これは複数の部分からなる質問です。
ASP.NET Padding Oracle、 ( デモリンク )に関して、そのセキュリティエクスプロイトは倫理的な方法で処理されましたか?別の方法で、またはより良い方法で何ができたでしょうか。
最も倫理的な方法でエクスプロイトを処理するインセンティブは何ですか?
InfoSec業界は、セキュリティ問題の適切な処理を(金融またはその他の方法で)奨励するために何ができるでしょうか。
非常によく似た質問がすでにここにあります: 倫理的な方法でセキュリティの脆弱性を開示する方法は? 。
現在のトピックと脆弱性がどのように開示されたかについてはどうですか?悪くはありませんが、それでも、ITセキュリティコミュニティは脆弱性開示のより倫理的な方法を模索しています。まあ、研究者はベンダーに通知することができます(または、おそらく彼らはそれをしました、知らない)、バグがパッチされる数日、数ヶ月、おそらく数年待つことができます。その時、脆弱性が悪用される可能性がありました。さらに、この脆弱性が以前はブラックハットによって悪用されていなかったと誰が言いましたか?バグが公に知られている場合、熟練したブラックハットと比較して、犯罪市場での価値はなくなり、防御が容易になり、スクリプトキディ攻撃を阻止しやすくなります。 FDとRDについては無限のトピックがあり、多くの長所と短所があります。
既知のベンダーの反応の既知の方法を考慮に入れると、研究者がそのように行動するのは当然のことです。 「これ以上無料のバグはありません」という動きを忘れないでください。
パディングオラクルは何年も前から知られています。非常に多くのアプリが影響を受けるため、これは最善の努力による完全開示の状況です。 MyFacesは1年前に話されましたが、現在ASP.NETアプリ(DotNetNukeなど)が攻撃されています。
ITセキュリティ業界で何年にもわたって行われているのは、完全な開示と責任ある開示の議論の単なる別の繰り返しだと思います。それは個人的な意見の問題であり、それぞれの側に独自の長所があります。
各アプローチの長所と短所は次のとおりです。
完全開示:
プロ:
短所:
パッチがリリースされるまで、0日間はすべてのユーザーを危険にさらします
それは名声のためだけに行われるかもしれません
責任ある開示:
プロ:
ベンダーはそれが好きで、リソースを計画して割り当て、パッチをテストできます
危険にさらされているユーザーはいません(黒い帽子が見つからない場合)
ねえ、責任があるのはそのような前向きな言葉です;)
短所:
ベンダーはレポートを無視したり、パッチを遅らせたりする傾向があります
脆弱性はそこにあり、パッチが適用されていません
リスクを軽減する方法に関するユーザー向けの情報はありません
'に戻ると、ASP.NETはOracleの開示倫理を埋めていました。私の意見では、倫理的に正しいとにかく、研究者が決定した問題を開示することは、エクスプロイトのゼロデイ攻撃であれ、ベンダーへのプライベートメールであれ、または公開。あなたが彼らに同意しなくても、彼らの決定は通常よく考えられています。
間違ったアプローチは2つしかありません:発見された問題を忘れるか(深刻だと思われる場合)、闇市場で販売します。それとは別に、決定するのは研究者の唯一の特権です。
エクスプロイトの公開に対処する際に「倫理的」が実際に関与しているかどうかはわかりません。エクスプロイトは完全に非倫理的で完全に反社会的であるため、どのような犠牲を払ってもエクスプロイトを公開することは私には受け入れられるようです。完全に失敗した露出でさえ、エクスプロイトよりも非倫理的で反社会的ではありません。
私にとっては、「私を殺そうとしている人を殺すための良い方法はありますか?」と尋ねるようなものです。
私は開示の詳細に深く精通していませんが、私が知る限り、それは合理的な方法で処理されました。私は、開示に関連する倫理的な問題を認識していません。
たとえば、問題の存在と性質を開示することは完全に倫理的だったと思います。 @atdreが言及しているように、Oracle攻撃のパディングは何年も前から知られているため、ブラックハットはこの攻撃についてすでに知っている可能性があります。問題の深刻さと問題の規模の広さを考えると、Wordを迅速に出すことが重要でした。ですから、私は研究者たちが間違ったことを何も知りません。
彼らがどのように開示を処理したかについて、倫理的な問題が頭に浮かんだと思う場合は、それが何であったかを詳しく説明することをお勧めします。