اوایل هفتهی پیش بود که دیدیم گوگل یک آسیبپذیری ارتقاء امتیازات محلی در ویندوز 10 را افشاء کرد. این آسیبپذیری یک آسیبپذیری روز-صفرم است به این معنی که خیلی سریع نمیتوان مشکل این نوع آسیبپذیریها را برطرف کرد. افشاء کردن این آسیبپذیریها بهطور عمومی به مهاجمان این امکان را میدهد تا اطلاعات بیشتری از این آسیبپذیری کشف کرده و به نفع خود استفاده کنند.
روند صحیح افشای آسیبپذیری روز-صفرم چگونه است؟
مسئله اینگونه بوده که یک هفته قبل از آن، گوگل وجود این آسیبپذیری را به مایکروسافت خصوصی اطلاع داده بود. گوگل همچنین یک آسیبپذیری با شناسهی CVE-2016-7855 مربوط به فلش را به ادوبی هم اطلاع داده بود. در پاسخ به این اطلاعیههای صادر شده از طرف گوگل، شرکت ادوبی 5 روز بعد با یک بهروزرسانی امنیتی این مشکل را برطرف کرد.
این مسئله یک اتفاق خوب برای شرکت ادوبی بود چرا که گوگل در مورد آسیبپذیریهای جدی که قابل بهرهبرداری هستند قانونی دارد بدین شکل که: وجود آسیبپذیری بهطور خصوصی به شرکت مربوطه اطلاع داده میشود و اگر این مشکل در عرض 7 روز برطرف نشود، آسیبپذیری مورد نظر بهطور عمومی افشاء میشود. حال ببینیم دلیل گوگل برای چنین قانونی چیست؟
«ما معتقدیم که برای برطرف کردن آسیبپذیری جدی و مهم، در عرض 7 روز میتوان عملیات ضروری را انجام داد. دلیل ما هم برای این تصمیم این است که هر روزی که یک آسیبپذیری مهم و قابل بهرهبرداری، وصلهنشده باقی بماند، احتمال اینکه تعداد رایانههای آلوده افزایش یابد، بیشتر میشود.»
دلیل گوگل برای نگرانی بسیار منطقی بود چرا که مایکروسافت قبلا فهمیده بود قبل از افشاء آسیبپذیری توسط گوگل، یک گروه APT روسی با نام Fancy Bear از این آسیبپذیری روز-صفرم در حملات خود بهرهبرداری میکردند.
مایکروسافت هنوز برای این آسیبپذیری وصلهای منتشر نکرده ولی در پست وبلاگی اعلام کرده که در وصلههای روز سهشنبه در تاریخ 8 نوامبر، وصلهی این آسیبپذیری در دسترس خواهد بود.
اما روند منطقی و عادی افشای آسیبپذیری چگونه است؟
در حوزه امنیت اطلاعات توافق استانداردی برای افشای آسیبپذیریها وجود ندارد. بسیاری از شرکتها «افشای مسئولانه» را رعایت میکنند به این معنی که ابتدا آسیبپذیری را همراه با جزئیات کامل به شرکت مورد نظر بهطور خصوصی اطلاع میدهند و پس از اینکه آن آسیبپذیری وصله شد، جزئیات آن را عمومی منتشر میکنند.
معمولاً کسانی که آسیبپذیری را کشف کردهاند برای وصلهی آن نیز با شرکت مربوطه همکاری میکنند. تا زمانی که شرکت مربوطه با نهایت حسننیت برای رفع آسیبپذیری تلاش میکند، برای افشای عمومی آن هفتهها و یا ماهها فرصت داده میشود ولی برخیها نیز برای برطرف کردن آسیبپذیری مهلت تعیین میکنند. مثلاً گوگل 60 روز مهلت را پیشنهاد داده است در حالیکه ممکن است بقیه فرصت بیشتری بدهند.
در حوزهی امنیت اطلاعات همه با این قوانین و اصول افشای مسئولانه موافق نیستند. شاید خیلی جسورانه به نظر برسد ولی برخی معتقدند هرچه سریعتر باید آسیبپذیری را به اطلاع عموم رساند بخصوص وقتی که این آسیبپذیری بهطور فعال قابل بهرهبرداری باشد. وقتی گوگل به دو شرکت ادوبی و مایکروسافت برای برطرف کردن آسیبپذیریها 7 روز مهلت داد، ممکن است بقیه فکر کرده باشند که این مهلت مناسبی برای برطرف کردن چنین آسیبپذیری نیست.
ایدهای که پشت افشای سریع آسیبپذیریها وجود دارد این است که آن شرکت تحت فشار جمعی قرار گرفته و موظف میشود با جدیت تمام برای رفع آسیبپذیری تلاش کند، مخصوصاً اگر این شرکت در آسیبپذیریهایی که قبلا افشاء شده، مسئولانه و جدی عمل نکرده باشد. با این حال باید به این نکته نیز توجه داشت که این رویکرد در برخی موارد میتواند نتیجهی عکس داشته باشد و راه حمله برای مهاجمان بالقوه باز شود. همچنین برای شرکت مربوطه نیز میتواند نتیجهی عکس داشته باشد اگر هرچه سریعتر به این آسیبپذیری رسیدگی نکند.
آیا شما هم فکر میکنید که افشای سریع آسیبپذیریها حرکتی بیپروایانه است یا این کار، کار ِ درستی است؟ آیا حق با گوگل بوده است؟
منبع: news.asis
گیگ بوی سایت آموزش شبکه به صورت فارسی و تصویری و دانلود نرم افزار
