Zveřejňování chyb, etika, ISS a ISC: kauza pokračuje (BIND)
Není to tak dávno, co společnost ISS rozvířila dění v oblasti IT bezpečnosti tím, že zveřejnila chyby v kódu webového serveru Apache bez toho, aby se vůbec obtěžovala na chybu upozornit vývojaře Apache. Tento postup vyvolal řadu silně negativních ohlasů a člověk by si možná řekl, že se z toho pro příště poučí. Ovšem opak je pravdou: před dvěma dny ISS zveřejnila chyby v programu BIND (velmi rozšířená implementace služby DNS). Tentokrát sice výrobce softwaru (konzorcium ISC) upozornila, ale neposkytla mu zřejmě možnost včas vydat opravu. Místo toho se opět snažila situace využít k propagaci vlastních produktů. Ovšem ani ISC z toho nevychází s čistým štítem...
O etických i jiných aspektech publikování bezpečnostních chyb v softwaru
už toho bylo napsáno mnoho. V případě open source komunity pochopitelně
převládá názor, že publikování bezpečnostních problémů v sotware je
věc užitečná a diskuse se vede spíše v tom smyslu, jakým způsobem při
publikaci chyb postupovat. V optimálním případě bychom se o chybách
měli dozvědět včas (tedy co nejdříve), ale současně by již měly být k
dispozici opravy, které daný problém řeší - tedy dotyčná osoba, která
chybu objeví by ji měla reportovat nejprve producentu softwaru a dát mu
dostatečný (ale zase ne příliš dlouhý - dejme tomu čtrnáct dní) čas k
tomu, aby chybu opravil. Teprve poté chybu publikuje širší veřejnosti a
záleží jen na odpovědnosti, nebo naopak liknavosti administrátorů, zda
své systémy včas a odpovídajícím způsobem zabezpečí. Tímto způsobem je
jednak na výrobce softwaru vyvíjen rozumný tlak proto, aby na opravách
chyb rychle zapracovali, a uživatel softwaru na straně druhé je rovněž
včas plně informován o bezpečnostních problémech produktu, který používá
a na který spoléhá.
Ne všichni si ovšem etiku berou k srdci a zářným příkladem toho může být
právě společnost ISS. Jen v krátkosti pro osvěžení, jak to bylo s chybou
v webovém serveru Apache. Tým ISS tehdy objevil určité bezpečnostní
problémy v Apache, které mohly být za určitých okolností využitelné útočníkem
zvenčí. Tedy jednalo se o problém poměrně závažný. ISS chybu
zveřejnila bez toho, aby na ni upozornila výrobce software (Apache Group) -
což obhajovala poněkud nesmyslným tvrzením zhruba v tom smyslu, že Apache
je produkt otevřený a tudíž nemá smysl vývojáře kontaktovat, nebot nemají
nad projektem dostatecnou kontrolu a že to je totéž, jako když chybu rovnou
zveřejní:
... Due to the general nature of open-source and its openness, the virtual
organizations behind the projects do not have an ability to enforce strict
confidentiality. By notifying the open source project, its nature is that
the information is quickly spread in the wild disregarding any type of quiet
period. ISS X-Force minimizes the quiet period and delay of protecting
customers by providing a security patch...
Navíc oznámení provázela řada nejasností a nebylo jasné, zda záplata, kterou
ISS uveřejnila skutečně jednoznačně problém vyřešila. Tolik k problému webového
serveru Apache (viz také článek věnovaný tomuto tématu, který před časem na
Linuxzone vyšel: Webový server apache: zveřejňování bezpečnostních chyb a etika).
A nyní se vraťme do současnosti. Přede dvěma dny společnost ISS zveřejnila
chybu v softwaru BIND (což je velmi rozšířená implementace služby DNS).
Tentokrát sice současně o nalezených chybách uvědomila konzorcium ISC (zřejmě
má dle mínění ISS nad svými produkty větší kontrolu než Apache Group), ale zřejmě
jim rovněž neposkytla dostatek času k tomu, aby na chybu mohli zareagovat a vydat opravu -
konzorcium ISC záplaty vydalo až dnes - tedy dva dny poté, co byla chyba
zveřejněna.
Ještě zajímavější je, že dalším z argumentů, kterým ISS zdůvodnila své jednání
v případě chyby webového serveru Apache, byl fakt, že na chybu Apache existoval
údajně v té době exploit. ISS prý v souladu se svou politikou chyby okamžitě
zveřejní v případě že je k dispozici exploit, nebo sami vydají záplatu, která
problém řeší:
... Our policy for publishing advisories is to give a vendor 30 to 45
day quiet period to provide an opportunity to create a patch or work around.
If an exploit for the vulnerability appears in the wild, or a patch and
work-around is provided by the vendor or ISS X-Force, this quiet period is
disregarded and the ISS X-Force advisory is published immediately...
The Gobbles' exploit has confirmed our decision to release as soon
as possible based on our assumption that others were likely to discover the
same vulnerability in the wild...
Logicky bychom tedy očekávali, že pokud chybu v případě BINDu uveřejnění
obratem, bude Internetem kolovat exploit, který tuto chybu využívá, anebo
bude někde na webu ISS k dispozici oprava. Prohlášení ISS ale žádný exploit
nezmiňuje a stejně tak ISC se na svém webu vyjádřilo, že o žádném exploitu neví.
V prohlášení ISS (k dispozici na adrese http://bvlive01.iss.net/issEn/delivery/xforce/alertdetail.jsp?oid=21469) se o žádné záplatě nemluví, zato se zde zmiňují
některé jejich vlastní proprietární produkty, které vás před chybou zaručeně
ochrání (jedná se o různé IDS a firewally):
...Recommendations:
ISS X-Force recommends that system administrators immediately take steps to
protect their networks. ISS has made several product updates available to
assess vulnerability to this issue as well as protect customers from
exploitation attempts.
/
The following ISS updates and product releases address the issues described
in this advisory. These updates are available from the ISS Download Center
(http://www.iss.net/download):
- RealSecure Network Sensor XPU 20.7 and XPU 5.6
- Internet Scanner XPU 6.20
- RealSecure Guard 3.1 ebs
- RealSecure Sentry 3.1 ebs
- RealSecure Server Sensor 6.5 SR 3.3
- System Scanner SR 3.08
Pokud na webové stránky ISS zavítáte, zjistíte, že v případě, že byste si
chtěli některý z těch (bezpochyby naprosto vynikajících produktů) vyzkoušet,
musíte se zaregistrovat a vyplnit formulář (jméno, adresa, mail atd.). Jinými
slovy ISS opět využila nalezené chyby v open source produktu ke svému
zviditelnění a především k propagaci vlastních produktů / služeb (a v neposlední
řadě také k rozšíření jejich interní databáze potenciálních zákazníků).
Co k tomu dodat? Doufejme že podobné jednání se ve světě počítačové bezpečnosti
nestane pravidlem...
Update: :
Jak se nyní ukazuje, ani konzorcium ISC nemá v tomto případě čistý štít - evidentně totiž rozlišují mezi zákazníky, kteří si předplatili program "early security notification" a těmi ostatními. Tito placení klienti nejen že byli o chybě informováni s dříve než ostatní (za což si zaplatili), ale získali také záplaty dříve, než byly zveřejněny na webu ISC. Došlo pak k situaci, že chyby již byly publikovány, ISC mělo hotové opravy, ale dalo je k dispozici pouze platícím klientům.
Přitom když před zhruba rokem a půl ISC oznámilo založení uzavřeného diskusního fóra , kde se měly řešit právě bezpečnostní problémy, řada lidí proti tomu protestovala a podobného scénáře se obávala. Lidé z ISC ovšem tvrdili, že něco takového se rozhodně nestane:
Q: So the bind-members Forum programme does not restrict or delay any
access to which the industry has become accustomed?
A: Right.
Tento přístup ISC kritizuje i řada výrobců Linuxových distribucí (viz jednotlivá oznámení výrobců o opravách BINDu, nebo také archív listu bugtraq)...
| 
Reklama
Anketa
