Google предлагает переосмыслить подход к раскрытию информации об уязвимостях

В официальном блоге компании Google, посвященном вопросам безопасности, опубликована статья, в которой участники Google Security Team излагают свои соображения по вопросу раскрытия информации об уязвимостях, обнаруженных в программном обеспечении. Основным приоритетом при выборе политики раскрытия подобной информации сотрудники команды безопасности Google полагают защищенность конечного пользователя.

В настоящее время можно выделить два ключевых подхода к раскрытию такой информации:

  • Ответственное раскрытие (responsible disclosure). При таком подходе исследователь, обнаруживший уязвимость, уведомляет о ней только производителя уязвимого программного обеспечения, скрывая информацию от общественности. Очевидным достоинством этого подхода является то, что производителю предоставляется возможность выпустить исправления раньше, чем уязвимость начнет массово использоваться злоумышленниками.
  • Полное раскрытие (full disclosure). При данном подходе исследователь, после обнаружения им уязвимости, публикует в открытом доступе всю информацию о ней. Основным достоинством данного подхода является наличие для производителя стимула выпустить исправление как можно скорее.

Подробную аргументацию за и против для каждого из этих подходов можно прочитать в статье Брюса Шнайера, датируемой еще 2001 годом. Однако команду безопасности Google больше интересует, какой подход является более эффективным для защиты конечного пользователя сейчас, в 2010 году.

В настоящее время наиболее распространенным является подход ответственного раскрытия, однако участники Google Security Team подчеркивают, что эта концепция в чистом виде часто не может обеспечить эффективной защиты конечного пользователя. Нередки случаи, когда производитель откладывает эксклюзивную информацию об уязвимостях «в долгий ящик», не выпуская исправлений месяцами, а то и годами. В то же время, исследователи в области безопасности, не связывающие себя соображениями профессиональной этики («серые» и «черные шляпы») могут обнаружить эти уязвимости, пользуясь теми же знаниями и инструментами, что и «белые шляпы» (добросовестные исследователи, честно уведомившие производителя о проблеме). Таким образом, обнаруженная уязвимость нулевого дня начинает активно эксплуатироваться теневыми кругами, в то время как производитель, не знающий об этом, считает вопрос устранения уязвимости не приоритетным.

В качестве профилактики подобных ситуаций, авторы статьи предлагают использование комбинированного подхода, сочетающего достоинства обоих изложенных выше методов. При таком подходе, изначально об уязвимости уведомляется только производитель. Однако, в отличие от ответственного раскрытия, устанавливается некоторый срок, по истечении которого информация об уязвимости должна быть открыта широкой общественности. Разумеется, производитель уведомляется об этом условии, и как раз оно и должно стимулировать его выпустить исправления в разумные сроки. Авторы статьи полагают, что в качестве верхней границы такого срока можно принять 60 дней. Конкретный выбор срока в каждом случае производится с учетом таких факторов, как сложность устранения уязвимости, оценочные сроки распространения исправленной версии и т.п. Также срок может быть резко сокращен, если стало известно, что «черные шляпы» уже владеют этой информацией. В случае, если производитель отказывается рассматривать проблему, информация публикуется немедленно.

Именно такой подход команда безопасности Google намерена отныне использовать в своей работе. Также, ее сотрудники готовы к тому, что подобный подход будет использоваться и в отношении Google, как производителя программного обеспечения. Более того, они призывают всех «белых шляп» последовать их примеру — чем шире распространится такой подход, тем лучше будут защищены конечные пользователи, считают сотрудники Google Security Team.