负责任的披露
负责任的披露(英語:Responsible disclosure)是计算机安全或其他领域中的一种漏洞披露模型,它限制了漏洞披露的行为,以提供一段时间来修补或修缮即将披露的漏洞或问题。这一特点使之与完全披露模型不同。
硬件和软件的开发人员通常需要一些时间和资源才能修复新发现的错误。而黑客和计算机安全科学家认为,让公众了解高危害的漏洞是其社會責任。隐瞒这些问题可能导致虚假的安全感。为了避免这种情况,相关各方经过协调,就修复漏洞和防止未来发生任何损害达成了一致意见。根据漏洞的潜在影响、开发和应用紧急补丁或变通方案所需要的预计时间,以及其他因素,有限披露时限可能在几天到几个月不等。
负责任的披露未能满足那些希望籍此获得经济补偿的安全研究员[來源請求],向预计提供赔偿的供应商报告漏洞可能被视为敲诈勒索。虽然安全漏洞市场已经形成,但安全漏洞的商业化仍然是与安全漏洞披露相关的热门话题。在如今,商业漏洞市场有两个主要的参与者,iDefense在2003年启动了漏洞贡献者计划(VCP),而TippingPoint在2005年启动了零日计划(ZDI)。上述组织遵循所购买材料的负责任披露流程。2003年3月到2007年12月期间,影响微软和苹果公司的漏洞平均有7.5%由VCP或ZDI处理。 [1]通过支付程序错误赏金来支持负责任的披露的独立公司包括Facebook、Google、Mozilla和Barracuda Networks。[2]
Vendor-sec是一个“负责任的披露”邮件列表。许多计算机应急响应小组(CERT)在协调负责任的披露。
披露政策
Google Project Zero有90天的披露截止日期,从通知存在安全漏洞的提供商时起算,漏洞的详细信息将在90天后与防御社区公开分享,如果提供商发布了修复程序则会更快。[3]
ZDI有120天的披露截止日期,从收到提供商的响应时起算。[4]
例子
通过“负责任的披露”解决的安全漏洞:
- MD5碰撞攻击,展示如何创建假的CA证书,1周[5]
- 星巴克礼品卡双重消费/竞争条件,制造免费的额外积分,10天(Egor Homakov) [6]
- Dan Kaminsky发现的DNS缓存投毒,5个月[7]
- MBTA vs. Anderson,麻省理工学院学生发现的马萨诸塞州地铁安全漏洞,5个月[8]
- 奈梅亨拉德伯德大学攻破的MIFARE Classic卡安全性能,6个月[9]
- Meltdown漏洞,影响Intel x86微处理器和部分基于ARM的微处理器的硬件漏洞,7个月。[10]
- Spectre漏洞,分支預測器的实现造成的硬件漏洞,影响现代微处理器的推测执行,允许恶意进程访问其他程序的虚拟内存内容,7个月。[10]
- ROCA漏洞,影响一个英飞凌程序库和YubiKey生成的RSA密钥,8个月。[11]
参见
参考资料
- ^ Stefan Frei, Dominik Schatzmann, Bernhard Plattner, Brian Trammel. Modelling the Security Ecosystem - The Dynamics of (In)Security. 2009.
- ^ 存档副本. [2019-04-27]. (原始内容存档于2012-03-06).
- ^ Feedback and data-driven updates to Google’s disclosure policy. Project Zero. 2015-02-13 [2018-11-17].
- ^ Disclosure Policy. www.zerodayinitiative.com. [2018-11-17].
- ^ MD5 collision attack that shows how to create false CA certificates.
- ^ Hacking Starbucks for unlimited coffee. [2019-04-27]. (原始内容存档于2019-04-18).
- ^ Dan Kaminsky discovery of DNS cache poisoning (PDF).
- ^ MIT students find vulnerability in the Massachusetts subway security. [2019-04-27]. (原始内容存档于2016-03-18).
- ^ Researchers break the security of the MIFARE Classic cards (PDF).
- ^ 10.0 10.1 Project Zero: Reading privileged memory with a side-channel.
- ^ The Return of Coppersmith’s Attack: Practical Factorization of Widely Used RSA Moduli (页面存档备份,存于互联网档案馆), Matus Nemec, Marek Sys, Petr Svenda, Dusan Klinec,Vashek Matyas, November 2017