¿Cuáles son los pros y los contras de divulgar una vulnerabilidad antes de parchearla?

5

Escuché mucho sobre el proyecto cero de Google y es el plazo de 90 días para la divulgación de vulnerabilidades. Ha tomado algunos flak de Microsoft para revelar los errores antes de parchearlos.

Entiendo el argumento de que los usuarios deben ser conscientes del riesgo que implica el uso de un software defectuoso y que, definitivamente, es un experto en la divulgación responsable.
Al mismo tiempo, creo que si revela una vulnerabilidad, especialmente en un software de código cerrado antes de que se publique una solución, los usuarios se convierten en patos. Los objetivos de alto valor que utilizan estos sistemas pueden sufrir serios problemas debido a esto.

La divulgación responsable con un plazo fijo parece to be un concepto popular en la industria. Quería saber cuáles son los pros y los contras de este enfoque.

    
pregunta Limit 11.12.2016 - 05:24
fuente

1 respuesta

5

El argumento principal para una fecha límite fija es probablemente que la historia muestra que muchos proveedores tardarán años en reparar el software si no se establece una fecha límite para la divulgación. Dado que es probable que otros también encuentren el mismo error (o que ya lo hayan encontrado y lo usen), esto significa que los usuarios corren un mayor riesgo sin ser conscientes de ello. Esto también significa que no agregarán defensas adicionales para disuadir el riesgo, como una mayor supervisión, reemplazar el software afectado por uno más seguro, o reducir el riesgo al desconectar temporalmente los sistemas o servicios afectados.

El principal argumento en contra de una fecha límite fija es que algunos errores son más difíciles de solucionar que otros y, por lo tanto, las correcciones llevan más tiempo y tal vez no haya soluciones efectivas para los clientes. Por lo tanto, los clientes tienen un mayor riesgo, mientras que la vulnerabilidad es conocida por el mundo y, por lo tanto, los posibles atacantes, pero no existen soluciones o soluciones alternativas. Pero al menos pueden estar al tanto de este riesgo adicional. El pasado ha demostrado que si este es el caso, a menudo es suficiente si el proveedor colabora estrechamente con los investigadores de seguridad para solucionar el problema lo más rápido posible. Y si las experiencias pasadas con el proveedor fueron positivas, los investigadores a menudo extienden la fecha límite un poco esta vez.

Con respecto al proyecto Google Zero: uno podría quejarse de sus duras fechas límite, pero si observa el trabajo que realizan y la rapidez con que la mayoría de los proveedores reaccionan a los errores, la estrategia de una fecha límite parece ser exitosa: muchos errores se han solucionado dentro de unos días, es decir, mucho más corto que el plazo. Y dudo mucho que este fuera el caso si la presión de la fecha límite no estuviera allí.

    
respondido por el Steffen Ullrich 11.12.2016 - 07:38
fuente

Lea otras preguntas en las etiquetas