Divulgar las vulnerabilidades de seguridad a los clientes que pagan primero

8

Caso particular

Un proveedor (sin nombre) de un producto de código abierto también vende licencias y soporte comercial. Una de las ventajas del acuerdo comercial es que se le notifica de inmediato las vulnerabilidades de seguridad (incluso antes de que se haya realizado una versión oficial), y el acceso a una versión de seguridad previa a la publicación, incluidas las correcciones. También incluye el acceso a compilaciones de versiones anteriores con correcciones de seguridad aplicadas.
En otras palabras, los usuarios que no cuentan con este tipo de soporte comercial solo reciben una notificación después de que se ha realizado un lanzamiento, cuando los clientes que realizan el pago ya conocen la vulnerabilidad desde hace algún tiempo. A pesar de que tienen acceso a las versiones originales (vulnerables), no se les da acceso a las mismas compilaciones de seguridad (pre-lanzamiento o backported) (pero es de código abierto, por lo que pueden acceder al código fuente y compilarlo ellos mismos). / p>

Tengo algunas serias dudas sobre este enfoque. Para mí, parece exponer una gran parte de la base de usuarios a riesgos innecesarios.

Pregunta general

¿Este tipo de divulgación se aplica con frecuencia? ¿Hay más compañías (de código abierto) que proporcionen detalles de vulnerabilidad a un amplio grupo de clientes comerciales con anticipación? O está proporcionando esta información a todas las partes afectadas simultáneamente un must y ¿Sería esto generalmente considerado un comportamiento irresponsable?

    
pregunta Wouter Coekaerts 14.09.2011 - 20:18
fuente

3 respuestas

6

Es fácil decir que este comportamiento es malo. Pero creo que vale la pena tener una mirada más detallada.

Los problemas de seguridad son una situación bastante difícil para muchas compañías, que han decidido abrir sus programas de código fuente (algunos de), mientras mantienen una versión comercial. Esto empeora si no se puede crear una solución inmediatamente.

Motivación para informar a los clientes que pagan primero

La compañía obviamente depende de que sus clientes paguen para sobrevivir como lo hace cualquier compañía. Por lo tanto, deben proporcionar algún valor adicional a esos clientes.

Es probable que grandes compañías paguen a los clientes, mientras que las pequeñas empresas y las personas independientes tienden a usar la versión gratuita. Esas grandes empresas tienen más probabilidades de ser el blanco de un ataque. Y en caso de un ataque exitoso, es más probable que estén sujetos a una mala cobertura de prensa.

Además, existe un mayor riesgo de que la advertencia de seguridad pública sin una solución reciba atención de las personas con intenciones maliciosas. Solo porque el número de personas es un par de órdenes de magnitud mayor.

Esto es especialmente cierto, si casi todos los usuarios serios son clientes que pagan. En otras palabras: la versión de código abierto es básicamente una demostración del comercial.

Motivación para emitir una advertencia de seguridad combinada

Después de que la compañía haya emitido una advertencia pública, puede afirmar que ya no es responsable por ningún daño causado posteriormente. Si los usuarios no tomaron medidas de contador, como instalar la solución, será culpa suya.

Dar información temprana a los clientes que pagan puede permitir que alguno de ellos utilice ese conocimiento para el mal. Dependiendo de la legislación, podría suponer una amenaza legal para la empresa que no advirtiera a todos los usuarios, aunque obviamente era consciente del problema.

Desde el punto de vista de un usuario

Habiendo hablado sobre la motivación de la empresa, echemos un vistazo al lado del usuario. Creo que es bastante obvio que los clientes que pagan lo apreciarán como servicio.

Los usuarios de la versión de código abierto están sujetos a un riesgo adicional y, por lo tanto, deben tener mucho cuidado al usar dicho software en un entorno de producción o con datos confidenciales.

¿Cómo aborda el proyecto de código abierto no comercial Arianne los problemas de seguridad?

Me gustaría concluir con alguna experiencia personal. Arianne es un proyecto de código abierto que consiste en un marco de juego en línea y un juego de rol en línea 2D llamado Stendhal. No es comercial y no genera ningún tipo de dinero.

Hay muchas personas que ejecutan servidores Stendhal ya que es de código completamente abierto (cliente, servidor, gráficos, todo). Ejecutamos una instancia de Stendhal nosotros mismos.

Cuando descubrimos un problema de seguridad en Stendhal, terminamos con este proceso:

  • Compartimos la información entre los desarrolladores principales de confianza, la discutimos y trabajamos juntos para encontrar la causa raíz.
  • Solucionamos el problema y confirmamos el cambio en el CVS público. Otros desarrolladores centrales revisan el arreglo y lo prueban ellos mismos.
  • Tomamos el arreglo en vivo en nuestro servidor.
  • Preparamos una versión de corrección de errores basada en la última versión estable. Mientras tanto, otros desarrolladores centrales hacen algunas pruebas más. Los jugadores normales simplemente siguen jugando y, por lo tanto, prueban implícitamente los efectos secundarios.
  • Realizamos una versión secundaria de la última versión estable junto con un parche de código fuente y publicamos un anuncio que describe el problema.

Todo el proceso tarda aproximadamente 1 a 2 horas.

No lanzamos correcciones de errores para versiones anteriores porque prestamos mucha atención para hacer que las actualizaciones entre versiones sean muy fáciles de instalar. La única razón por la que alguien no puede saltar a la última versión es que él mismo modificó el código. Para esas personas, proporcionamos el parche de código fuente.

Puedo ver que alguien puede argumentar que actualizar nuestro propio servidor primero es malo, al igual que comprometer la corrección al CVS público antes del anuncio. Pero esta es la forma más efectiva de obtener una solución de alta calidad en el menor tiempo posible. Necesitamos la prueba corta en un servidor en vivo porque la gente realmente espera que puedan instalar actualizaciones de seguridad a ciegas sin tener que temer los efectos secundarios.

    
respondido por el Hendrik Brummermann 14.09.2011 - 21:43
fuente
3

Normalmente esperaría hasta que tenga tiempo para escribir una respuesta bien formada o alguien me gane, pero dados los votos negativos:

No es un modelo de negocio poco común en el mundo de código abierto o en el de código cerrado para proporcionar soporte mejorado o soluciones de seguridad anteriores para clientes de pago o premium. En algunos casos, estos son los clientes más vulnerables. El objetivo está en algún lugar en una escala móvil entre parchear tantos objetivos de alto valor como sea posible antes de dar a conocer un exploit (o proporcionar un parche que generalmente facilita la búsqueda del exploit) y hacer algunos dólares adicionales en el camino.

La ética de esto realmente no se ha decidido como una industria, pero como puede suponer, hay mucha gente que no está contenta con esta idea.

    
respondido por el Jeff Ferland 14.09.2011 - 21:38
fuente
3

Parece ser malo, pero me gustaría ir con el otro punto de vista:

Cuando un software se convierte en código abierto, cualquiera puede revisarlo, cambiarlo, crear algunos parches / diferencias, hacer que estos parches estén disponibles en su propio sitio, etc.

Alguien decide brindarle asistencia: "Verificaré si este software es lo suficientemente seguro. Si encuentro algo, le enviaré las correcciones con prontitud. Luego, después de advertirle, le daré la solución a cualquiera. Solo tienes que pagarme a cambio ".

Ya sea el desarrollador o no, es la propuesta que se está realizando entre dos compañías.

¿El desarrollador está creando errores en el software para que pueda vender la solución? Si es así, entonces sí, son malos y deben ser demandados. No, están jugando limpio? ¿Están brindando a todos el apoyo suave contra los insectos (después de algún retraso) y las personas se están quejando de no ser tratadas por igual con las que pagan? No sé, creo que les pone demasiada responsabilidad. No evitan que usted mismo arregle el software.

    
respondido por el woliveirajr 14.09.2011 - 22:34
fuente

Lea otras preguntas en las etiquetas