Od ponad roku staram się inaczej podchodzić do otaczającej mnie rzeczywistości. Jednak jak rymuje Eldo: "Czasem nie wolno odpuścić i stanąć z boku. Bo w życiu są sprawy dużo ważniejsze niż spokój."
Do dzieła.
Ostatni CONFidence 2011 (edycja w Krakowie) był pierwszym od ładnych kilku lat, który musiałem odpuścić - jak to mawiają "służba nie drużba". "Konferencja", a raczej wydarzenie, które kreuje Andrzej bardzo przypomina już imprezy z za zachodniej granicy (CCC Conference) niż klasyczne dwa dni prelekcji i networking przy lunchu - mnie się to podoba, tak dalej!
Z nowych propozycji pojawił się panel dyskusyjny: "David vs Goliat – jak zgłosić podatność i nie zrobić sobie przy tym krzywdy.", do którego zaproszenia przyjąć nie mogłem z uwagi na brak możliwości pojawienia się na miejscu. Na szczęście zasięgnąłem opinii na jego temat wśród znajomych a także jeden z moderatorów - Mirek Maj, opublikował podsumowanie, do którego chciałem się odnieść. Jest to blog prywatny więc uprzedzę, że poniższy komentarz to tylko i wyłącznie moje prywatne zdanie w tym temacie.
AD "WNIOSEK PIERWSZY – ZGŁASZANIE SŁABOŚCI TO TAKŻE POLSKI PROBLEM"
Nie wiem jaki kontekst miało stwierdzenie: "To, że nie mamy wielkich fabryk software-owych nie znaczy, że nie ma co zgłaszać.." - chodziło o potencjalne zgłaszanie podatności do PSIRT[1]'ów? Natomiast z mojego doświadczenia i obserwacji wynika, że rzadko zgłaszane są błędy w konkretnych produktach (pominę przypadki zgłaszania podatności polegającej na tym, że serwis przetrzymuje hasła w postaci nieszyfrowanej, bez odpowiedniego salta, itp.). Powinienem napisać "nagłaśniane", a nie zgłaszane, ale o tym później. Najczęściej błędy zgłaszane do firm lub szeroko pojętych mediów są w konkretnych przypadkach instalacji/konfiguracji danego rozwiązania. Najczęściej są to aplikacje webowe gdyż żyjemy w dobie Web (2.0) lub w starych wersjach usług (problem, że tutaj trudniej o spektakularne screenshoty), ewentualnie pracujących z uprawnieniami użytkownika o wysokich uprawnieniach w systemie operacyjnym.
Nie znam prawdziwego powodu dlaczego nie pojawił się nikt z sektora finansowego, mogę jedynie przypuszczać dlaczego tak się stało. Uważam, że w utrzymaniu dialogu pomiędzy potencjalnymi, już Klientami banków a sektorem finansowym powinna pośredniczyć jakaś organizacja. W naszym kraju taką rolę może mogłoby objąć Forum Abuse, które zrzesza zespoły CERT/CSIRT największych dostarczycieli treści, operatorów telekomunikacyjnych, także banków i co najważniejsze innych, strategicznych dla bezpieczeństwa kraju jednostek. Jeśli nie Forum Abuse to może Związek Banków Polskich? - to ZBP odpowiada za wizerunek, komunikację ze społeczeństwem w imieniu zrzeszonych banków. Dialogu bezpośredniego na dzień dzisiejszy sobie nie wyobrażam. Jeśli ktoś chce coś zgłosić to każdy bank ma ogólny formularz kontaktowy na swojej stronie. Uważam, że tutaj szybko nic się nie zmieni, bo nie ma takiego trendu.
Słowo odnośnie "nagłaśniania" podatności. O podatnościach zgłoszonych w ramach "gentlemen’s agreement" zazwyczaj się nigdzie nie słyszy, nie można o nich przeczytać. Myślę, że jest to jeden ze sposobów utrzymania potencjalnie zdrowych relacji między zgłaszającym, a adresatem. Zwróćmy uwagę na to co pojawi się w kolejnych punktach, najczęściej podatności odnajdywane są podczas niezamówionej usługi badania podatności lub już daleko idącego pentestu. Uważam, że znacznie łatwiej rozjuszyć adresata podatności w sytuacji gdy opublikujemy informację o niej publicznie równo z mailem na przypadkowy adres hakunamatata@company.com by poinformować o nieszczęściu, które zaraz ich spotka (dzisiątki, setki, ... prób wykorzystania opublikowanej podatności, poszukiwanie podobnych gdzieś "obok"). Temat rzeka.
AD "WNIOSEK DRUGI – BRAK REGUŁ POSTĘPOWANIA"
Jeśli chcę zgłosić podatność polegającą na tym, że po wprowadzeniu w parametrze X wartości: 2 and (select 1 where length(database()>8)) dowiemy się czy nazwa aktualnie używanej bazy danych ma więcej niż 8 znaków to muszę mieć świadomość co robię i co zrobiłem. Jeśli nie działamy zgodnie z prawem (czyt. nie posiadamy odpowiedniej umowy na usługę, adresat nie ma jasnych reguł postępowania w takich przypadkach) to nie próbujmy naginać czyichś zasad i liczyć, że będą dla nas korzystne. To ingerencja w czyjeś podwórko, a my wchodzimy tam bez zaproszenia. Nie każdy ma czas, ochotę, pieniądze i potrzebę regulowania sposobu postępowania przy zgłoszeniach podatności, a już na pewno będzie z tym trudno jeśli mamy się tymi zasadami podzielić publicznie. To, że niektórzy tak robią nie stanowi to od razu reguły. Bolesny przykład firmy Sony, nie mieli nawet CISO. Kto miał się tym zająć? - np. zarządzaniem podatnościami. Kto z "nagłaśniających" podatności by chciał by do jego drzwi mieszkania lub samochodu wg. ogólnie przyjętych zasad lub stworzonych przez niego, próbowano się włamać? - nawet nie żeby coś ukraść, ale żeby spróbować zajrzeć do środka. Chcemy oglądać porysowane drzwi, zniszczone zamki? Za każdym razem będziecie pobłażliwi dla "napastnika"?
Jestem za prowadzeniem badań/wykrywaniem podatności, natomiast zdrowy rozsądek podpowiada by odpowiednio dobierać miejsce, w których je prowadzimy - NIE na obcych instalacjach.
AD "WNIOSEK TRZECI – GRATYFIKACJE SĄ POTRZEBNE, TYLKO TRZEBA USTALIĆ CO TO JEST"
O ile rozumiem gratyfikacje za podatności w rozwiązaniach, to w konkretnych, wdrożonych produktach już mniej. Na swoim labie nie ma ryzyka przełamania bezpieczeństwa firmy, utraty poufności/integralności informacji, zachwiania dostępnością. Wystawianie środowisk testowych to śliska sprawa: można popełnić błąd w konfiguracji takiego środowiska i przypadkiem zbudować interfejs do produkcyjnych systemów. Przykładów jest cała masa, doświadczeni administratorzy doskonale wiedzą co mam na myśli. To są koszty, czas, który będzie trudno uzasadnić w kosztach IT, a zarazem stanowić spore ryzyko reputacyjne. W moim odczuciu temat środowisk testowych jest i będzie mało popularny.
Podsumowując: moim zdaniem na przestrzeni ostatnich lat sporo się zmienia w temacie sposobów zgłaszania podatności, nie wiem czy na lepsze, na pewno dobrze, że zaczęliśmy o tym rozmawiać w szerszym gronie. Nie miejmy pretensji do adresatów podatności o to, że się denerwują, czas nie gra na ich korzyść. Nie stawiajmy z definicji każdego zgłaszającego w najgorszym świetle, może to młodsza siostra zostawiła przypadkiem uruchomiony skaner podatności... i wystrzelił w najmniej oczekiwanym momencie. Zachowujmy zdrowy rozsądek, a na pewno wszyscy będą docelowo zadowoleni z efektów współpracy.
A co Ty o tym myślisz?
[1] - Product Security Incident Response Team
Subskrybuj:
Komentarze do posta (Atom)
0 komentarze:
Prześlij komentarz