Злоумышленники блокировали работу закрытой рассылки с обсуждением уязвимостей

4 марта 2011 года

Взлом инфраструктуры lst.de, обеспечивающей работу списка рассылки vendor-sec, наглядно демонстрирует ущербность практики скрытого устранения уязвимостей. Список рассылки vendor-sec был недоступен для посторонних и использовался рядом крупных производителей открытого программного обеспечения для обсуждения еще не обнародованных уязвимостей за закрытыми дверями, без информирования общественности о новых проблемах. Как оказалось сервер рассылки был взломан еще в январе и все это время злоумышленники осуществляли мониторинг обсуждений в рассылке. Таким образом, как минимум уже полтора месяца на основе публикуемых в рассылке сообщений злоумышленники имели возможность оперативно создавать "0-day" эксплоиты, поражающие уязвимости, о существовании которых никто не догадывался.

После того как администраторы vendor-sec обнаружили факт взлома и опубликовали предупреждение для своих коллег, злоумышленники второй раз взломали сервер и устроили акт вандализма, выразившийся в уничтожении данных на сервере. По признанию администратора взломанного списка рассылки по компьютерной безопасности, программное обеспечение на сервере давно не обновлялось и содержало ряд известных уязвимостей, устранить которые у владельцев ресурса не доходили руки.

Инцидент дал повод задуматься над целесообразностью поддержания закрытой рассылки vendor-sec. По мнению администратора рассылки, в настоящее время закрытые обсуждения уже не так эффективны в плане оперативного выпуска патчей, как было 5-10 лет назад, поэтому вероятно рассылка будет закрыта или реструктуризирована. Представитель компании Red Hat согласился с доводом, что последнее время разработчики программ напрямую уведомляют людей, отвечающих за безопасность дистрибутивов, или публикуют информацию в публичных рассылках. В 2008 году из 101 обсуждаемой в vendor-sec уязвимости о 32 (32%) сотрудникам Red Hat уже было известно из публичных источников (или стало известно в тот же день), в 2009 году это соотношение выглядело как 17 из 74-х (23%), а в 2010 - 22 из 51-й (43%).

Из других комментариев можно отметить предложение разбить рассылку на несколько тематических групп (Linux, BSD, экспертная оценка и т.п.), в каждой из которых обрабатывать только узкий круг проблем. При этом в закрытую рассылку предлагается отправлять данные об уязвимостях только средней степени опасности (отправка сообщения в рассылку производится свободно, но прочитать сообщения может только узкий круг лиц). Незначительные проблемы рекомендуется анонсировать в публичной рассылке, а уведомления об обнаружении критических проблем нужно отправлять каждому вендору напрямую (для этого можно сформировать список контактов). В качестве максимально допустимого периода неразглашения, отведенного на подготовку исправления, рекомендуется принять две недели.