Злоумышленники блокировали работу закрытой рассылки с обсуждением уязвимостей
4 марта 2011 года
Взлом (Архивная копия от 17 апреля 2015 на Wayback Machine) инфраструктуры lst.de, обеспечивающей работу списка рассылки vendor-sec, наглядно демонстрирует ущербность практики скрытого устранения уязвимостей. Список рассылки vendor-sec был недоступен для посторонних и использовался рядом крупных производителей открытого программного обеспечения для обсуждения еще не обнародованных уязвимостей за закрытыми дверями, без информирования общественности о новых проблемах. Как оказалось сервер рассылки был взломан еще в январе и все это время злоумышленники осуществляли мониторинг обсуждений в рассылке. Таким образом, как минимум уже полтора месяца на основе публикуемых в рассылке сообщений злоумышленники имели возможность оперативно создавать "0-day" эксплоиты, поражающие уязвимости, о существовании которых никто не догадывался.
После того как администраторы vendor-sec обнаружили факт взлома и опубликовали предупреждение для своих коллег, злоумышленники второй раз взломали сервер и устроили акт вандализма, выразившийся в уничтожении данных на сервере. По признанию администратора взломанного списка рассылки по компьютерной безопасности, программное обеспечение на сервере давно не обновлялось и содержало ряд известных уязвимостей, устранить которые у владельцев ресурса не доходили руки.
Инцидент дал повод задуматься над целесообразностью поддержания закрытой рассылки vendor-sec. По мнению администратора рассылки, в настоящее время закрытые обсуждения уже не так эффективны в плане оперативного выпуска патчей, как было 5-10 лет назад, поэтому вероятно рассылка будет закрыта или реструктуризирована. Представитель компании Red Hat согласился с доводом, что последнее время разработчики программ напрямую уведомляют людей, отвечающих за безопасность дистрибутивов, или публикуют информацию в публичных рассылках. В 2008 году из 101 обсуждаемой в vendor-sec уязвимости о 32 (32%) сотрудникам Red Hat уже было известно из публичных источников (или стало известно в тот же день), в 2009 году это соотношение выглядело как 17 из 74-х (23%), а в 2010 - 22 из 51-й (43%).
Из других комментариев можно отметить предложение разбить рассылку на несколько тематических групп (Linux, BSD, экспертная оценка и т.п.), в каждой из которых обрабатывать только узкий круг проблем. При этом в закрытую рассылку предлагается отправлять данные об уязвимостях только средней степени опасности (отправка сообщения в рассылку производится свободно, но прочитать сообщения может только узкий круг лиц). Незначительные проблемы рекомендуется анонсировать в публичной рассылке, а уведомления об обнаружении критических проблем нужно отправлять каждому вендору напрямую (для этого можно сформировать список контактов). В качестве максимально допустимого периода неразглашения, отведенного на подготовку исправления, рекомендуется принять две недели.
Источники
править- Главная ссылка к новости (http://permalink.gmane.org/gma...) (Архивная копия от 17 апреля 2015 на Wayback Machine)
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.