terjemahan publik disclosure'''
Pengungkapan Informasi kepada Publik
Kehidupan kerentanan tahap siklus publisitas dimulai setelah pengujian menyeluruh patch
upaya pembangunan. Selama tahap ini, pencipta itu, koordinator, dan vendor
kooperatif mengembangkan isi dari pengungkapan kepada publik dengan cara menyenangkan
untuk semua proses pengungkapan parties.The publik mirip dengan pengungkapan penuh dengan satu
pengecualian, pengungkapan publik tidak akan menyertakan kode dieksploitasi. Namun,
pengungkapan penuh rincian teknis disertakan dengan potensi, patch diuji
workarounds, dan mungkin sebuah IDS ide signature.The di sini adalah untuk memberikan administrator
dan programmer informasi yang cukup untuk mempertahankan terhadap kerentanan,
namun membuat sulit bagi script kiddies untuk melancarkan serangan mengeksploitasi
waktu vulnerability.The diketahui dari pengungkapan publik yang benar dilakukan harus
bertepatan dengan ketersediaan patch. Namun, jika ada kebocoran diketahui kerentanan
atau sudah sedang aktif dieksploitasi pengungkapan publik akan mendahului
Patch ketersediaan.
Kerentanan Penanganan ISS - Haruskah Anda Bayar?
Selama paruh kedua tahun 2002, Internet Security Systems (ISS) yang diterima cukup
kritik atas penanganan kerentanan beberapa. ISS menemukan kelemahan dalam
Internet Software Consortium BIND lunak, perangkat lunak server Web Apache, dan
Sun Microsystems Solaris X font Windows layanan. Dalam semua kasus, ISS diberitahu
vendor dan bekerja dengan mereka untuk mengkoordinasikan pengungkapan publik dengan ketersediaan patch.
Terlepas dari siapa yang salah dalam penanganan setiap kejadian, prosedur
tidak diterima dengan baik oleh masyarakat umum. Dalam kasus ISC Bind
kerentanan, patch tidak didistribusikan patch penjual cepat cukup.Ruangan
untuk masalah Font Solaris adalah cacat dan harus diingat. Akhirnya,
Apache Patch tidak didistribusikan sampai setelah pengungkapan publik, meskipun hitam
topi telah mengeksploitasi kerentanan selama lebih dari empat bulan.
Karena peristiwa ini, ISS termotivasi untuk merilis kebijakan publik
menggambarkan setiap langkah itu akan mengambil ketika mengungkapkan kerentanan baru ditemukan.
Kebijakan Pengungkapan ISS mengandung beberapa pengungkapan yang bertanggung jawab kunci
konsep dengan satu pengecualian: ISS menyatakan bahwa hal itu akan mengungkapkan kerentanan
untuk membayar pelanggan dari layanan satu hari setelah memberitahukan vendor.
Selanjutnya, mereka dapat memasukkan pengujian untuk kerentanan baru dalam mereka
keamanan produk. Sangat menarik untuk dicatat bahwa salah satu tujuan utama bertanggung jawab
pengungkapan adalah untuk menjaga pengetahuan tentang kerentanan dalam lingkaran terkecil
orang sampai patch dapat dikembangkan dan dipublikasikan. Apa yang mencegah
www.syngress.com
86 Bab 3 • Kerentanan Pengungkapan
topi hitam dari berlangganan ke layanan berlangganan ISS dan menerima pemberitahuan
dari satu hari setelah kerentanan vendor diberitahu? Apakah ini jenis selektif
etika pengungkapan?
ISS konservatif tidak akan mengungkapkan rincian teknis tentang kerentanan,
tetapi topi hitam akan tahu apa jenis kerentanan ada dan
di mana bagian dari pengetahuan product.That vendor dapat membantu hitam
hat dalam mengembangkan mengeksploitasi dan menggunakannya pada sistem rentan sebelum
Patch penjual tersedia. Selain itu, tidak etis tepat untuk membuat
uang dari ISS eksploitasi tempat information.This dalam kompromi
Posisi karena mereka tidak menghasilkan uang kecuali ada eksploitasi.
Liberal Menghasilkan uang dari meneruskan informasi dieksploitasi adalah
terhormat perdagangan. Jika penting bagi suatu organisasi untuk memperoleh informasi ini,
mereka akan bersedia membayar untuk itu. Ini tidak memakan waktu yang signifikan dan
energi untuk secara akurat penelitian potensi kerentanan dan mengatasinya
cerdas. Organisasi topi hitam mungkin berakhir dengan akses ke data ini;
Namun, ada yang tidak etis tentang informasi.
RINGKASAN
Beberapa orang mungkin menganggap tidak etis untuk biaya uang untuk kerentanan produk
informasi dan berpendapat bahwa layanan jenis ini menyediakan data ke
topi hitam masyarakat pada biaya sementara tidak semua masyarakat TI akan memiliki
akses ke data kerentanan. Yang lain berpendapat bahwa tidak ada
salah dengan membuat keuntungan dari proses pengungkapan, apakah
masyarakat topi hitam mengambil informasi dengan cara ini atau tidak.