In der Computersicherheit ist volle Enthüllung (FD) die Enthüllung aller Details eines Sicherheitsproblems, die bekannt sind. Es ist eine Philosophie des Sicherheitsmanagements, das der Idee von der Sicherheit durch die Zweideutigkeit völlig entgegengesetzt ist. Das Konzept der vollen Enthüllung ist umstritten, aber nicht neu; es ist ein Problem für Schlosser seit dem 19. Jahrhundert gewesen.

Definition

Volle Enthüllung verlangt, dass volle Details einer Sicherheitsverwundbarkeit zum Publikum einschließlich Details der Verwundbarkeit bekannt gegeben werden, und wie man entdeckt und es ausnutzt. Die Theorie hinter der vollen Enthüllung besteht darin, dass die Ausgabe der Verwundbarkeitsinformation sofort auf schnellere üble Lagen und bessere Sicherheit hinausläuft. Üble Lagen werden schneller erzeugt, weil Verkäufer und Autoren gezwungen werden zu antworten, um ihr System vor potenziellen Angriffen zu schützen sowie ihr eigenes Image zu schützen. Sicherheit wird verbessert, weil das Fenster der Aussetzung, die Zeitdauer die Verwundbarkeit ist für den Angriff offen, reduziert wird.

Im Bereich der Computerverwundbarkeit wird Enthüllung häufig über Adressenlisten wie eine Volle Enthüllungsadressenliste und durch andere Mittel erreicht.

Verschiedene Interpretationen

Sogar unter denjenigen, die an die Enthüllung glauben, dort unterscheiden sich Policen darüber, wenn, zu wen, und wie viel man bekannt gibt.

Einige glauben, dass ohne irgendwelche öffentlichen Großtaten für das Problem voller und öffentlicher Enthüllung durch die Enthüllung der Verwundbarkeit gegenüber den Verkäufern oder Autoren des Systems vorangegangen werden sollte. Diese private Fortschritt-Enthüllung erlaubt der Verkäufer-Zeit, eine üble Lage oder workaround zu erzeugen. Diese Philosophie wird manchmal verantwortliche Enthüllung genannt.

Im Fall, dass ein Verkäufer benachrichtigt wird und wird eine üble Lage innerhalb einer angemessenen Frist nicht erzeugt, Enthüllung wird allgemein zum Publikum gemacht. Meinungen unterscheiden sich darauf, was eine angemessene Frist einsetzt. Fünf bis dreißig Tage sind typisch, obwohl die Periode eine Sache von Stunden sein konnte. Internetsicherheitssysteme wurden dafür weit kritisiert, weniger als acht Stunden vor dem Freigeben von Details einer Verwundbarkeit im HTTP Apachen-Server zu erlauben.

Beschränkte Enthüllung, ist eine alternative Annäherung, wo volle Details der Verwundbarkeit einer eingeschränkten Gemeinschaft von Entwicklern und Verkäufern zur Verfügung gestellt werden, während das Publikum nur über ein potenzielles Sicherheitsproblem informiert wird. Verfechter dieser Annäherung fordern auch den Begriff "verantwortliche Enthüllung".

Um die Meinungsverschiedenheit zu richten, schädliche Information zur allgemeinen Internetgemeinschaft einschließlich blackhats 2000 bekannt zu geben, hat Junger Regenwaldhund den RFPolicy entwickelt, der ein Versuch ist, den Prozess zu formalisieren, Verkäufer zu Sicherheitsproblemen in ihren Produkten zu alarmieren, und Richtlinien darauf zu gründen, was man tut, wenn der Verkäufer scheitert zu antworten.

Eine Herausforderung mit der "verantwortlichen Enthüllung" besteht darin, dass einige Verkäufer nicht antworten, oder unmäßig ihre Antwort zu Verwundbarkeitsberichten verzögern, die nicht öffentlich sind. So lange eine Verwundbarkeit dem Publikum nicht weit bekannt ist (mit genug Detail, um den Angriff wieder hervorzubringen), können sich Verkäufer weigern, die Verwundbarkeit zu befestigen oder sich zu weigern, ihm genug Vorrang zu geben, es wirklich zu reparieren. Leider hat Verwundbarkeit einem Verkäufer berichtet kann bereits ausgenutzt werden, oder kann bald von jemandem mit der Absicht entdeckt werden, sie auszunutzen. So setzen die meisten Sicherheitsforscher maximale Zeiten (wie 14 Tage oder 30 Tage) vorher völlig enthüllend eine Verwundbarkeit gegenüber dem Publikum, da sonst viele Verkäufer sogar kritische Verwundbarkeit in ihren Produkten nie befestigen würden. Viele Sicherheitsforscher zitieren den vorigen Misserfolg von Verkäufern, auf Verwundbarkeitsberichte als der Grund zu antworten, dass sie völlig Verwundbarkeit bekannt geben.

Geschichte

Das Thema der vollen Enthüllung wurde zuerst im Zusammenhang von locksmithing, in einer Meinungsverschiedenheit des 19. Jahrhunderts bezüglich aufgebracht, ob Schwächen in Schloss-Systemen heimlich in der locksmithing Gemeinschaft behalten werden sollten, oder dem Publikum offenbart haben.

Gemäß A. C. Hobbs:

Ein kommerzieller, und in etwas Hinsicht soziale Zweifel sind innerhalb des letzten Jahres oder zwei angefangen worden, ob es richtig ist, so offen die Sicherheit oder Unsicherheit von Schlössern zu besprechen. Viele gut gemeinte Personen nehmen an, dass die Diskussion, die Mittel respektierend, für die angenommene Sicherheit von Schlössern zu verwirren, eine Prämie für die Unehrlichkeit, durch die Vertretung von anderen anbietet, wie man unehrlich ist. Das ist ein Scheinbeweis. Schelme sind in ihrem Beruf sehr klug, und wissen bereits viel mehr, als wir sie unterrichten können, ihre mehrere Arten der Gaunerei respektierend.

</p>

Schelme haben ziemlich viel über die Schloss-Auswahl gewusst, lange bevor Schlosser sie unter sich besprochen haben, weil sie kürzlich getan haben. Wenn ein Schloss, lassen Sie, ist es in beliebigem Land, oder von beliebigem Schöpfer gemacht worden, ist nicht so unverletzlich, wie, wie man bisher gehalten hat, es gewesen ist, sicher ist es zum Interesse von ehrlichen Personen, diese Tatsache zu wissen, weil die unehrlichen erträglich gewiss die Kenntnisse praktisch anwenden werden; und die Ausbreitung der Kenntnisse ist notwendig, um schönes Spiel denjenigen zu geben, die durch die Unerfahrenheit leiden könnten.

Es kann nicht zu ernsthaft gedrängt werden, dass eine Bekanntschaft mit echten Tatsachen schließlich für alle Parteien besser sein wird. Vor einiger Zeit, als das Lesen-Publikum alarmiert wurde erzählt, wie Londoner Milch verfälscht wird, haben furchtsame Personen die Aussetzung unter der Entschuldigung missbilligt, dass es Weisungen in der Kunst erteilen würde, Milch zu verfälschen; eine eitle Angst, Milchmänner haben alle darüber vorher gewusst, ob sie es geübt haben oder nicht; und die Aussetzung hat nur Käufer die Notwendigkeit von der ein bisschen genauen Untersuchung und Verwarnung unterrichtet, sie verlassend, um dieser Notwendigkeit zu folgen, oder nicht, wie sie erfreut haben.

— A. C. Hobbs (Charles Tomlinson, Hrsg.), Schlösser und Safes: Der Aufbau von Schlössern. Veröffentlicht von Virtue & Co., London, 1853 (revidierter 1868).

</p>

Die volle Enthüllungsdebatte ist zum Leben durch die Unzufriedenheit an den Methoden zurückgekommen, die durch die Internetsicherheitsinfrastruktur am Anfang der 1990er Jahre verwendet sind. Softwaresicherheitsverwundbarkeit wurde CERT berichtet, der dann den Verkäufer dieser Software informieren würde. Die öffentliche Enthüllung des Loches würde nicht stattfinden, bis der Verkäufer einen Fleck bereitgemacht hatte, um es zu befestigen.

Jedoch, da die Enthüllungen privat waren, haben einige Verkäufer Jahre genommen, um eine üble Lage zu erzeugen, oder haben nie eine üble Lage überhaupt erzeugt. Inzwischen wurde die Verwundbarkeit durch Kräcker aktiv ausgenutzt. Verkäufer, die Warnungen ignorieren und sich auf die Unerfahrenheit von Angreifern verlassen, appellieren an die Sicherheit durch die Zweideutigkeit - jedoch gibt es einen festen Grundsatz, dass Zweideutigkeit als eine primäre Sicherheitsmaßnahme nie verwendet werden sollte, und an etwas Punkt-Verkäufer-Vertrauen auf der Zweideutigkeit ein betrügerischer falscher Bild der Sicherheit ihrer Produkte wird.

Seitdem CERT und die Verkäufer der Löcher bewusst waren, aber versucht haben, sie heimlich sogar den Verwaltern von Maschinen zu halten, die im Feld knacken werden, wurde es gefühlt, dass die Policen von CERT eine Manifestation eines unpraktischen, "elfenbeinerner Turm" Einstellung waren.

Als Antwort darauf wurden Adressenlisten und andere Alleen für die volle Enthüllung, namentlich die Volle Enthüllungsadressenliste gegründet.

Meinungsverschiedenheit

Volle Enthüllung kann umstritten sein, weil häufig diese Enthüllungen Code oder rechtskräftige Werkzeuge einschließen, um die Verwundbarkeit auszunutzen. Das Argument gegen die Enthüllung ist, dass die Versorgung ganzer Details oder Werkzeuge böswilligen Angreifern, wie schwarze Hüte und Schrift-Kindchen, ihnen erlaubt, die Verwundbarkeit schneller auszunutzen, und Angriffe weit verbreiteter macht. Jedoch nimmt dieses Argument an, dass ohne Enthüllung solche Werkzeuge und Angriffe nicht vorgekommen wären. Der Vorteil der Enthüllung besteht darin, dass weiße Hüte die Information erhalten werden, und dass die Verwundbarkeit entdeckt und schneller geflickt wird.

n3td3v wurde aus der Vollen Enthüllungsadressenliste am 21. Januar 2009 abgehalten. wie man denkt, wird n3td3v als Antwort auf seine weit verbreitete Kritik dessen verboten, was er als unverantwortliche Enthüllungsmethoden gesehen hat, die von einigen Sicherheitsforschern wie HD Moore ausgeführt sind. Einige haben das Verbieten von n3td3v als ein Angriff auf die Redefreiheit in einem E-Mail-Posten zur Liste am 31. August 2009 gesehen, während andere ihn anklagen, ein Internettroll zu sein.

Im August 2010 hat HD Moore ungefähr 40 Verwundbarkeit verbunden mit der DLL-Lastentführung in Windows-Anwendungen gefunden, die Rapid7 dabei war, unter seiner Verwundbarkeitsenthüllungspolitik zu veröffentlichen. Arcos, ein slowenisches Sicherheitsunternehmen, hat gefunden, dass derjenige Verwundbarkeit für iTunes verbunden hat und sich dafür entschieden hat zu veröffentlichen, ohne den Verkäufer zu alarmieren, sagend, dass "es gut" in der Vergangenheit nicht ausgezahlt hat, und "wir haben bessere Märkte für diese Art der Information gefunden".

Siehe auch

• MBTA gegen Anderson
• Sicherheitstechnik
• Der Grundsatz von Kerckhoffs
• Defensive, programmierend
• Das Knacken
• Das Hacken

Links

• Volle Enthüllungsdebatte-Bibliografie, durch das Datum
• Warum das Veröffentlichen des Großtat-Codes *generally* eine schlechte Idee ist, wenn Sie bezahlt werden, um zu schützen
• Volle Enthüllung und das Fenster der Aussetzung vom Kryptogramm von Bruce Schneier, September 2000
• Volle Enthüllung vom Kryptogramm von Bruce Schneier, November 2001
• Verwundbarkeit, vom Kryptogramm von Bruce Schneier, am 15. Februar 2000 veröffentlichend
• Adressenliste der vollen Enthüllung
• Matte Flamme, ist es schädlich, Sicherheitsverwundbarkeit zu besprechen? heruntergeladener Oktober 2005.
• Matt Mecham: Warum volle Enthüllung schlechter ist