Full disclosure
Z Wikipedii
Full disclosure (z ang. całkowita jawność) to funkcjonujący wśród wielu hakerów zajmujących się zabezpieczeniami pogląd mówiący, że opinia publiczna powinna poznawać wszystkie szczegóły dotyczące nowo odkrytych błędów zabezpieczeń w systemach teleinformatycznych; odwrotność doktryny security through obscurity praktykowanej szczególnie często w Internecie w latach 80. i 90.
Full disclosure to podejście kontrowersyjne. Argumentacja przywoływana przez zwolenników mówi, że dzięki takiemu postępowaniu badaczy, każdy użytkownik może poznać szczegóły dotyczące jakości oprogramowania danego producenta, samodzielnie chronić się przed atakami, a także ustalić, czy jego systemy są prawidłowo chronione przed atakami. Publiczne ujawnianie szczegółów podatności ułatwia też programistom otwartego oprogramowania tworzenie nieodpłatnych systemów wykrywania ataków. Dodatkowo, publiczna rozliczalność dostawców miałaby wywierać na nich silną presję, by tworzyć kod o wyższej jakości, oraz szybko reagować na problemy (wiele firm, w tym Microsoft czy Oracle, zdaniem ekspertów wielokrotnie próbowało zatajać błędy, nie łatać usterek przez miesiące lub lata, czy wręcz grozić badaczom, którzy planują powiadomić opinię publiczną o niedociągnięciach)[1].
Kontrargumentem przeciw full disclosure jest przede wszystkim fakt, że w ten sposób, wiedzę o błędach otrzymują także crackerzy, i że w związku z dużym prawdopodobieństwem zostanie ona wykorzystana do łamania zabezpieczeń zanim wszyscy użytkownicy będą w stanie zabezpieczyć swoje systemy[2].
Często stosowanym, mniej dyskusyjnym wariantem tego procesu (zwanym responsible disclosure) jest wcześniejsze powiadomienie twórców i danie im określonego czasu (np. tydzień, miesiąc) na usunięcie błędu i opublikowanie poprawek. Po upłynięciu tego terminu, niezależnie od reakcji dostawcy, dochodzi do publikacji informacji o błędzie. Taki sposób postępowania promowany jest w ostatnich latach między innymi przez komercyjnych dostawców oprogramowania[3]. Należy jednak zaznaczyć, że wcześniejsze powiadomienie nie jest warunkiem koniecznym dla procesu full disclosure jako takiego - a zdaniem niektórych, wręcz stoi z nim w sprzeczności, ponieważ jest korzystne dla klienta tylko wtedy, gdy każdorazowo przyjmuje się, że błąd nie został nigdy wcześniej znaleziony i nie jest już wykorzystywany przez osoby o złych intencjach, bez wiedzy opinii publicznej.
Debata dotycząca full disclosure ma obecnie przede wszystkim charakter akademicki - w praktyce tryb upublicznienia informacji o błędzie zabezpieczeń ma relatywnie niewielki wpływ na szanse wykorzystania jej na przykład w robaku sieciowym, ani nie rzutuje istotnie na szkody, które taki robak będzie w stanie wyrządzić w Internecie.
Przypisy
- ↑ Full Disclosure of Security Vulnerabilities a 'Damned Good Idea' - Bruce Schneier, CSO Magazine
- ↑ The Vulnerability Disclosure Game: Are We More Secure? - Marcus J. Ranum, CSO Magazine
- ↑ Responsible Vulnerability Disclosure Protects Users - Mark Miller, CSO Magazine
[edytuj] Linki zewnętrzne
| Kryzys zaszkodzi Wielkiej Orkiestrze? |
Kryzys gospodarczy daje się we znaki wszystkim. Niewykluczone, że w tym roku dotknie także Wielką Orkiestrę Świątecznej Pomocy. Od kilku tygodni mówi się, że Fundacja Jurka Owsiaka ma problem ze znalezieniem sponsorów na najbliższy, niedzielny finał. |
| Okradł, a następnie szantażował pokrzywdzonego |
8 tys. zł okupu, za zwrot skradzionego mienia, zażądał anonimowy mężczyzna od przedsiębiorcy ze Zdzieszowic (opolskie), którego firmę okradł kilka godzin wcześniej. Łupem złodzieja padł sprzęt elektrotechniczny o wartości przekraczającej 25 tys. zł. Okradziony skontaktował się z policją, dzięki czemu 45-letni przestępca został szybk ozatrzymany. |
| Zima nie odpuszcza: będą zamiecie i gołoledź |
Przed trudnymi warunkami pogodowymi w północnej, środkowej i północno-wschodniej części kraju ostrzegają synoptycy. Można spodziewać się tam zamieci śnieżnych, a także marznącej mżawki i gołoledzi. |
| Sfotografuj "Dobrego Anioła" na XVII finale WOŚP |
W najbliższą niedzielę rusza XVII finał Wielkiej Orkiestry Świątecznej Pomocy. Wieczorem wolontariusze z całej Polski organizują happening pt. "Światełko do Nieba", w którym to wysyłają w stronę nieba "Dobre Anioły". Zrób im zdjęcie i wygraj nagrodę! |
| Prokuratura czeka na ekspertyzę w sprawie "dopalaczy" |
Łódzka prokuratura zleciła biegłym zbadanie próbek tzw. dopalaczy. Jeżeli wyniki badań potwierdzą, że w ich składzie znajdują się substancje odurzające lub psychotropowe możliwe będzie ściganie dystrybutora tych używek. |
| SLD chce "białej księgi" w sprawie polityki gazowej Polski |
SLD chce, by powstała tzw. biała księga w sprawie polityki gazowej Polski. |
| Sejm: PO i PiS przeciw nowelizacji ustawy o CBA |
Sejm odrzucił w pierwszym czytaniu projekt nowelizacji ustawy o Centralnym Biurze Antykorupcyjnym. Według projektu nadzór nad Biurem miałby objąć minister odpowiedzialny za sprawy wewnętrzne, a nie - jak dotychczas - premier. |
| Stasiak: Zróbmy sobie sami gazoport |
Szef Biura Bezpieczeństwa Narodowego uważa, dla zapewnienia bezpieczeństwa energetycznego Polski niezbędna jest budowa gazoportu. Władysław Stasiak, który był gościem Sygnałów Dnia jest zdania, że Sejm powinien przyjąć specjalną ustawę, która pozwoli na przyspieszenie budowy terminala. |
| Prezydent wbija klin między Tuska i Pawlaka |
Problemy w koalicji. PO przekłada głosowanie nad prezydenckim wetem do ustawy o Krajowej Szkole Sądownictwa i Prokuratury, bo PSL bierze stronę Lecha Kaczyńskiego |
| Mniejszy klub PiS |
Poseł Andrzej Walkowiak opuścił klub PiS i przeszedł do założonego przez b. posłów PiS koła Polska XXI. |
