روند صحیح ِ افشای آسیب‌پذیری روز-صفرم چگونه است؟

۱اوایل هفته‌ی پیش بود که دیدیم گوگل یک آسیب‌پذیری ارتقاء امتیازات محلی در ویندوز ۱۰ را افشاء کرد. این آسیب‌پذیری یک آسیب‌پذیری روز-صفرم است به این معنی که خیلی سریع نمی‌توان مشکل این نوع آسیب‌پذیری‌ها را برطرف کرد. افشاء کردن این آسیب‌پذیری‌ها به‌طور عمومی به مهاجمان این امکان را می‌دهد تا اطلاعات بیشتری از این آسیب‌پذیری کشف کرده و به نفع خود استفاده کنند.

مسئله این‌گونه بوده که یک هفته قبل از آن، گوگل وجود این آسیب‌پذیری را به مایکروسافت خصوصی اطلاع داده بود. گوگل همچنین یک آسیب‌پذیری با شناسه‌ی CVE-۲۰۱۶-۷۸۵۵ مربوط به فلش را به ادوبی هم اطلاع داده بود. در پاسخ به این اطلاعیه‌های صادر شده از طرف گوگل، شرکت ادوبی ۵ روز بعد با یک به‌روزرسانی امنیتی این مشکل را برطرف کرد.

این مسئله یک اتفاق خوب برای شرکت ادوبی بود چرا که گوگل در مورد آسیب‌پذیری‌های جدی که قابل بهره‌برداری هستند قانونی دارد بدین شکل که: وجود آسیب‌پذیری به‌طور خصوصی به شرکت مربوطه اطلاع داده می‌شود و اگر این مشکل در عرض ۷ روز برطرف نشود، آسیب‌پذیری مورد نظر به‌طور عمومی افشاء می‌شود. حال ببینیم دلیل گوگل برای چنین قانونی چیست؟

«ما معتقدیم که برای برطرف کردن آسیب‌پذیری جدی و مهم، در عرض ۷ روز می‌توان عملیات ضروری را انجام داد. دلیل ما هم برای این تصمیم این است که هر روزی که یک آسیب‌پذیری مهم و قابل بهره‌برداری، وصله‌نشده باقی بماند، احتمال اینکه تعداد رایانه‌های آلوده افزایش یابد، بیشتر می‌شود.»

دلیل گوگل برای نگرانی بسیار منطقی بود چرا که مایکروسافت قبلا فهمیده بود قبل از افشاء آسیب‌پذیری توسط گوگل، یک گروه APT روسی با نام Fancy Bear از این آسیب‌پذیری روز-صفرم در حملات خود بهره‌برداری می‌کردند.
مایکروسافت هنوز برای این آسیب‌پذیری وصله‌ای منتشر نکرده ولی در پست وبلاگی اعلام کرده که در وصله‌های روز سه‌شنبه در تاریخ ۸ نوامبر، وصله‌ی این آسیب‌پذیری در دسترس خواهد بود.

امّا روند منطقی و عادی افشای آسیب‌پذیری چگونه است؟
در حوزه امنیت اطلاعات توافق استانداردی برای افشای آسیب‌پذیری‌ها وجود ندارد. بسیاری از شرکت‌ها «افشای مسئولانه» را رعایت می‌کنند به این معنی که ابتدا آسیب‌پذیری را همراه با جزئیات کامل به شرکت مورد نظر به‌طور خصوصی اطلاع می‌دهند و پس از اینکه آن آسیب‌پذیری وصله شد، جزئیات آن را عمومی منتشر می‌کنند.
معمولاً کسانی که آسیب‌پذیری را کشف کرده‌اند برای وصله‌ی آن نیز با شرکت مربوطه همکاری می‌کنند. تا زمانی که شرکت مربوطه با نهایت حسن‌نیت برای رفع آسیب‌پذیری تلاش می‌کند، برای افشای عمومی آن هفته‌ها و یا ماه‌ها فرصت داده می‌شود ولی برخی‌ها نیز برای برطرف کردن آسیب‌پذیری مهلت تعیین می‌کنند. مثلاً گوگل ۶۰ روز مهلت را پیشنهاد داده است در حالی‌که ممکن است بقیه فرصت بیشتری بدهند.

در حوزه‌ی امنیت اطلاعات همه با این قوانین و اصول افشای مسئولانه موافق نیستند. شاید خیلی جسورانه به نظر برسد ولی برخی معتقدند هرچه سریع‌تر باید آسیب‌پذیری را به اطلاع عموم رساند بخصوص وقتی که این آسیب‌پذیری به‌طور فعال قابل بهره‌برداری باشد. وقتی گوگل به دو شرکت ادوبی و مایکروسافت برای برطرف کردن آسیب‌پذیری‌ها ۷ روز مهلت داد، ممکن است بقیه فکر کرده باشند که این مهلت مناسبی برای برطرف کردن چنین آسیب‌پذیری نیست.

ایده‌ای که پشت افشای سریع آسیب‌پذیری‌ها وجود دارد این است که آن شرکت تحت فشار جمعی قرار گرفته و موظف می‌شود با جدیت تمام برای رفع آسیب‌پذیری تلاش کند، مخصوصاً اگر این شرکت در آسیب‌پذیری‌هایی که قبلا افشاء شده، مسئولانه و جدی عمل نکرده باشد. با این حال باید به این نکته نیز توجه داشت که این رویکرد در برخی موارد می‌تواند نتیجه‌ی عکس داشته باشد و راه حمله برای مهاجمان بالقوه باز شود. همچنین برای شرکت مربوطه نیز می‌تواند نتیجه‌ی عکس داشته باشد اگر هرچه سریع‌تر به این آسیب‌پذیری رسیدگی نکند.
آیا شما هم فکر می‌کنید که افشای سریع آسیب‌پذیری‌ها حرکتی بی‌پروایانه است یا این کار، کار ِ درستی است؟ آیا حق با گوگل بوده است؟

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

LinkedInFacebookTwitter