SI-CERT 2017-01 / Razkrivanje ranljivosti

sobota, 11.02.2017

Zaradi nadaljevanja napadov na spletne aplikacije AJPES objavljamo javno obvestilo o ti. odgovornem razkrivanju ranljivosti (angl. responsible disclosure).

Odgovorno razkrivanje ranljivosti predvideva, da oseba, ki odkrije ranljivost, to sporoči proizvajalcu, skrbniku sistema ali razvijalcu programske opreme, lahko neposredno, ali pa preko neodvisne tretje osebe, koordinatorja. Odgovorno razkrivanje je ustaljen postopek sodelovanja neodvisnih raziskovalcev pri izboljševanju zaščite računalniških sistemov.

Prijavitelj neposredno ali preko koordinatorja uskladi predajo informacij in časovne okvire za izdelavo popravkov in nadgradenj. Hkrati se obe strani uskladita tudi glede časovnega roka objav ranljivosti. Obstoječi dokumenti o tem navajajo roke 30, 45 ali celo 60 dni za odpravo napak ([2], [1], [3]). Vse stranke v postopku se tudi dogovorijo za načine objave ranljivosti.

Tovrstno odgovorno razkrivanje ščiti tudi prijavitelja samega in mu omogoča anonimnost. To, da se priznava koristnost postopkov odgovornega razkrivanja, nikakor ne pomeni, da lahko kdorkoli brez posledic poskuša vdreti v katerikoli sistem na omrežju, izrablja najdene ranljivosti in objavlja neupravičeno pridobljene podatke. Raziskovalci ranljivosti lahko ob neustrezni predhodni pripravi namreč prestopijo mejo, ko skrbnik sistema ne bo mogel prepoznati, da ne gre za zlonameren vdor in bo zahteval ustrezno ukrepanje organov pregona. Prijavitelj mora tudi vzeti v obzir posledice poskušanj izrabe ranljivosti, med katerimi je lahko tudi nesorazmerna obremenitev sistema in izpad delovanja aplikacij.

Zaradi navedenega svetujemo, da raziskovalci za predhodno mnenje podajo vprašanje na SI-CERT. Ta lahko opravi vlogo koordinatorja in zagotovi prijavitelju anonimnost.

  1. CERT/CC Vulnerability Disclosure Policy
  2. IETF Draft “Responsible Vulnerability Disclosure Process”
  3. NCSC-NL Responsible Disclosure