Конспект

Конспект

Почему необходимо сообщать о проблемах безопасности

· Долг каждого – сообщать об уязвимостях, так как в противном случае их может обнаружить злоумышленник, который использует свое знание для атаки на чужие системы.

· Не стоит беспокоиться о том, что вам не хватит знаний и навыков для составления исчерпывающего сообщения об уязвимости. Многие будут готовы или помочь вам, или принять на себя выполнение этой задачи.

· Полное раскрытие означает публикацию всей имеющейся информации о проблеме, включая код, использующий уязвимость. Сторонники этой концепции полагают, что хакеры все равно получат информацию об уязвимости тем или иным способом, поэтому будет лучше, если обычные пользователи тоже узнают о проблемах безопасности и смогут принять необходимые меры.

Когда и кому направить сообщение

· Все обнаруживаемые уязвимости можно отнести к одной из трех основных категорий в зависимости от того, в каких продуктах они обнаруживаются: узкоспециализированный (low-profile) продукт или служба, продукт или служба, рассчитанные на широкий круг пользователей (high profile), или же продукты или службы, работающие на различных платформах. В качестве примеров можно привести приложение CD-Ex, почтовый сервис Hotmail и ядро операционной системы Linux соответственно.

· Каждая из этих категорий требует специального подхода к составлению сообщения об уязвимости, соответственно влиянию последней на ресурсы пользователя.

· Сообщение, направляемое производителю, должно содержать как можно более полную информацию. Недостаток сведений затрудняет процесс устранения уязвимости, а в некоторых случаях производитель даже не станет этим заниматься.

Какие подробности следует опубликовать

· Стоит тщательно оценить ситуацию, прежде чем включать в сообщение об уязвимости использующий ее код. Впрочем, в некоторых случаях лишь его обнародование способно заставить производителя признать существование проблемы.

· Сообщение о проблемах безопасности связано с определенным риском, который нужно осознавать. Можно столкнуться с судебным преследованием со стороны производителя. Можно также вызвать панику в рядах обычных пользователей.

· Следует быть особо осторожным при обнародовании способов обхода механизма защиты авторского права, так как в настоящее время эти вопросы не урегулированы окончательно законом.

Данный текст является ознакомительным фрагментом.