Rabu, 26 September 2012

  terjemahan ""Limited Disclosure

Pengungkapan Terbatas
Pengungkapan terbatas adalah mirip dengan menjaga rahasia karena berbagi kerentanan
Informasi terjadi dalam kelompok kecil perbedaan yang unik adalah bahwa people.The
menjaga rahasia terjadi dalam organisasi dan pengungkapan yang terbatas dapat mencakup
individu di luar organisasi pada perbedaan organisasi. Selama
tahap awal pengungkapan terbatas, akses ke rincian lengkap tentang kerentanan
diberikan kepada sekelompok kecil dari kelompok individuals.This terdiri dari berpotensi
tiga yang berbeda pihak, Pengungkap, vendor, dan mungkin koordinator pihak ketiga.
Tidak seperti pengungkapan penuh, proses pengungkapan yang terbatas tidak memberikan
rincian teknis penuh dari kerentanan pada saat pengungkapan akhir. Pelepasan
detail-detail terjadi hanya ketika vendor perbaikan sistem weaknesses.The
Alasan untuk ini batas pada data teknis pendukung klaim pengungkapan terbatas yang
pengguna, programmer, dan administrator tidak memerlukan informasi teknis rinci
untuk menambal atau membela sistem. Selain itu, penggemar pengungkapan terbatas
menegaskan bahwa pengungkapan informasi teknis penuh hanya membantu topi hitam
masyarakat.
Ada beberapa masalah dengan konsep pengungkapan yang terbatas. Seperti
menjaga rahasia, kita menghadapi dilema siapa yang harus percaya dengan kerentanan awal
Informasi. Ini akan sangat sulit untuk menegakkan perilaku etis di kalangan
mereka yang dapat berdiri untuk mendapatkan dari pengungkapan atau eksploitasi yang tidak diketahui
kerentanan.
www.syngress.com
Kerentanan Pengungkapan • Bab 3 91
Tanpa pengungkapan publik wajib, tidak ada yang memotivasi
vendor untuk mengembangkan memperbaiki tepat waktu. Karena vendor dapat menunda pengungkapan akhir
sampai mereka memperbaiki cacat, menunda pengungkapan publik akhir akhirnya menunda perbaikan
tanpa batas.
Akhirnya, karena jumlah informasi teknis dalam pengungkapan awal
sangat terbatas, pelanggan mungkin tidak dapat mengambil tindakan defensif awal.
IDS Signatures dan Defensif
Tindakan - Haruskah Anda Menyediakan Detail?
Anda seorang administrator sistem dan mendengar rumor bahwa ada masalah dengan
salah satu vendor administrasi tools.The telah diungkapkan apa-apa untuk Anda sehingga
far.Without informasi teknis rinci, tanda tangan IDS tidak dapat diciptakan untuk
melawan ini masalah.Anda tahu bahwa sistem deteksi Anda tidak akan efektif
karena pengembangan alat untuk mendeteksi sistem rentan dan vendor uji
patch akan mungkin untuk mengembangkan sejak informasi tentang kerentanan
tidak revealed.With semua fakta dalam bermain, apakah Anda sebagai administrator sistem
merasa bahwa perusahaan memiliki hak etis untuk menolak memberikan pengungkapan
rincian teknis dari kelemahan produk mereka?
Konservatif Dari titik administrator sistem pandang itu tidak etis
untuk menunda atau menghindari penemuan produk mengungkapkan vulnerabilities.The dari kerentanan
sudah aktif mengeksploitasi sistem ini tidak ada kelemahan-brainer.The harus
pergi melalui pengungkapan penuh sehingga mereka dapat menciptakan administrator sistem IDS
tanda tangan untuk melawan masalah dan memperbarui defensif yang sesuai
teknologi yang dibutuhkan. Dalam situasi ini, sistem paparan dan eksploitasi yang
bencana selama jangka waktu sementara vendor menunda pengungkapan sampai
mereka siap untuk merilis patch. Bahkan jika penerbitan dari pengungkapan akhir terjadi
sebelum vendor rilis patch, administrator masih kekurangan informasi yang memadai
diperlukan untuk menyebarkan penanggulangan yang diperlukan. Akhirnya, tanpa
melengkapi pemahaman tentang struktur cacat, tim pemrograman
untuk produk vendor akan terus membuat kesalahan yang sama ketika coding
produk masa depan. Semua alasan ini adalah argumen yang solid untuk kebutuhan penuh
pengungkapan.
Liberal Meskipun gagal untuk mengungkapkan informasi dapat membahayakan
klien, vendor tidak etis diperlukan untuk melakukan pengungkapan penuh.
Pengungkapan terbatas adalah tidak etis. Sebuah pengungkapan terbatas melindungi vendor '
dan informasi sensitif klien 'dari jatuh ke tangan yang salah.
www.syngress.com
92 Bab 3 • Kerentanan Pengungkapan
RINGKASAN
Masalah ini merupakan diskusi utama dibandingkan praktis. Dari sudut pandang
dari administrator sistem, dalam banyak kasus pengungkapan penuh diperlukan untuk
mereka untuk melakukan layanan mereka secara memadai untuk semua alasan yang disebutkan.
Namun, beberapa orang mungkin masih tidak merasa bahwa vendor etis
diperlukan untuk menghasilkan pengungkapan penuh pada kerentanan produk, dan bahwa
pengungkapan tersebut memberi makan masyarakat topi hitam dan script kiddies.

Diposting oleh di Tidak ada komentar:

Limited Disclosure
Limited disclosure is similar to nondisclosure because the sharing of vulnerability
information occurs within a small group of people.The unique difference is that
nondisclosure occurs within the organization and limited disclosure may include
individuals outside of the organization at the organization’s discrepancy. During
the initial phases of limited disclosure, access to the full details of the vulnerability
is granted to a small group of individuals.This group consists potentially of
three different parties, the discloser, the vendor, and possibly a third-party coordinator.
Unlike full disclosure, the limited disclosure process does not provide the
full technical details of the vulnerability at the time of final disclosure. Release of
those details occurs only when the vendor fixes the system weaknesses.The
reason for this limit on technical data is advocates of limited disclosure claim that
users, programmers, and administrators do not require detailed technical information
in order to patch or defend systems. In addition, fans of limited disclosure
assert that the disclosure of full technical information only assists the black hat
community.
There are several problems with the concept of limited disclosure. As with
nondisclosure, we face the dilemma of whom to trust with the initial vulnerability
information. It will be very difficult to enforce ethical behavior among
those that may stand to gain from the disclosure or exploitation of an unknown
vulnerability.
www.syngress.com
Vulnerability Disclosure • Chapter 3 91
Without mandatory public disclosure, there is nothing to motivate the
vendor to develop a timely fix. Since the vendor can delay the final disclosure
until they fix the flaw, delaying final public disclosure ultimately delays the fix
indefinitely.
Finally, since the amount of technical information in the initial disclosure is
greatly limited, customers may not be able to take early defensive actions.
IDS Signatures and Defensive
Measures – Should You Provide Details?
You are a systems administrator and hear a rumor that there is a problem with
one of your administration tools.The vendor has disclosed nothing to you thus
far.Without detailed technical information, IDS signatures cannot be created to
counter this problem.You know that your detection systems will not be effective
because the development of tools to detect vulnerable systems and test vendor
patches will be impossible to develop since the information about the vulnerability
is not revealed.With all of these facts in play, do you as a system administrator
feel that a company has the ethical right to refuse to provide disclosure on
the technical details of their product’s weaknesses?
Conservative From the systems administrator point of view it is unethical
to delay or avoid disclosing product vulnerabilities.The discovery of a vulnerability
already actively exploiting systems is a no-brainer.The weakness must
go through a full disclosure so that they system administrators may create IDS
signatures to counter the problem and update the corresponding defensive
technology required. In these situations, systems exposure and exploitation are
disastrous during the period of time while the vendor delays disclosure until
they are ready to release a patch. Even if publishing of a final disclosure occurs
before the vendor releases a patch, administrators still lack the sufficient information
required to deploy the necessary countermeasures. Finally, without a
complete understanding of the structure of the flaw, the programming team
for the vendor product will continue to make similar mistakes when coding
future products. All of these reasons are solid argument for the necessity of full
disclosures.
Liberal Even though failing to disclose information may be harmful to
clients, vendors are not ethically required to perform a full disclosure.
Limited disclosure is not unethical. A limited disclosure protects vendors’
and clients’ sensitive information from falling into the wrong hands.
www.syngress.com
92 Chapter 3 • Vulnerability Disclosure
SUMMARY
This issue is a principal versus practical discussion. From the point of view
of system administrators, in most cases full disclosures are necessary for
them to adequately perform their services for all of the reasons mentioned.
However, some people may still not feel that vendors are ethically
required to produce full disclosures on product vulnerabilities, and that
those disclosures feed the black hat community and script kiddies.
Diposting oleh di Tidak ada komentar:
terjemahan ""Writers Exposing System Weaknesses –



Penulis Mengekspos Kelemahan Sistem -
Haruskah Anda Penyampaian Informasi Semua?
Anda menulis sebuah kertas putih untuk sistem operasi baru. Hal ini umum untuk menyebutkan
kekuatan dan kelemahan dalam kertas putih, tetapi hanya untuk degree.The tertentu
sistem operasi Anda tulis memiliki kelemahan keamanan yang serius. Apakah Anda
tugas untuk bersikeras mengungkapkan informasi penting dalam kertas putih atau
melalui beberapa sarana komunikasi lainnya?
Integritas sistem konservatif secara keseluruhan sangat penting ketika menjual baru
produk, terutama sistem operasi. Bersikeras bahwa beberapa jenis peringatan pergi
ke dalam kertas putih dan documentation.Without sistem yang sesuai
ini, perusahaan akan menempatkan diri pada risiko kerugian sistem
terjadi karena sistem operasi. Jelaskan pentingnya ini untuk
management.They senior akan menghargai bahwa Anda membawa masalah ini ke
perhatian mereka.
Pertama, mirip dengan bentuk lain dari Pengungkap disebutkan, Anda harus selalu
memberitahukan vendor sebelum pengungkapan publik dibuat. Jangan mengekspos
informasi di luar vendor. Melakukan kontak ini sedemikian rupa untuk
mengkonfirmasi bahwa vendor telah menerima pemberitahuan. Jika Anda merasa Anda tidak bisa
berkomunikasi secara langsung kepada vendor tentang kerentanan sistem, gunakan
pihak ketiga koordinator yang akan membantu dalam memfasilitasi komunikasi
penemu dan vendor.
Liberal Hal ini tentu bukan tempat Anda sebagai penulis untuk meminta dimasukkannya tertentu
kerentanan sistem informasi dalam kertas putih Anda akan menerima pembayaran
untuk produce.This ini terutama berlaku jika informasi tersebut memiliki potensi untuk
merugikan penjualan produk. Pikiran bisnis Anda sendiri dan melakukan
www.syngress.com
Kerentanan Pengungkapan • Bab 3 89
pekerjaan mereka menyewa Anda untuk melakukan. Biarkan fakta dan permasalahan hingga
manajemen.
RINGKASAN
Menentukan apakah itu adalah tugas Anda sebagai penulis untuk memperingatkan pembaca Anda
masalah sistem adalah pilihan Anda harus membuat. Apakah Anda etis berhak
tugas untuk memperingatkan? Manfaat memperingatkan pembaca Anda adalah mereka akan tahu
Anda menyeluruh dalam penelitian dan dapat dipercaya, yang pada gilirannya
meningkatkan reputasi Anda sebagai penulis. Sisi bawah menyediakan seperti
peringatan adalah bahwa beberapa perusahaan tidak dapat memilih untuk mempekerjakan Anda karena
mereka hanya ingin seseorang untuk menulis, tidak memberitahu mereka apa yang harus dilakukan dan memaksa
mereka untuk mengungkapkan setiap titik turun dari produk mereka.
Menanamkan Ketakutan Umum dengan Full
Pengungkapan - Err di sisi dari Perhatian?
Anda bekerja untuk sebuah menara kontrol lalu lintas udara dan Anda menemukan kerentanan sistem
di salah satu perangkat lunak yang Anda gunakan untuk melacak planes.This ini sangat besar karena
berpotensi membahayakan banyak nyawa. Apakah etis diterima publik mengungkapkan ini
Informasi di televisi nasional? Kau tahu jenis pengungkapan dapat menanamkan
ketakutan dan kepanikan di masyarakat.
Konservatif ini jenis tertentu dari pengungkapan yang terbaik ditangani secara lebih
pribadi dengan cara antara penemu awal kerentanan dan
vendor. Selama waktu setelah kontak awal dan sampai pengungkapan publik, semua
jalur komunikasi antara vendor, penemu, dan pencetus harus
tetap terbuka dan miskomunikasi confidential.Any selama seluruh
Proses pengungkapan dapat menyebabkan prematur pengungkapan dan publik potensial
panik. Adalah penting bahwa upaya vendor untuk mereproduksi kerentanan
untuk memverifikasi pencetus existence.The yang harus menyediakan vendor
dan koordinator dengan semua informasi yang diperlukan dan reproduksi bantuan
way.This apapun akan menentukan apakah ada sebenarnya kesalahan. Mengungkapkan lalu lintas udara
kerentanan perangkat lunak data tanpa benar-benar mengkonfirmasikan kelemahan sistem
adalah jenis yang sama sekali unethical.This kerentanan harus ditangani
cara ini tanpa pengungkapan publik.
www.syngress.com
90 Bab 3 • Kerentanan Pengungkapan
Liberal Masyarakat memiliki hak untuk mengetahui apakah sistem kontrol lalu lintas udara
untuk pesawat terbang dan bandara merupakan tdk berlaku atau defective.This adalah kasus di mana
pengungkapan publik dapat menyelamatkan nyawa dan informasi harus dipublikasikan
segera setelah diketahui.
RINGKASAN
Penerbitan informasi segera setelah diketahui tidak selalu baik
Ide. Cara terbaik adalah untuk menghubungi vendor dan melakukan tes yang diperlukan untuk
memvalidasi bahwa memang ada kerentanan yang valid. Setelah Anda menemukan ada
adalah kerentanan yang akurat itu adalah pilihan etis Anda untuk menentukan apakah
Anda merasa Anda memiliki kewajiban etis untuk memperingatkan masyarakat umum dari udara
kontrol lalu lintas masalah atau menangani masalah ini secara lebih rahasia
cara.

Diposting oleh di Tidak ada komentar:

Writers Exposing System Weaknesses –
Should You Disclose All Information?
You are writing a white paper for a new operating system. It is common to mention
strengths and weaknesses in a white paper, but only to a certain degree.The
operating system you are writing about has a serious security weakness. Is it your
duty to insist on revealing this important information in the white paper or
through some other means of communication?
Conservative Overall system integrity is critical when selling a new
product, especially an operating system. Insist that some sort of warning go
into the white paper and corresponding system documentation.Without
this, the company will be putting themselves at risk for any system damages
incurred because of the operating system. Explain the importance of this to
senior management.They will appreciate that you brought this matter to
their attention.
First, similar to other forms of discloser mentioned, you should always
notify the vendor before any public disclosure is made. Do not expose the
information outside of the vendor. Conduct this contact in such a way as to
confirm that the vendor has received the notification. If you feel you cannot
communicate directly to the vendor about system vulnerabilities, use a
third-party coordinator who will assist in facilitating the communications
discoverer and the vendor.
Liberal It is certainly not your place as a writer to require inclusion of certain
system vulnerability information in the white paper you will receive payment
to produce.This is especially true if the information has the potential to
be detrimental to the sales of the product. Mind your own business and do
www.syngress.com
Vulnerability Disclosure • Chapter 3 89
the job they hired you to do. Leave the facts and the problems up to
management.
SUMMARY
Determining whether it is your duty as a writer to warn your readers of
system problems is a choice you must make. Are you ethically entitled to
the duty to warn? The benefit of warning your readers is they will know
you are thorough in your research and trustworthy, which in turn
improves your reputation as a writer. The down side of providing such
warnings is that some companies may not choose to hire you because
they simply want someone to write, not tell them what to do and force
them to reveal every down point of their product.
Instilling Public Fear with Full
Disclosures – Err on the Side of Caution?
You work for an air traffic control tower and you discover a system vulnerability
in one of the software tools you use to track planes.This is really big because it
potentially endangers many lives. Is it ethically acceptable to publicly disclose this
information on national television? You know this type of disclosure may instill
fear and panic in the public.
Conservative This particular type of disclosure is best handled in a more
private manner between the initial discoverer of the vulnerability and the
vendor. During the time after initial contact and until public disclosure, all
communication lines between the vendor, discoverer, and originator should
be kept open and confidential.Any miscommunication during the entire
disclosure process could lead to premature disclosure and potential public
panic. It is important that the vendor attempt to reproduce the vulnerability
in order to verify its existence.The originator should provide the vendor
and coordinator with all the necessary information and aid reproduction in
any way.This will determine if there is in fact an error. Disclosing air traffic
software vulnerability data without absolutely confirming the system weakness
is completely unethical.This type of vulnerability must be handled in
this manner without public disclosure.
www.syngress.com
90 Chapter 3 • Vulnerability Disclosure
Liberal The public has the right to know if the air traffic control system
for airplanes and an airport is inoperative or defective.This is a case where
public disclosure may save lives and the information must be published
immediately upon discovery.
SUMMARY
Publishing information immediately upon discovery is not always a good
idea. It is best to contact the vendor and perform the necessary tests to
validate that there is in fact a valid vulnerability. Once you discover there
is an accurate vulnerability it is your ethical choice to determine whether
you feel you have the ethical duty to warn the general public of the air
traffic control problem or handle the matter in a more confidential
manner.
Diposting oleh di Tidak ada komentar:
terjemahan vullnerability disclosure by security


Kerentanan Pengungkapan oleh Security
Perusahaan riset - Haruskah Mereka Katakan?
Dengan frekuensi yang lebih besar, perusahaan riset keamanan menerima kritik untuk mengungkapkan
kerentanan untuk tujuan tunggal menghasilkan coverage.The pers yang menguntungkan
liputan media sebuah perusahaan keamanan menerima mungkin berarti pendapatan substansial dalam
bentuk kontrak pelanggan baru atau yang lebih besar. Karena itu, masyarakat mulai
mempertanyakan motivasi sebenarnya di balik beberapa penelitian kerentanan dan pengungkapan
organisasi. Dalam beberapa kasus, pengungkapan kerentanan oleh perusahaan keamanan
www.syngress.com
Kerentanan Pengungkapan • Bab 3 87
adalah hasil dari stress testing intens kemungkinan products.The dari kerentanan
datang ke kehidupan di luar lingkungan laboratorium palsu diproduksi kecil, jika
tidak mustahil. Haruskah pengungkapan kerentanan ditemukan di laboratorium di bawah
kondisi yang tidak biasa seperti stress testing intensif dibuat tersedia bagi
publik?
Penemuan mempublikasikan konservatif kerentanan hanya membantu hacker
dan tidak perilaku etis. Jika Anda menerapkan hak jenis tekanan untuk hampir
setiap produk vendor, Anda akan menemukan kelemahan. Ancaman yang sebenarnya adalah tujuan
dari pengungkapan penuh, bukan "bagaimana jika" scenarios.This juga lingkungan
di mana perusahaan keamanan dapat memilih pada vendor tertentu dengan stress testing hanya
Hasil products.The mereka ilmiah tidak cukup meyakinkan untuk mendukung
mempublikasikan stress test kecuali itu dilakukan oleh badan yang berimbang tentang ahli yang
tidak ada keuntungan dari penerbitan hasil tersebut.
Liberal Mengungkapkan semua data tentang sistem penggunaan publik adalah alat yang efektif
terhadap serangan berbahaya. Berdasarkan data klien menentukan apakah
kelemahan sistem akan pernah terjadi di lingkungan produksi mereka.
Publikasi kerentanan sistem di bawah lingkungan stress test adalah aset
kepada komunitas TI.
RINGKASAN
Tergantung pada jenis stress test, ketidaktepatan sistem periklanan
kerentanan mungkin terjadi dan tidak perlu menodai reputasi
produk tertentu atau solusi vendor, sehingga membuat jenis informasi
akurat pengungkapan. Namun, semakin banyak informasi sistem
administrator memiliki mereka miliki semakin baik mereka dapat melindungi informasi
sistem yang bertanggung jawab mereka.
Etis Kewajiban untuk Peringatkan
Seseorang atau bisnis memiliki "kewajiban untuk mengingatkan" jika pemanfaatan produk mereka dapat
menyebabkan kerusakan pada kewajiban pertama bisnis user.A 'adalah untuk merancang ulang produk atau
menerapkan patch yang diperlukan untuk menghilangkan bahaya. Jika untuk beberapa alasan yang tidak bisa
terjadi, orang atau bisnis harus menyediakan cara lain untuk melindungi pengguna
dari bahaya yang terkait dengan produk mereka. Jika masalah masih ada, mereka
www.syngress.com
88 Bab 3 • Kerentanan Pengungkapan
cukup harus memperingatkan pengguna tentang hal itu. Jika bug atau kerentanan terbuka dan
jelas, maka ada kewajiban etis untuk memperingatkan.
Ini berarti bahwa produk dan solusi vendor harus menerapkan beberapa pertimbangan
harapan konsumen dan melakukan tes risiko yang tepat. Sejak produsen
adalah ahli pada produk, gagal untuk memperingatkan kerentanan oleh
karyawan adalah perilaku yang tidak etis.
Bagian ini membahas dua skenario yang berbeda tugas untuk warn.The pertama
pendukung peringatan pendekatan yang lebih konservatif merekomendasikan produk
kelemahan, dan masalah kedua alamat kasus ketika mungkin tidak sesuai
untuk memperingatkan masyarakat dari kelemahan sistem.

Diposting oleh di Tidak ada komentar:

Vulnerability Disclosure by Security
Research Companies – Should They Tell?
With greater frequency, security research companies receive criticism for disclosing
vulnerabilities for the sole purpose of generating favorable press coverage.The
media coverage a security company receives may mean substantial revenue in the
form of new or larger customer contracts. Because of this, the public is starting to
question the true motivation behind some of the vulnerability research and disclosure
organizations. In some cases, the disclosures of vulnerabilities by security firms
www.syngress.com
Vulnerability Disclosure • Chapter 3 87
are the result of intense stress testing of products.The likelihood of these vulnerabilities
coming to life outside of a falsely manufactured lab environment is small, if
not impossible. Should disclosure of vulnerabilities discovered in a lab under
unusual circumstances such as intensive stress testing be made available to the
public?
Conservative Publicizing vulnerability discoveries only helps hackers
and is not ethical behavior. If you apply the right type of pressure to nearly
any vendor product, you will find weaknesses. Real threats are the purpose
of full disclosures, not “what if ” scenarios.This is also an environment
where security companies can pick on certain vendors by stress testing only
their products.The scientific results are not conclusive enough to support
publicizing stress tests unless it is done by an impartial body of experts who
have nothing to gain from publishing such results.
Liberal Disclosing all data about systems the public uses is an effective tool
against malicious attack. Based on that data the clients determine if the
system weakness will ever occur in their production environment.
Publicizing system vulnerabilities under a stress test environment is an asset
to the IT community.
SUMMARY
Depending on the type of stress test, inaccuracy of advertising system
vulnerabilities may occur and unnecessarily tarnish the reputation of a
particular product or vendor solution, thus making this type of information
disclosure inaccurate. However, the more information a system
administrator has at their disposal the better they can protect the information
systems in their charge.
Ethical Duty to Warn
A person or business has a “duty to warn” if utilization of their product may
cause harm to the user.A business’ first obligation is to redesign the product or
apply necessary patches to eliminate the danger. If for some reason that cannot
happen, the person or business must provide other means to protect the user
from the danger associated with their product. If the problem still exists, they
www.syngress.com
88 Chapter 3 • Vulnerability Disclosure
must sufficiently warn the user about it. If a bug or vulnerability is open and
obvious, then there exists an ethical duty to warn.
This means that products and vendor solutions must apply some consideration
of consumer expectations and perform appropriate risk tests. Since the manufacturer
is the expert on the product, failing to warn of vulnerability by an
employee is unethical behavior.
This section discusses two different scenarios of duty to warn.The first one
advocates the more conservative approach recommending warning of product
weaknesses, and the second issue addresses a case when it may not be appropriate
to warn the public of system weaknesses.
Diposting oleh di Tidak ada komentar:

 terjemahan publik disclosure'''
Pengungkapan Informasi kepada Publik
Kehidupan kerentanan tahap siklus publisitas dimulai setelah pengujian menyeluruh patch
upaya pembangunan. Selama tahap ini, pencipta itu, koordinator, dan vendor
kooperatif mengembangkan isi dari pengungkapan kepada publik dengan cara menyenangkan
untuk semua proses pengungkapan parties.The publik mirip dengan pengungkapan penuh dengan satu
pengecualian, pengungkapan publik tidak akan menyertakan kode dieksploitasi. Namun,
pengungkapan penuh rincian teknis disertakan dengan potensi, patch diuji
workarounds, dan mungkin sebuah IDS ide signature.The di sini adalah untuk memberikan administrator
dan programmer informasi yang cukup untuk mempertahankan terhadap kerentanan,
namun membuat sulit bagi script kiddies untuk melancarkan serangan mengeksploitasi
waktu vulnerability.The diketahui dari pengungkapan publik yang benar dilakukan harus
bertepatan dengan ketersediaan patch. Namun, jika ada kebocoran diketahui kerentanan
atau sudah sedang aktif dieksploitasi pengungkapan publik akan mendahului
Patch ketersediaan.
Kerentanan Penanganan ISS - Haruskah Anda Bayar?
Selama paruh kedua tahun 2002, Internet Security Systems (ISS) yang diterima cukup
kritik atas penanganan kerentanan beberapa. ISS menemukan kelemahan dalam
Internet Software Consortium BIND lunak, perangkat lunak server Web Apache, dan
Sun Microsystems Solaris X font Windows layanan. Dalam semua kasus, ISS diberitahu
vendor dan bekerja dengan mereka untuk mengkoordinasikan pengungkapan publik dengan ketersediaan patch.
Terlepas dari siapa yang salah dalam penanganan setiap kejadian, prosedur
tidak diterima dengan baik oleh masyarakat umum. Dalam kasus ISC Bind
kerentanan, patch tidak didistribusikan patch penjual cepat cukup.Ruangan
untuk masalah Font Solaris adalah cacat dan harus diingat. Akhirnya,
Apache Patch tidak didistribusikan sampai setelah pengungkapan publik, meskipun hitam
topi telah mengeksploitasi kerentanan selama lebih dari empat bulan.
Karena peristiwa ini, ISS termotivasi untuk merilis kebijakan publik
menggambarkan setiap langkah itu akan mengambil ketika mengungkapkan kerentanan baru ditemukan.
Kebijakan Pengungkapan ISS mengandung beberapa pengungkapan yang bertanggung jawab kunci
konsep dengan satu pengecualian: ISS menyatakan bahwa hal itu akan mengungkapkan kerentanan
untuk membayar pelanggan dari layanan satu hari setelah memberitahukan vendor.
Selanjutnya, mereka dapat memasukkan pengujian untuk kerentanan baru dalam mereka
keamanan produk. Sangat menarik untuk dicatat bahwa salah satu tujuan utama bertanggung jawab
pengungkapan adalah untuk menjaga pengetahuan tentang kerentanan dalam lingkaran terkecil
orang sampai patch dapat dikembangkan dan dipublikasikan. Apa yang mencegah
www.syngress.com
86 Bab 3 • Kerentanan Pengungkapan
topi hitam dari berlangganan ke layanan berlangganan ISS dan menerima pemberitahuan
dari satu hari setelah kerentanan vendor diberitahu? Apakah ini jenis selektif
etika pengungkapan?
ISS konservatif tidak akan mengungkapkan rincian teknis tentang kerentanan,
tetapi topi hitam akan tahu apa jenis kerentanan ada dan
di mana bagian dari pengetahuan product.That vendor dapat membantu hitam
hat dalam mengembangkan mengeksploitasi dan menggunakannya pada sistem rentan sebelum
Patch penjual tersedia. Selain itu, tidak etis tepat untuk membuat
uang dari ISS eksploitasi tempat information.This dalam kompromi
Posisi karena mereka tidak menghasilkan uang kecuali ada eksploitasi.
Liberal Menghasilkan uang dari meneruskan informasi dieksploitasi adalah
terhormat perdagangan. Jika penting bagi suatu organisasi untuk memperoleh informasi ini,
mereka akan bersedia membayar untuk itu. Ini tidak memakan waktu yang signifikan dan
energi untuk secara akurat penelitian potensi kerentanan dan mengatasinya
cerdas. Organisasi topi hitam mungkin berakhir dengan akses ke data ini;
Namun, ada yang tidak etis tentang informasi.
RINGKASAN
Beberapa orang mungkin menganggap tidak etis untuk biaya uang untuk kerentanan produk
informasi dan berpendapat bahwa layanan jenis ini menyediakan data ke
topi hitam masyarakat pada biaya sementara tidak semua masyarakat TI akan memiliki
akses ke data kerentanan. Yang lain berpendapat bahwa tidak ada
salah dengan membuat keuntungan dari proses pengungkapan, apakah
masyarakat topi hitam mengambil informasi dengan cara ini atau tidak.

Diposting oleh di Tidak ada komentar:

Public Disclosure
The vulnerability life cycle publicity stage begins after thorough testing of patch
development efforts. During this stage, the originator, coordinator, and vendor
cooperatively develop the content of the public disclosure in a manner agreeable
to all parties.The public disclosure process is similar to full disclosure with one
exception; the public disclosure will not include any exploited code. However,
full disclosure of technical details is included with a tested patch, potential
workarounds, and possibly an IDS signature.The idea here is to give administrators
and programmers enough information to defend against the vulnerability,
but make it difficult for the script kiddies to launch an attack exploiting the
known vulnerability.The timing of a properly conducted public disclosure must
coincide with patch availability. However, if there is a known leak of the vulnerability
or it is already being actively exploited the public disclosure will preempt
patch availability.
ISS Handling Vulnerabilities – Should You Pay?
During the latter half of 2002, Internet Security Systems (ISS) received considerable
criticism over the handling of several vulnerabilities. ISS discovered flaws in
Internet Software Consortium BIND software, Apache Web server software, and
Sun Microsystems Solaris X Windows font service. In all cases, ISS notified the
vendor and worked with them to coordinate a public disclosure with patch availability.
Irrespective of who is at fault in the handling of each incident, these procedures
were not well received by the general public. In the case of the ISC Bind
vulnerability, patches were not distributed quickly enough.The vendor patches
for the Solaris Font problem were flawed and had to be recalled. Finally, the
Apache patch was not distributed until after public disclosure, even though black
hats had been exploiting the vulnerability for over four months.
Because of these events, ISS was motivated to release a public policy
describing each step it would take when disclosing a newly discovered vulnerability.
The ISS disclosure policy contains several of the key responsible disclosure
concepts with one notable exception: ISS declares that it will disclose the vulnerability
to paying subscribers of its service one day after notifying the vendor.
Further, they may incorporate testing for the new vulnerability within their
security products. It is interesting to note that one of the key goals of responsible
disclosure is to keep knowledge of vulnerabilities within the smallest circle of
people until a patch can be developed and made public. What is to prevent a
www.syngress.com
86 Chapter 3 • Vulnerability Disclosure
black hat from subscribing to the ISS subscription service and receiving a notice
of the vulnerability one day after the vendor is notified? Is this type of selective
disclosure ethical?
Conservative ISS will not be disclosing technical details about the vulnerability,
but the black hat will know what type of vulnerability exists and
in which part of a vendor’s product.That knowledge may assist the black
hat in developing an exploit and using it on vulnerable systems before a
vendor patch is available. In addition, it is not ethically appropriate to make
money off exploitation information.This places ISS in a compromising
position because they do not make money unless there are exploits.
Liberal Making money from passing along exploited information is an
honorable trade. If it is important for an organization to obtain this information,
they will be willing to pay for it. It does take significant time and
energy to accurately research potential vulnerabilities and address them
intelligently. Black hat organizations may end up with access to this data;
however, there is nothing unethical about the information.
SUMMARY
Some may consider it unethical to charge money for product vulnerability
information and argue that this type of service provides data to the
black hat community at a fee while not all of the IT community will have
access to the vulnerability data. Others argue that there is nothing
wrong with making a profit from the disclosure process, whether the
black hat community retrieves information in this manner or not.
Diposting oleh di Tidak ada komentar:
terjemahan ethically
Etis Penanganan KeamananKerentanan - Siapa yang Anda Beritahu?Anda seorang insinyur jaringan konsultan melakukan diagnosa pada discover job.Youyang parahkerentanan dalam firewalldibelidarivendorsolusi.Dimenanggapi kerentanan ini, Anda menginstal solusi, firewall baru yang lebih aman darivendor lain. Apa yang Anda lakukan dengan informasi kerentanan yang Anda milikitentang produk lainnya?Konservatif Panggil rekan kerja Anda dan memperingatkan mereka dari masalah.Segera memberitahukan Computer Emergency Response Team (CERT) darikerentanan sehingga mereka dapat memberitahu vendor dan mempublikasikan fakta-faktasetelah vendor telah tetap masalah dan diungkapkan kelemahan produksendiri. Hindari langsung menerbitkan kerentanan untuk melindungivendor reputasi dan Anda sendiri, karena bisnis Anda menggunakan solusi vendordanrentan.Liberal Peringatkan semua orang yang Anda tahu. Lakukan pengungkapan penuh, karena CERT adalahlambat dalam mengeluarkan peringatan yang tepat dan banyak bisnis mungkin mengalami berbahayahack untuk sementara.Cari seorang peneliti terkenal yang bersediauntuk mempublikasikan kerentanan. Pengungkapan informasi secara menyeluruh jawaban yang benar karenamemotivasi vendor untuk menyediakan patch tepat waktu atau solusi untuk barukerentanan. Jika vendor gagal untuk menyediakan tepat waktu dan memperbaiki kerentanan penuhpengungkapan publik, media negatif yang dihasilkan akan menyebabkan kerusakan padavendor reputasi dan pendapatan. Selanjutnya, untuk menghindari negatif di masa depanmedia, Anda akan memaksa vendor untuk memproduksi perangkat lunak yang lebih baik untuk menghindari hal inijenis media kedua kalinya.RINGKASANKerentanan Pengungkapan • Bab 3 83Ada dua sudut pandang ketika membuat keputusan untuk melakukan fullpengungkapan. Yang pertama adalah untuk mengikuti rantai komando dimulai dengan noti-www.syngress.com290_Ethics_IT_03.qxd 5/10/04 11:40 Page 8484 Bab 3 • Kerentanan Pengungkapanfying organisasi Anda dan klien Anda, kemudian membawa kelemahan untuksebuah organisasi yang memenuhi syarat yang menangani proses pengungkapan dari sana,biasanya dengan cara pengungkapan yang terbatas (dibahas kemudian dalam bab ini).Titik kedua pandang segera mengungkapkan semua informasi kerentanankarena mereka merasa bahwa organisasi seperti CERT terlalu lambat dalam melaporkankerentanandan klien perlu mengetahui rincian lengkap sesegera mungkinuntuk lebih mempersenjatai diri melawan serangan. Apapun berarti Andamengadopsi,mempertimbangkan dampak dari baik sebelum bertindak.The Game of PengungkapanPengungkapan kerentanan adalah permainan taruhan tinggi, dengan ketenaran banyak terjadikepada orang atau tim yang menemukan kerentanan, dan telur banyak padawajah perusahaan dengan kerentanan. Hal ini dapat sangat frustasi menjadian, kerentanan mapan tim penemuan sah yang sepatutnya memberitahukan suatuperusahaan ketika kerentanan ditemukan, dan kemudian menunggu untuk perusahaanuntuk merespon dan menambal kerentanan. Banyak peneliti telah"Meraup" oleh yang lain, individu-individu yang kurang teliti akan merilis kerentanantanpa memberitahu perusahaan yang terkena dampak,lama setelah yang pertamapenelititelah ditemukan dan biasanya didokumentasikan dengan baik kerentanan yang sama.Dan kerahasiaan sering kunci untuk patchannouncement penemuan-siklus bahwa pengungkapan kerentanan berikut hari.Jens HaeusserManager, Keamanan Informasi KantorUniversity of British ColumbiaMelakukan Pengungkapan Kendali -Berapa Banyak yang lain Tahu Sudah?Anda akan melakukan pengungkapan lengkap termasuk kode script dan semua lainnyarincian tentang kelemahan keamanan dalam sistem browser Internet Anda bisnisutilizes.You berpendapat bahwa Anda harus sepenuhnya mengungkapkan semua informasi karena Andamengasumsikan organisasi seperti Black Hat telah memiliki informasi dan Andawww.syngress.com290_Ethics_IT_03.qxd 5/10/04 11:40 Page 85ingin vendor dan klien untuk memiliki informasi ini untuk menangkap setiapkerusakan yang disebabkan oleh serangan berbahaya. Apakah Anda benar dalam asumsi ini?Konservatif Meskipun benar bahwa masyarakat topi hitam berbakatkemungkinan mungkin memiliki pengetahuan sebelumnya dari eksploitasi, gerombolan script kiddiestidak. Sepenuhnya mengungkapkan kerentanan termasuk kode dieksploitasi, lenganScript kiddies dengan senjata. Setelah pengungkapan penuh, script kiddiesakan memiliki mengeksploitasi otomatis dan dapat melancarkan serangan terhadap siapa pun dimasyarakat yang memanfaatkan browser yang bersangkutan. Bahkan jika script kiddiestidak menyadari dari setiap pengetahuan teknis, mereka mungkin memiliki apa yang merekaperlu melancarkan serangan dari pengungkapan. Selain itu, jika mamputopi hitam tidak dimiliki pengetahuan sebelumnya dari kerentanan baru, pengungkapan penuhtetesInformasi inidi pangkuan mereka dan membuatsecara signifikan lebih mudah untukmerekauntuk mengembangkandieksploitasi kode dan alat-alat otomatis.Liberal pendukung pengungkapan Kendali berasumsi bahwa komunitas hacker topi hitamsudahsadarprodukkerentanan olehsangatalamdarihitamtopi organisasi.Dengan penuh informasi kerentanan mengungkapkan, administratordari rentansistem memperoleh data yang diperlukan untuk mengambilpenetralandanmemberikanpelindunglangkah-langkah.Pengungkapan penuh sangat penting sehingga administratordan programmermemahamikerentanan dalam rangkauntukmencegahdan membela terhadap them.Throughpengungkapan penuhsistem,administratordan programmermemperoleh akses ke rincian teknis penuh darikerentanandan akibatnya dapat mengambilsesuaidefensifaction.RINGKASANKerentanan Pengungkapan • Bab 3 85Meskipun konsep pengungkapan penuh tidak menghalangi pemberitahuan vendor,konservatif yang paling menunjukkan kurangnya tenggang waktu selamayangvendor dapat mengatasi cacat sebagai kerugian yang besar. Sepenuhnyapengungkapan,vendor menerima pemberitahuan simultan dengan waktupenyingkapankerentanan informasi kepada semua orang lain. Karena itu, sistemadalahrentan selama jumlah waktu yang dibutuhkan vendor untuk mengatasiitukerentanan dan klien untuk menempatkan langkah-langkah pertahanan di tempat.Namun,dari sudut pandang liberal,menunggu untuk mengirim pengungkapan penuhmemungkinkanwaktu bom untuk pergi dalam organisasi Anda. Kegagalanuntuk melakukansebuahpengungkapan penuh menghilangkan administrator sistem dari waktu yang cukupwajibuntuk langkah-langkah defensif yang efektif secara internal.
Diposting oleh di Tidak ada komentar:
Ethically Handling Security
Vulnerabilities – Who do You Notify?
You are a network engineer consultant performing diagnostics on a job.You discover
a severe
vulnerability in a firewall
purchased
from
a vendor
solution.
In
response to this vulnerability, you install a new, more secure firewall solution from
another vendor. What do you do with the vulnerability information you have
about the other product?
Conservative Call your coworkers and warn them of the problem.
Immediately notify the Computer Emergency Response Team (CERT) of
the vulnerability so that they can notify the vendor and publish the facts
after the vendor has fixed the problem and disclosed the product weakness
themselves. Avoid directly publishing the vulnerability to protect the
vendor’s reputation and your own, since your business uses the vendor solution
and was
vulnerable.
Liberal Warn everyone you know. Perform a full disclosure, since CERT is
slow in issuing proper warnings and many businesses may experience a dangerous
hack in the meantime.
Find a well-known researcher who is willing
to publish the vulnerability. Full disclosure is the right answer because it
motivates the vendor to provide a timely patch or workaround to a new
vulnerability. If the vendor fails to provide a timely fix and full vulnerability
disclosure is public, the resulting negative media will cause damage to the
vendor’s reputation and revenue. Further, in order to avoid future negative
media, you will force the vendor to produce better software to avoid this
type of media a second time.
SUMMARY
Vulnerability Disclosure • Chapter 3 83
There are two points of view when making the decision to perform a full
disclosure. The first is to follow a chain of command starting with noti-
www.syngress.com
290_Ethics_IT_03.qxd  5/10/04  11:40 AM  Page 84
84 Chapter 3 • Vulnerability Disclosure
fying your organization and your clients, then bringing the weakness to
a qualified organization that handles the disclosure process from there,
usually in a limited disclosure manner (discussed later in this chapter).
The second point of view immediately discloses all vulnerability information
since they feel that organizations like CERT are too slow in reporting
vulnerabilities
and clients need to know the full details as soon as possible
to better arm themselves against attack. Whichever means you
adopt,
consider the repercussions of both before acting.
The Game of Disclosure
Vulnerability disclosure is a high stakes game, with much fame going
to the person or team that discovers a vulnerability, and much egg on the
face of the company with the vulnerability. It can be very frustrating to be
an established, legitimate vulnerability discovery team that duly notifies a
company when a vulnerability is found, and then waits for the company
to respond and patch the vulnerability. Many researchers have been
“scooped” by other, less scrupulous individuals who will release a vulnerability
without notifying the affected company,
long after the first
researcher
has discovered and usually well documented the same vulnerability.
Confidentiality and secrecy are often keys to the discovery-patchannouncement
cycle that vulnerability disclosure follows today.
Jens Haeusser
Manager, Information Security Office
University of British Columbia
Performing a Full Disclosure –
How Much do Others Know Already?
You are about to perform a full disclosure including the script code and all other
details on a security weakness within the Internet browser system your business
utilizes.You argue that you must fully disclose all of the information because you
assume organizations like Black Hat already possess the information and you
www.syngress.com
290_Ethics_IT_03.qxd  5/10/04  11:40 AM  Page 85
want the vendors and clients to have this information in order to catch any
damage caused by malicious attacks. Are you correct in this assumption?
Conservative While it is true that the talented black hat community
may likely have prior knowledge of an exploit, the hordes of script kiddies
do not. Fully disclosing a vulnerability including exploited code, arms the
script kiddies with weapons. Following the full disclosure, the script kiddies
will possess the automated exploit and may launch attacks upon anyone in
the public who utilizes the browser in question. Even if the script kiddies
are oblivious of any technical knowledge, they probably have what they
need to launch an attack from the disclosure. In addition, if the capable
black hats do not posses prior knowledge of a new vulnerability, full disclosure
drops
this information
in their laps and makes
it significantly easier for
them
to develop
exploited code and automated tools.
Liberal Full disclosure advocates assume that the black hat hacker community
is already
aware
of product
vulnerabilities by
the very
nature
of the
black
hat organization.
By fully disclosing vulnerability information, administrators
of vulnerable
systems obtain the data needed to take
counteraction
and
provide
protective
measures.
Full disclosure is imperative so that administrators
and programmers
fully understand
the vulnerabilities in order
to
prevent
and defend against them.Through
full disclosure
systems,
administrators
and programmers
obtain access to the full technical details of the
vulnerability
and consequently can take
appropriate
defensive
action.
SUMMARY
Vulnerability Disclosure • Chapter 3 85
Although the concept of full disclosure does not preclude vendor notification,
most conservatives point to the lack of a grace period during
which
the vendor can address the flaw as a major disadvantage. In full
disclosure,
the vendor receives notification simultaneous to the time of
disclosure
vulnerability information to all others. Because of this, systems
are
vulnerable during the amount of time it takes the vendor to address
the
vulnerability and the client to put defense measures in place.
However,
from the liberal point of view,
waiting to post full disclosure is
allowing
a time bomb to go off in your organization. Failing
to perform
a
full disclosure deprives systems administrators from the adequate time
required
for effective defensive measures internally.
Ethically Handling Security
Vulnerabilities – Who do You Notify?
You are a network engineer consultant performing diagnostics on a job.You discover
a severe
vulnerability in a firewall
purchased
from
a vendor
solution.
In
response to this vulnerability, you install a new, more secure firewall solution from
another vendor. What do you do with the vulnerability information you have
about the other product?
Conservative Call your coworkers and warn them of the problem.
Immediately notify the Computer Emergency Response Team (CERT) of
the vulnerability so that they can notify the vendor and publish the facts
after the vendor has fixed the problem and disclosed the product weakness
themselves. Avoid directly publishing the vulnerability to protect the
vendor’s reputation and your own, since your business uses the vendor solution
and was
vulnerable.
Liberal Warn everyone you know. Perform a full disclosure, since CERT is
slow in issuing proper warnings and many businesses may experience a dangerous
hack in the meantime.
Find a well-known researcher who is willing
to publish the vulnerability. Full disclosure is the right answer because it
motivates the vendor to provide a timely patch or workaround to a new
vulnerability. If the vendor fails to provide a timely fix and full vulnerability
disclosure is public, the resulting negative media will cause damage to the
vendor’s reputation and revenue. Further, in order to avoid future negative
media, you will force the vendor to produce better software to avoid this
type of media a second time.
SUMMARY
Vulnerability Disclosure • Chapter 3 83
There are two points of view when making the decision to perform a full
disclosure. The first is to follow a chain of command starting with noti-
www.syngress.com
290_Ethics_IT_03.qxd  5/10/04  11:40 AM  Page 84
84 Chapter 3 • Vulnerability Disclosure
fying your organization and your clients, then bringing the weakness to
a qualified organization that handles the disclosure process from there,
usually in a limited disclosure manner (discussed later in this chapter).
The second point of view immediately discloses all vulnerability information
since they feel that organizations like CERT are too slow in reporting
vulnerabilities
and clients need to know the full details as soon as possible
to better arm themselves against attack. Whichever means you
adopt,
consider the repercussions of both before acting.
The Game of Disclosure
Vulnerability disclosure is a high stakes game, with much fame going
to the person or team that discovers a vulnerability, and much egg on the
face of the company with the vulnerability. It can be very frustrating to be
an established, legitimate vulnerability discovery team that duly notifies a
company when a vulnerability is found, and then waits for the company
to respond and patch the vulnerability. Many researchers have been
“scooped” by other, less scrupulous individuals who will release a vulnerability
without notifying the affected company,
long after the first
researcher
has discovered and usually well documented the same vulnerability.
Confidentiality and secrecy are often keys to the discovery-patchannouncement
cycle that vulnerability disclosure follows today.
Jens Haeusser
Manager, Information Security Office
University of British Columbia
Performing a Full Disclosure –
How Much do Others Know Already?
You are about to perform a full disclosure including the script code and all other
details on a security weakness within the Internet browser system your business
utilizes.You argue that you must fully disclose all of the information because you
assume organizations like Black Hat already possess the information and you
www.syngress.com
290_Ethics_IT_03.qxd  5/10/04  11:40 AM  Page 85
want the vendors and clients to have this information in order to catch any
damage caused by malicious attacks. Are you correct in this assumption?
Conservative While it is true that the talented black hat community
may likely have prior knowledge of an exploit, the hordes of script kiddies
do not. Fully disclosing a vulnerability including exploited code, arms the
script kiddies with weapons. Following the full disclosure, the script kiddies
will possess the automated exploit and may launch attacks upon anyone in
the public who utilizes the browser in question. Even if the script kiddies
are oblivious of any technical knowledge, they probably have what they
need to launch an attack from the disclosure. In addition, if the capable
black hats do not posses prior knowledge of a new vulnerability, full disclosure
drops
this information
in their laps and makes
it significantly easier for
them
to develop
exploited code and automated tools.
Liberal Full disclosure advocates assume that the black hat hacker community
is already
aware
of product
vulnerabilities by
the very
nature
of the
black
hat organization.
By fully disclosing vulnerability information, administrators
of vulnerable
systems obtain the data needed to take
counteraction
and
provide
protective
measures.
Full disclosure is imperative so that administrators
and programmers
fully understand
the vulnerabilities in order
to
prevent
and defend against them.Through
full disclosure
systems,
administrators
and programmers
obtain access to the full technical details of the
vulnerability
and consequently can take
appropriate
defensive
action.
SUMMARY
Vulnerability Disclosure • Chapter 3 85
Although the concept of full disclosure does not preclude vendor notification,
most conservatives point to the lack of a grace period during
which
the vendor can address the flaw as a major disadvantage. In full
disclosure,
the vendor receives notification simultaneous to the time of
disclosure
vulnerability information to all others. Because of this, systems
are
vulnerable during the amount of time it takes the vendor to address
the
vulnerability and the client to put defense measures in place.
However,
from the liberal point of view,
waiting to post full disclosure is
allowing
a time bomb to go off in your organization. Failing
to perform
a
full disclosure deprives systems administrators from the adequate time
required
for effective defensive measures internally.
Diposting oleh di Tidak ada komentar:
"""lanjutan dari yang tadi."""
www.syngress.com290_Ethics_IT_03.qxd 5/10/04 11:40 Page 8282 Bab 3 • Kerentanan PengungkapanKonservatif Komunitas topi hitam tidak etis sifatnya.Mereka hanya menambahkan perilaku tertahankan tambahan dengan tidak mengungkapkanSistem kelemahan ketika mereka menemukan mereka.Setiap orang liberal memiliki hak atas informasi. Mengesampingkan berbahayaserangan berasal dari menjaga rahasia informasi, masyarakat topi hitammungkin atau mungkin tidak mengungkapkan kelemahan informasi yang mereka temukan. Ini adalah sempurnaetis untuk mengumpulkan informasi dan tetap diam tentang etika data.Thejatuh ke dalam pemanfaatan informasi yang dikumpulkan.RINGKASANEtika dan masyarakat topi hitam adalah hal yang menarik. Mengenaimenjaga rahasia, beberapa mungkin berpendapat mereka memiliki hak untuk mengumpulkan dan menahaninformasi, sementara yang lain berpendapat bahwa karena apa yang orang-orang inilakukan dengan informasi yang mereka kumpulkan niat mereka menunjukkan bahwa merekamelakukantidak memiliki hak etis untuk mengumpulkan informasi atau gagal untuk mengungkapkansistemkelemahan.Pengungkapan penuhPengungkapan penuh berarti banyak hal yang berbeda tergantung pada orang yang Anda berbicaradengan kerentanan dan bermain. Apa pengungkapan penuh berarti bagi Anda? Diistilah buku teks, definisi pengungkapan penuh adalah proses luas menyebarkansebanyakinformasimungkinmengenaiprodukatau sistem kerentanansehingga korban potensialmemiliki informasi yang samasebagai potensipenyerang.Sebuah wahyu dari jenis pengungkapan memastikan bahwa pengembang produkdan klien dengan prapengetahuan kelemahan produk memiliki waktu yang diperlukanuntuk melaksanakan tindakan defensif terhadap kerentanan sistem.Ada empat cara utama calon korban memastikan sistem mereka menahankerentanan setelah pengungkapan penuh. Yang pertama adalah untuk mengaktifkan sistem proteksi olehmengembangkan dan menerapkan Intrusion Detection System (IDS) tanda tangan. IDStanda tangan menyediakan deteksi aman dari eksploitasi tersebut. Sebuah cara keduaperlindungan menerapkan memperbaiki sementara atau solusi seperti menutupke layanan rentan atau memblokir lalu lintas di firewall. Cara ketigadeteksi oleh administrator sistem yang memanfaatkan kode dimanfaatkan, adalah untuk memindaijaringan untuk sistem rentan atau untuk menguji kerentanan kemungkinan sistem tidakwww.syngress.com290_Ethics_IT_03.qxd 5/10/04 11:40 Page 83belum ditambal. Akhirnya, di sisi vendor, programer dari produk yang bersangkutandapat meninjau struktur cacat dan berusaha untuk menghindari situasi serupa dipembangunan masa depan.Mereka yang mendukung pengungkapan penuh berdebat beberapa keuntungan untuk proses ini.Bagian ini membahas pengungkapan penuh dari titik etis pandang konservatifdan liberal.

Diposting oleh di Tidak ada komentar:
"terjemahan the blach hat community""
Masyarakat Black Hat -Kerentanan Masalah dan OrganisasiMasyarakat topi hitam praktek kebijakan menjaga rahasia. Ketika topi hitammenemukan kerentanan, mereka menyimpan informasi atau bijaksana mendistribusikannyahanya dalam kelompok topi hitam. Ini topi hitam kemudian menggunakan kerentanan untuk menembustak terlindungsistem untuk apapuntersembunyitujuanmerekakeinginan.Akhirnyakebocoran informasi kerentanan keluar ke forum publik. Namun, sebelum iniwaktu berakhir, sistem dan administrator mereka tidak memiliki pertahanan terhadap eksploitasi.Apakah organisasi seperti topi hitam memiliki hak untuk menyembunyikan kerentananmasalah untuk tujuan berbahaya?www.syngress.com
Diposting oleh di Tidak ada komentar:
The Black Hat Community –
Vulnerability Issues and Organizations
The black hat community practices a policy of nondisclosure. When a black hat
discovers vulnerabilities, they retain the information or judiciously distribute it
only within a black hat group. These black hats then use the vulnerability to penetrate
unprotected
systems for whatever
covert
purpose
they
desire.
Eventually
the vulnerability information leaks out into a public forum. However, before this
time expires, systems and their administrators have no defense against exploitation.
Do organizations like black hats have the right to conceal vulnerability
issues for malicious purposes?
www.syngress.com
290_Ethics_IT_03.qxd  5/10/04  11:40 AM  Page 82
82 Chapter 3 • Vulnerability Disclosure
Conservative The black hat community is unethical by its very nature.
They are just adding additional intolerable behavior by failing to disclose
system weaknesses when they discover them.
Liberal Everyone has the right to information. Putting aside malicious
attacks derived from nondisclosure of information, the black hat community
may or may not disclose information weaknesses they discover. It is perfectly
ethical to gather information and remain silent about the data.The ethics
fall into the utilization of the information collected.
SUMMARY
Ethics and the black hat community is an interesting subject. Regarding
nondisclosure, some may argue they have the right to collect and withhold
information, while others argue that because of what these individuals
do with the information they collect their intent indicates that they
do
not have the ethical right to collect information or fail to disclose
system
weaknesses.
Full Disclosure
Full disclosure means many different things depending on the person you speak
with and the vulnerabilities at play. What does full disclosure mean to you? In
textbook terms, the definition of full disclosure is the process of broadly disseminating
as much
information
as possible
regarding
product
or system vulnerabilities
so that potential victim’s
possess the same information
as the potential
attackers.
A revelation of this type of disclosure ensures that product developers
and clients with foreknowledge of product weaknesses possess the necessary time
to implement defensive action against system vulnerabilities.
There are four primary ways potential victims ensure their systems withstand
the vulnerability after a full disclosure. The first is to activate system protection by
developing and implementing Intrusion Detection System (IDS) signatures. IDS
signatures provide secure detection of the exploit in question. A second means of
protection is implementing a temporary fix or workaround such as shutting
down a vulnerable service or blocking traffic at the firewall. The third means of
detection by systems administrators who utilize exploited code, is to scan the
network for vulnerable systems or to test the possible vulnerability of systems not
www.syngress.com
290_Ethics_IT_03.qxd  5/10/04  11:40 AM  Page 83
yet patched. Finally, on the vendor side, programmers of the product in question
can review the structure of the flaw and attempt to avoid similar situations in
future development.
Those who support full disclosure argue several advantages to this process.
This section addresses full disclosure from the ethical points of view of the conservative
and the liberal.
Diposting oleh di Tidak ada komentar:
maaf kn jika kami menterjemahkan ini dengan tidak seksama namun kami bukannya asal baca saja nantinya. tetapi kami akan berusaha memahami terjemahan tersebut walau dengan susah payah.
maklum kami bukan orang dari inggris jadi bahasa inggris kami butuh bantuan.
Diposting oleh di Tidak ada komentar:
"terjemahan dari can you really control ?"

Dapatkah Anda Really Mengendalikan Informasi? -Mengadopsi Kebijakan menjaga kerahasiaanDalam sebuah perusahaan produk vendor, cacat utama ketika berpikir tentang menjaga rahasia adalahkeyakinan bahwa seseorang dapat mengontrol information.There adalah ada cara untuk menjaminbahwa individu-individu yang dipilih dapat dipercaya untuk tidak menggunakan kerentanan istimewainformasi untuk keuntungan mereka sendiri. Selain itu, beberapa orang yang dipekerjakanoleh vendor dan perusahaan keamanan memiliki sejarah dipertanyakan. Dapatkah Anda benar-benar percayaindividu direformasi dengan karir masa lalu sebagai topi hitam atau topi abu-abu untuk bertindak secara bertanggung jawabdengan informasi kerentanan istimewa?Konservatif Mengadopsi kebijakan menjaga rahasia memiliki beberapa keunggulan.Sebuah menjaga rahasia memberdayakan personel manajemen dan TI dengan kontrolatas informasi dalam organisasi. Selain itu, dalam kasus pengungkapan,itu memberi mereka kontrol atas informasi kerentanan, yang akan terusinformasi yang salah dari tangan topi hitam dan lainnya berbahayaorang atau organisasi. Gagal untuk mengungkapkan kerentanan sistem menjagareputasi perusahaan keunggulan intact.The nyata adalah menjaga rahasia kepenjual saja. Jika vendor dapat menjaga kerentanan rahasia sementara itutetap, mereka dapat menghindari tekanan negatif yang dapat dihasilkan.Liberal Sebuah kebijakan kerentanan menjaga rahasia memiliki kelemahan lebihdibandingkan advantages.There ada cara untuk memastikan bahwa masyarakat topi hitam ataupenyerang berbahaya lainnya sudah tidak memiliki informasi kerentananatau bahwa merekatidak akan menemukanitu sendirisebelumpublikpenyingkapanadalahdibuat.Ada empat alasan utama mengapa kebijakan kerentananmenjaga rahasia adalah ide yang sangat buruk.www.syngress.com290_Ethics_IT_03.qxd 5/10/04 11:40 Page 81Pertama, jika informasi kerentanan bocor atau secara simultan ditemukan,masyarakat topi hitam memiliki kesempatan untuk secara aktif mengeksploitasi kerentanantanpa masyarakatpengetahuan.Sistem akan dibiarkan terbuka selamawaktu yang dibutuhkan vendor perangkat lunak untuk menambal produk.Kedua, karena kerentanan tersebut tidak diungkapkan secara terbuka, administratortidak memiliki kesempatan untuk melindungi sistem yang rentan. Jika vendor gagaluntuk mengungkapkan kerentanan sistem yang serius, klien mereka akan menentukan merekatidak etis dan bahkan tidak jujur.Ketiga, karena tidak ada berita negatif bagi vendor perangkat lunak, merekatidak termotivasi untuk memperbaiki cacat pada waktu yang tepat.Keempat, sangat sulit untuk secara jelas mendefinisikan pemilihan terpercaya individudengan akses ke sensitifkerentanan informasi.Karena inialasan, kebijakan menjaga rahasia jelas kurang diinginkan.RINGKASANKerentanan Pengungkapan • Bab 3 81Kerentanan menjaga rahasia dalam banyak kasus adalah ide yang buruk untuk semua alasandisebutkan dalam titik pandang liberal.Kegagalanuntuk mengungkapkan sistemkekurangancenderung menyebabkan lebih berbahaya daripada baik. Namun,dari sudutmelihatdari vendor,menjaga rahasia mungkin berguna dalam beberapa situasiketikaAnda dapat dengan cepat memulihkan cacat sehingga tidak menimbulkan apapun negatifpublisitasuntuk vendor.
Diposting oleh di Tidak ada komentar:
Can You Really Control Information? –
Adopting Nondisclosure Policies
In a vendor product company, the major flaw when thinking of nondisclosure is
the belief that someone can control the information.There is no way to assure
that the selected individuals can be trusted not to use privileged vulnerability
information for their own gain. Furthermore, some of the individuals employed
by vendors and security firms have questionable histories. Can you really trust
reformed individuals with past careers as black hats or grey hats to act responsibly
with privileged vulnerability information?
Conservative Adopting a policy of nondisclosure has several advantages.
A nondisclosure empowers management and IT personnel with control
over information within the organization. In addition, in the case of disclosures,
it gives them control over vulnerability information, which will keep
the wrong information out of the hands of black hats and other malicious
people or organizations. Failing to disclose system vulnerabilities keeps the
company reputation intact.The real advantage of nondisclosure is to the
vendor alone. If a vendor can keep the vulnerability a secret while it is
fixed, they can avoid any negative press that may be generated.
Liberal A policy of vulnerability nondisclosure has more disadvantages
than advantages.There is no way to assure that the black hat community or
other malicious attackers does not already possess the vulnerability information
or that they
will not discover
it on their own
before
a public
disclosure
is
made.
There are four primary reasons why a policy of vulnerability
nondisclosure is a really bad idea.
www.syngress.com
290_Ethics_IT_03.qxd  5/10/04  11:40 AM  Page 81
First, if vulnerability information is leaked or simultaneously discovered,
the black hat community has an opportunity to actively exploit the vulnerability
without public
knowledge.
Systems will be left exposed during the
time it takes the software vendor to patch the product.
Second, since the vulnerability is not disclosed publicly, administrators
do not have the opportunity to protect vulnerable systems. If a vendor fails
to disclose serious system vulnerabilities, their clients will determine they
are unethical and even dishonest.
Third, because there is no negative press for the software vendor, they
are not motivated to repair the flaw in a timely manner.
Fourth, it is very difficult to clearly define the trusted selection of individuals
with access to sensitive
vulnerability information.
Because of these
reasons, a policy of nondisclosure is obviously less than desirable.
SUMMARY
Vulnerability Disclosure • Chapter 3 81
Vulnerability nondisclosure in most cases is a bad idea for all of the reasons
mentioned in the liberal point of view.
Failing
to disclose system
flaws
tends to cause more harm than good. However,
from the point of
view
of the vendor,
nondisclosure may be useful in some circumstances
when
you can quickly remediate a flaw thus not incurring any negative
publicity
for the vendor.
Diposting oleh di Tidak ada komentar:
terjemahan dari vulnerability nondisclosure
Kerentanan menjaga rahasiaSebuah kebijakan menjaga rahasia dalam perusahaan berarti bahwa siapa pun menandatanganiperjanjian menjaga rahasia setuju untuk menjaga informasi kerentanan dalam bahwaorganisasi erat terkandung sehingga tidak ada seorang pun di luar organisasi, terutamamasyarakat umum,pernah belajar dari keberadaan kerentanan produk.Beberapa vendor dan lembaga keamanan mencoba untuk mempromosikan kebijakan menjaga rahasia.Mereka merasa perlu untuk mengontrol informasi kerentanan dan hanya dipercayaindividu menerima informasi tentang kelemahan produk atau sistem. Dengan cara ini, bisnispercayamerekadapat melindungirentansistem sampai memperbaiki tersedia.Road to Hell Perkerasan Company, IncKerentanan Pengungkapan • Bab 3 79Perdebatan yang tampaknya abadi mengenai pengungkapan kerentanan pernahsesuatu yang saya cintai untuk mengikuti sebagai orang luar. Saya punya pendapat yang kuat, namun tidak adarelevansi nyata bagi mereka, seperti yang saya telah tidak menemukan satu atau merasa kemungkinanbahwa saya akan. Semua itu berubah beberapa tahun yang lalu, di tengah-tengahbeberapa pekerjaan untuk sebuah organisasi besar yang harus tetap tak disebutkan namanya karena adanyamenjaga rahasia perjanjian yang masih berlaku. Saya memimpin sebuah tim kecilTugas yang adalah untuk menemukan masalah apapun dan semua dengan virtual private network(VPN) produk yang akan segera dilaksanakan. Sayangnya, tidak hanyakami menemukan masalah, kami menemukan banyak masalah, dan bahkan tidak menyelesaikanmemeriksa semua hal yang kita ingin untuk memeriksa sebelum waktu (dan dana) untukproyek berlari keluar. Vendor membahas tiga isu pertama yangditemukan (yang semuanya dalam waktu dua hari, sebelum kita bahkan naik ke terbalikrekayasa, saya harus menambahkan), yang merupakan kabar baik. Kabar buruknya adalah bahwaitu adalah konsensus yang luar biasa dari tim yang lebih banyak masalah yangmengintai dalam perangkat lunak, baik pada server dan klien akhir. Pada satutitik, salah satu ketakutan dikonfirmasi, seorang teman saya mengeluh kepadasaya suatu hari, sekitar setahun kemudian, tentang bagaimana seseorang hanya bisa menyalinperangkat lunak VPN klien dari satu komputer ke komputer lain, dan semua informasi yang(Menyimpan password) yang diperlukan untuk login ke VPN jarak jauh akan mengikutidengan direktori satu, ini adalah abhorrently keamanan yang buruk untuk aplikasi seperti itu,dan itu adalah penyiksaan semata-mata menjaga mulutku saat aku mendengarkan.Sayangnya, klien belum memberikan izin untuk mengungkapkan, merekatidak akan pernah, dalam semua kemungkinan. Untuk alasan apapun, klien mengikutimemimpin vendor tentang masalah ini, dan dengan demikian menentang pengungkapan. IniTerus-meneruswww.syngress.com290_Ethics_IT_03.qxd 5/10/04 11:40 Page 8080 Bab 3 • Kerentanan Pengungkapansangat disayangkan dalam ekstrem terbesar, seperti yang saya telah menyaksikan banyak besar danorganisasi penting mengimplementasikan perangkat lunak selama dua tahun terakhir,diragukan lagi menyadari apa yang mungkin terjadi jika topi hitam adalah untuk menemukankelemahan yang masih bersembunyi di dalam. Hanya bertanya baik tentang mengungkapkan,baik setelah kerentanan dikenal yang tetap, telah membawa ancamangugatan dari klien, ada sedikit keraguan apa yang akan terjadi harussalah satu dari kami memutuskan untuk mengungkapkan secara spontan. Tapi ada hal kecil untuktetap diam mengenai masalah yang dapat mempengaruhi orang lain, baik.Rob SheinEDS - Washington, DC
Diposting oleh di Tidak ada komentar:
Vulnerability Nondisclosure
A nondisclosure policy within a company means that whomever signs the
nondisclosure agreement agrees to keep the vulnerability information within that
organization tightly contained so that no one outside of the organization, especially
the general public,
ever learns of the existence of product vulnerabilities.
Some vendors and security institutions try to promote a policy of nondisclosure.
They feel the need to control vulnerability information and only trusted
individuals receive information about product or system flaws. In this way, businesses
believe
they
can protect
vulnerable
systems until a fix is available.
Road to Hell Pavement Company, Inc.
Vulnerability Disclosure •
The seemingly timeless debate regarding vulnerability disclosure was once
something I loved to follow as an outsider. I had strong opinions, but no
real relevance to them, as I had neither discovered one nor felt it likely
that I would. All of that changed a couple of years ago, in the midst of
some work for a large organization that must remain unnamed due to an
nondisclosure agreement that is still in effect. I headed up a small team
whose task was to find any and all issues with a virtual private network
(VPN) product that was about to be implemented. Unfortunately, not only
did we find problems, we found many problems, and did not even finish
examining all the things we wished to check before time (and funding) for
the project ran out. The vendor addressed the first three issues which
were found (all of which within two days, before we even got into reverse
engineering, I should add), which is the good news. The bad news is that
it is the overwhelming consensus of the team that more problems are
lurking in the software, both at the server and the client end. At one
point, one of those fears was confirmed; a friend of mine complained to
me one day, about a year later, about how someone could just copy the
software VPN client from one machine to another, and all the information
(save the password) needed to log into the VPN remotely would follow
with that one directory; this is abhorrently bad security for such an application,
and it was sheer torture keeping my mouth shut as I listened.
Unfortunately, the client has not given permission to disclose; they
never will, in all likelihood. For whatever reason, the client follows the
vendor’s lead on the matter, and thus is opposed to any disclosure. This
Continued
www.syngress.com
290_Ethics_IT_03.qxd  5/10/04  11:40 AM  Page 80
80 Chapter 3 • Vulnerability Disclosure
is unfortunate in the greatest extreme, as I have watched many large and
critical organizations implement the software over the past two years,
undoubtedly unaware of what may occur if a black hat were to discover
the weaknesses that still hide within. Just asking nicely about disclosing,
well after the known vulnerabilities were fixed, has brought the threat of
a lawsuit from the client; there is little doubt what would occur should
one of us decide to disclose spontaneously. But it is no small thing to
remain silent as to the problems that can affect others, either.
Rob Shein
EDS – Washington, D.C.
Diposting oleh di Tidak ada komentar:
Langganan: Postingan (Atom)