Pazar, Aralık 09, 2007

Yazılımların Güvenlik Açıklarının Duyurulması

Ekşi sözlük yazarlarından detached, güvenlik açıklarının duyurulma şekillerini aşağıdaki şekilde sınıflandırmış:
- Full Disclosure: yazilim alaninda guvenlik aciklarinin halka acik forum, mailing list veya chatroom ortamlarinda, güvenlik aciginin nasil calistiginin gösterilerek aciklanmasi,
- Responsible Disclosure : Zayıflığı yazılım şirketine bildirerek yama (patch) çıkartılmasını sağlama, ondan sonra yamanın herkes tarafından kullanılması için duyurulması süreci
- No Disclosure: Adından da belli, kimseye duyurmama.

Peki şu tür bir disclosure yönteminden de söz etmek mümkün
- Limited Disclosure: Yazılımı üreten firmayı uyarmak, herkese açık listelerde ise sadece güvenlik açığının tanımlamasını kısıtlı olarak yapmak. Yapılan açıklamanın kötüye kullanılmasını engellemek için, açığın nasıl kullanılacağını mümkün olduğunca az tanımlamak.

Aslında bu güvenlik açıklarının çeşitli yasadışı ortamlarda satılması veya aracı şirketler tarafından satın alınıp, herkese duyurulmadan yazılımı üreten şirkete de iletilmesi söz konusu. Bu konuda yaşanan sorunlar hakkında Jeremiah Grossman'ın yazısını okumanızı öneririm: "Full Disclosure is Dead"
http://www.scmagazineus.com/Businesses-must-realize-that-full-disclosure-is-dead/article/99590/

Bruce Schneier'in bu konudaki yazısı da incelenmeli
http://www.schneier.com/crypto-gram-0002.html#PublicizingVulnerabilities
Vulnerability Disclosure Framework:
http://www.dhs.gov/xlibrary/assets/vdwgreport.pdf

Full Disclosure için en büyük kaynak, bu konudaki mail listesi:
https://lists.grok.org.uk/mailman/listinfo/full-disclosure

Güvenlik açıklarının, yazılım şirketleri tarafından geç duyurulması veya bazı gizli örgütler/devletler tarafından bu açıkları başkalarına karşı kullanmak için duyurulmaması mümkündür.

Güvenlik açıklarının az duyurulması, ortada zayıflığın olmadığı anlamına gelmeyecektir. Grossman'in yazısında da belirttiği üzere, bu konuda çalışacak ve gerekli uyarıları yapacak iyi adamlara her zamankinden fazla ihtiyaç var. Bu konuda bir savaş yaşandığının farkında olmamız gerekiyor.

Bilgiguvenligi listesinde, güvenlik açıklarının nasıl duyurulması gerektiği konusunda bir tartışma yaşandı. Mert Sarıca'nın bu konudaki fikri dikkate değer:

"Limited disclosure, kurum üzerinde yama yayınlama/zaafiyeti ortadan kaldırma süresinde baskı yaratmayacağı için kurum bu konuda daha esnek davranabilir ancak bu esnada bu bilgiden faydalanan ve exploit geliştiren birileri bu esneklikten faydalanabilir.

Responsible disclosure'da ise zaafiyet belli bir zaman sonunda full disclosure'a dönüşeceği için kurum en kısa sürede yama yayınlama adına üzerine düşeni yapacak ve zaman konusunda fazla esnek olamayacaktır."

Hiç yorum yok: