¿Cuántos detalles se deben dar a conocer cuando un proveedor de software repara y emite un aviso? [cerrado]

La forma "normal" de hacer las cosas es:

1. Quienquiera que descubra la falla contacta al proveedor.
2. El proveedor crea el parche y lo publica, enviándolo a los clientes con una descripción vaga pero aterradora ("corrige un defecto que permite la ejecución remota de código").
3. Unas semanas más tarde , se publican los detalles. Si todo salió bien, el descubridor inicial hace la publicación, en total acuerdo con el proveedor, para que se atribuyan los créditos debidos; y el proveedor agrega un enlace a los detalles de la publicación en su propia documentación.

Por ejemplo, esto es lo que ocurrió con el error relacionado con SSL denominado "CRIME": se advirtió a los proveedores de navegadores con varias semanas de antelación y se enviaron parches. Ocasionalmente, la descripción vaga puede ser suficiente para que algunas personas adivina lo que está pasando unos días antes de la publicación real. El baile es una cuestión de delicadeza, especialmente con el software de código abierto, porque el parche código fuente a menudo es bastante revelador sobre la naturaleza exacta del problema.

Un aspecto psicológico del problema es que los cazadores de vulnerabilidades son una multitud dura que puede reaccionar, a veces, de una manera emocional acalorada, si sienten que los proveedores no reaccionan de manera adecuada o lo suficientemente rápida. Los proveedores de software generalmente prefieren mantener los defectos en secreto, pero si tienen que aceptar la publicación, entonces, al menos, realmente prefieren tener alguna advertencia previa. El "trueque de créditos por advertencia previa" es un acuerdo que tiene una alta probabilidad de convencer a la mayoría de los cazadores de errores no para impulsar el exploit de inmediato en los canales públicos, por lo que los proveedores de software apoyarán esta "forma normal ".

En última instancia , cuando el polvo se haya asentado, todos los detalles deben publicarse, ya que la divulgación completa es una excelente base para la confianza.

La observación principal que haría sobre esto es que si alguien es capaz de escribir un código de vulnerabilidad para tratar muchos de esos defectos, también es probable que pueda analizar el parche para identificar el defecto. Saber los detalles de dónde existe una falla e incluso cómo funciona la falla en general no necesariamente da mucho que seguir para implementarla.

Todavía es necesario analizar el sistema en cuestión y descubrir cómo se debe implementar un exploit. Este es el mismo conjunto de habilidades que se necesita para analizar qué está cambiando un parche y elimina todo el ruido, por lo que el riesgo de que el público revele un poco de detalle probablemente no sea malo, siempre y cuando no sea suficiente para que funcione. explotar sin ese conjunto de habilidades.

Dicho esto, esto varía según el tipo de vulnerabilidad. Por ejemplo, si existe una vulnerabilidad de inyección SQL, es mucho más fácil de explotar que, por ejemplo, un desbordamiento de búfer. Por lo tanto, la naturaleza de la vulnerabilidad también debe tenerse en cuenta.

La clave es proporcionar suficiente información para que los usuarios entiendan su exposición y puedan tomar las medidas adecuadas al mismo tiempo que intentan asegurarse de que no le está dando a un atacante inteligente más detalles sobre cómo implementar un ataque funcional del que el parche mismo les daría. .