные вещи. Что же касается таких сервисов, как почтовая служба Hotmail, их несанкционированное тестирование может даже привести к вашему аресту за нарушение DMCA.
Вопрос: Попытавшись сообщить производителю о проблемах безопасности, я получил ответ, что сначала требуется заключить контракт на обслуживание. Что делать в таких случаях? Ответ: Все равно попытайтесь позвонить в отдел обслуживания клиентов и объяснить, что обнаруженная вами уязвимость может создать проблемы их клиентам. Если это не сработает, попытайтесь найти клиента, у которого имеется контракт на обслуживание. Для подобного поиска можно использовать открытые форумы, посвященные обсуждению соответствующего программного продукта или услуги. Если и эта попытка не увенчается успехом, вы имеете полное право сделать информацию о найденной уязвимости доступной для широкой публики.
Данный текст является ознакомительным фрагментом.