Защита от хакеров корпоративных сетей
Шрифт:
· Каждая из этих категорий требует специального подхода к составлению сообщения об уязвимости, соответственно влиянию последней на ресурсы пользователя.
· Сообщение, направляемое производителю, должно содержать как можно более полную информацию. Недостаток сведений затрудняет процесс устранения уязвимости, а в некоторых случаях производитель даже не станет этим заниматься.
Какие подробности следует опубликовать
· Стоит тщательно оценить
· Сообщение о проблемах безопасности связано с определенным риском, который нужно осознавать. Можно столкнуться с судебным преследованием со стороны производителя. Можно также вызвать панику в рядах обычных пользователей.
· Следует быть особо осторожным при обнародовании способов обхода механизма защиты авторского права, так как в настоящее время эти вопросы не урегулированы окончательно законом.
Часто задаваемые вопросы
Вопрос: Как убедиться, что безопасность моей системы соответствует современным стандартам?
Ответ: Лучше всего подписаться на рассылку Buqtraq, отправив пустое сообщение по адресу [email protected]. После подтверждения подписки вы начнете получать сообщения.
Информацию о проблемах безопасности операционной системы Windows можно получить в рассылке NTBugtraq. Чтобы подписаться на нее, отправьте сообщение по адресу [email protected]. В теле письма должна быть помещена фраза «SUBSCRIBE ntbugtraq Firstname Lastname», где в поле Firstname указывается ваше имя, а в поле Lastname – ваша фамилия.
Вопрос: Как понять, вызвано ли уязвимостью обнаруженное отклонение от обычной работы системы, если у меня нет времени на проведение детальных исследований? Ответ: Сообщение о неисследованной или сомнительной уязвимости можно отправить в рассылку vuln-dev по адресу [email protected]. Она создана специально для сообщений о потенциальных проблемах безопасности от пользователей, не имеющих времени, желания или навыков самостоятельно исследовать дефект. Для подписки на эту рассылку нужно отправить пустое сообщение по адресу [email protected]. Затем требуется подтвердить свою подписку. Следует помнить, что, отправляя письмо о потенциальной или неисследованной уязвимости, вы делаете эту информацию достоянием широкой публики.
Вопрос: В процессе проверки моей системы на наличие
Вопрос: Можно ли тестировать на уязвимость чужие системы? (Например, можно ли протестировать на безопасность почтовый сервис Hotmail?) Ответ: В большинстве стран, включая США, противозаконно даже пытаться проникнуть в чужую систему, даже если вас интересует всего лишь степень ее уязвимости. Ведь таким образом можно случайно повредить ее или оставить открытой для атак, а кроме того, получить доступ к конфиденциальной информации. Перед тестированием чужой системы следует получить письменное разрешение на подобные действия. Это разрешение должно быть дано владельцем системы, которую вы планируете «атаковать». Нужно также связаться с человеком, который будет следить за состоянием системы в процессе испытаний и сможет восстановить ее работоспособность после ваших испытаний. Если вы не можете найти человека, который разрешил бы вам протестировать свою систему, можно послать запрос в рассылку vuln-dev. Члены подобных рассылок обычно более благоприятно реагируют на подобные вещи. Что же касается таких сервисов, как почтовая служба Hotmail, их несанкционированное тестирование может даже привести к вашему аресту за нарушение DMCA.
Вопрос: Попытавшись сообщить производителю о проблемах безопасности, я получил ответ, что сначала требуется заключить контракт на обслуживание. Что делать в таких случаях? Ответ: Все равно попытайтесь позвонить в отдел обслуживания клиентов и объяснить, что обнаруженная вами уязвимость может создать проблемы их клиентам. Если это не сработает, попытайтесь найти клиента, у которого имеется контракт на обслуживание. Для подобного поиска можно использовать открытые форумы, посвященные обсуждению соответствующего программного продукта или услуги. Если и эта попытка не увенчается успехом, вы имеете полное право сделать информацию о найденной уязвимости доступной для широкой публики.