Защита от хакеров корпоративных сетей

авторов Коллектив

· Каждая из этих категорий требует специального подхода к составлению сообщения об уязвимости, соответственно влиянию последней на ресурсы пользователя.

· Сообщение, направляемое производителю, должно содержать как можно более полную информацию. Недостаток сведений затрудняет процесс устранения уязвимости, а в некоторых случаях производитель даже не станет этим заниматься.

Какие подробности следует опубликовать

· Стоит тщательно оценить

ситуацию, прежде чем включать в сообщение об уязвимости использующий ее код. Впрочем, в некоторых случаях лишь его обнародование способно заставить производителя признать существование проблемы.

· Сообщение о проблемах безопасности связано с определенным риском, который нужно осознавать. Можно столкнуться с судебным преследованием со стороны производителя. Можно также вызвать панику в рядах обычных пользователей.

· Следует быть особо осторожным при обнародовании способов обхода механизма защиты авторского права, так как в настоящее время эти вопросы не урегулированы окончательно законом.

Часто задаваемые вопросы

Вопрос: Как убедиться, что безопасность моей системы соответствует современным стандартам?

Ответ: Лучше всего подписаться на рассылку Buqtraq, отправив пустое сообщение по адресу bugtraq-listserv@securityfocus.com. После подтверждения подписки вы начнете получать сообщения.

Информацию о проблемах безопасности операционной системы Windows можно получить в рассылке NTBugtraq. Чтобы подписаться на нее, отправьте сообщение по адресу listserv@listserv.ntbugtraq.com. В теле письма должна быть помещена фраза «SUBSCRIBE ntbugtraq Firstname Lastname», где в поле Firstname указывается ваше имя, а в поле Lastname – ваша фамилия.

Вопрос: Как понять, вызвано ли уязвимостью обнаруженное отклонение от обычной работы системы, если у меня нет времени на проведение детальных исследований? Ответ: Сообщение о неисследованной или сомнительной уязвимости можно отправить в рассылку vuln-dev по адресу vuln-dev@securityfocus.com. Она создана специально для сообщений о потенциальных проблемах безопасности от пользователей, не имеющих времени, желания или навыков самостоятельно исследовать дефект. Для подписки на эту рассылку нужно отправить пустое сообщение по адресу vuln-dev-listserv@securityfocus.com. Затем требуется подтвердить свою подписку. Следует помнить, что, отправляя письмо о потенциальной или неисследованной уязвимости, вы делаете эту информацию достоянием широкой публики.

Вопрос: В процессе проверки моей системы на наличие

недавно обнаруженной уязвимости оказалось, что проблема гораздо глубже, чем описано в сообщении. Стоит ли публиковать новую информацию? Ответ: Вероятнее всего, делать этого не стоит. В подобных случаях лучше связаться с автором сообщения и сравнить ваши результаты. Чтобы не умножать число источников информации об одной и той же уязвимости, можно попросить автора внести в свое сообщение дополнения и исправления (разумеется, упомянув про ваш вклад). Если же исходное сообщение было анонимным, имеет смысл опубликовать всю информацию еще раз, дополнив ее новыми сведениями.

Вопрос: Можно ли тестировать на уязвимость чужие системы? (Например, можно ли протестировать на безопасность почтовый сервис Hotmail?) Ответ: В большинстве стран, включая США, противозаконно даже пытаться проникнуть в чужую систему, даже если вас интересует всего лишь степень ее уязвимости. Ведь таким образом можно случайно повредить ее или оставить открытой для атак, а кроме того, получить доступ к конфиденциальной информации. Перед тестированием чужой системы следует получить письменное разрешение на подобные действия. Это разрешение должно быть дано владельцем системы, которую вы планируете «атаковать». Нужно также связаться с человеком, который будет следить за состоянием системы в процессе испытаний и сможет восстановить ее работоспособность после ваших испытаний. Если вы не можете найти человека, который разрешил бы вам протестировать свою систему, можно послать запрос в рассылку vuln-dev. Члены подобных рассылок обычно более благоприятно реагируют на подобные вещи. Что же касается таких сервисов, как почтовая служба Hotmail, их несанкционированное тестирование может даже привести к вашему аресту за нарушение DMCA.

Вопрос: Попытавшись сообщить производителю о проблемах безопасности, я получил ответ, что сначала требуется заключить контракт на обслуживание. Что делать в таких случаях? Ответ: Все равно попытайтесь позвонить в отдел обслуживания клиентов и объяснить, что обнаруженная вами уязвимость может создать проблемы их клиентам. Если это не сработает, попытайтесь найти клиента, у которого имеется контракт на обслуживание. Для подобного поиска можно использовать открытые форумы, посвященные обсуждению соответствующего программного продукта или услуги. Если и эта попытка не увенчается успехом, вы имеете полное право сделать информацию о найденной уязвимости доступной для широкой публики.