[SEC] Full disclosure - done or not done?

...

[ Voor 99% gewijzigd door Verwijderd op 23-05-2018 15:37 ]

Verwijderd schreef op maandag 30 maart 2009 @ 19:30:
Een ontdekking als deze publiceren mag, maar vereist wel de nodige zorgvuldigheid. De eerste stap is hier al genomen: de betrokkene informeren en aansporen om het zelf op te lossen. Als men echter hiertoe geen of onvoldoende stappen neemt, sta je in je recht om erover te publiceren - in de vorm van een artikel. Het publiceren van een concrete exploit is een stuk riskanter.

De vraag is dan natuurlijk : wat noem je onvoldoende stappen? En wie bepaalt dat - de vinder van de vuln, of een onafhankelijke partij?

Naar mijn idee is full-disclosure een goed idee, op het moment dat dit verantwoord is, of (anders gezegd) als het niet meer verantwoord is het niet te disclosen. Dus, als een leverancier te lang (een afweging van tijd versus ernst van de situatie) op zich laat wachten met een fix voor een probleem dat jij privé aan hen hebt gemeld kun je het disclosen. Dit lijkt misschien het risico te verhogen, maar het is wel fijn als alle klanten die het produkt gebruiken ook op de hoogte zijn van het probleem zodat ze andere beschermingsmaatregelen kunnen nemen zolang de leverancier niet fixt. Je ziet ook regelmatig dat third-parties dan snel met oplossingen/lapmiddelen komen. Zolang je als klant onwetend bent kun je je niet beschermen. En je weet nooit hoe lang de oorspronkelijke ontdekker van het probleem de enige is die er van weet.

Ik vind ook dat het wel moet kunnen. Uiteraard dien je het eerst bij de fabrikant te melden maar soms volgt daar gewoon geen reactie op, ook al heb je het via verschillende wegen geprobeerd. Hier ben ik zelf wel eens tegenaan gelopen, toen nog geprobeerd of ZeroDayInitiative http://www.zerodayinitiative.com/ iets kon betekenen maar die hadden geen interesse. Uiteindelijk op milw0rm gepubliceerd waarna het waarschijnlijk in ieder geval wel zal zijn opgenomen in diverse IDS/IPS signatures.

Ik ben zelf voorstander van disclosure, mits de vendor tijd heeft gehad om met een fix te komen. Het is naar mijn mening niet nodig (en wellicht zelfs ongewenst) om een compleet uitgewerkte exploit aan te leveren, maar een gedetailleerde beschrijving lijkt me prima. Compleet uitgewerkte exploits maken het de scriptkiddies en kwaadwillenden wel erg makkelijk en het is m.i. niet nodig om het lek aan te tonen.

Verwijderd schreef op maandag 30 maart 2009 @ 19:30:
Een ontdekking als deze publiceren mag, maar vereist wel de nodige zorgvuldigheid. De eerste stap is hier al genomen: de betrokkene informeren en aansporen om het zelf op te lossen. Als men echter hiertoe geen of onvoldoende stappen neemt, sta je in je recht om erover te publiceren - in de vorm van een artikel. Het publiceren van een concrete exploit is een stuk riskanter.

Om deze dan nog maar eens onder de aandacht te brengen:
Op maandag 7 september heeft iemand een (ja stomme) vulnerability gevonden in de SMBv2 code onder Vista en Windows 2008 Server , de NT 6.0 versies.
De vinder heeft echter direct daarop via Full Disclosure en zoals het er nu naar uitziet zonder enig voorbehoud ook direct de exploit code online gezet.
De timing van die publicatie is wat mij betreft iets te toevallig één dag voor de standaard patch tuesday geweest, valt zoiets nog onder de noemer verantwoordelijk te noemen ?

Ik heb ook nog wat uit de persoonlijke ervaringen toe te voegen, mbt 2 gevonden issues van een IBM produkt. De eerste keer heb ik via meerdere kanalen geprobeerd de juiste personen bij IBM te bereiken om de kwetsbaarheid te melden. Dat is toen niet gelukt, en na enige weken heb ik besloten het issue te disclosen (zie http://www.securityfocus.com/archive/1/499870). Daarna kreeg ik wel heel snel reaktie(s) van IBM en ook een directe lijn naar de juiste afdeling voor een eventuele volgende keer.

En die kwam, zo'n 4 maanden geleden. Tijdens een test van nieuwe firmware heb ik een andere kwetsbaarheid gevonden, dit maal op TCP nivo. Gemeld bij die afdeling, en netjes een hele afhandeling en onderzoek door IBM. Uiteindelijk hebben ze het issue bevestigd, en toegezegd dat er dit jaar een oplossing voor komt. Niet echt snel natuurlijk, maar gezien het issue wel acceptabel naar mijn mening.

Dus, disclosure de eerste keer was nodig om de aandacht van de leverancier te krijgen, en tevens heeft me dit een directe lijn naar de juiste mensen opgeleverd.

Bij microsoft nemen ze ook alle meldingen serieus
Tijdje terug bug gevonden in internet explorer, kreeg ik vrij snel mailtje terug met vraag om meer details zodat ze me konden doorverbinden met het juiste team. Dat ging allemaal heel netjes