Thursday, December 11, 2008 4:26 PM
levaja
Yahoo vs Responsible Disclosure Policy
S vremena na vreme, kolege i ja otkrijemo po neki bezbednosni propust na webu, u komercijalnom softveru i sl..
Nekada je to deo posla, kada npr. radimo Penetration Testing pa je pronalaženje "rupa" nešto što se podrazumeva, nekad slučajno primetimo problem dok koristimo aplikaciju ili krstarimo webom, a nekada to radimo i iz čiste dosade.
Koji god razlog bio u pitanju, kada se propust pronađe, red je da se vendor obavesti kako bi zaštitio svoje klijente time što će zakrpiti propust i pustiti update u opticaj. Nakon što vendor zvanično izda zakrpu, smatra se da je OK da researcher objavi detalje, ali i kulturnim da se vendor zahvali onima koji su ne samo pomogli da se problem otkrije, nego i bili korektni, pa nisu objavili detalje o propustu pre nego što su obavestili vendora ili prodali to što znaju (polu)legalnim marketima (ZDI i slični) ili nekim underground ekipama.
Da bi se ovi prilično osetljivi odnosi na relacji researcher <-> vendor nekako definisali, postoji inicijativa koja se zove "Responsible Disclosure Policy", trenutno RFC draft, koja omogućava i jednima i drugima uspostavljanje standardnog procesa saradnje i rešavanja problema tako da svi koji su u igri znaju pravila. Većina vendora profitira na saradnji uspostavljenoj na ovaj način ji s obzirom da postoji veliki broj ljudi koji rade testiranje za 0 EUR, tj. iz hobija.
Jedini profit koji researcheri imaju od svega ovoga je kada vendor objavi zahvalnicu, najčešće na svom sajtu, gde imenom i prezimenom pomene onoga koji je pronašao propust i pomogao da se isti prevaziđe.
RDP naravno definiše i ponašanje u slučaju da vendor odbije saradnju. Odijanje saradnje može imati nekoliko formi: vendor ne odgovara u predviđenom vremenu, proces krpljenja propusta traje više nego što je realno potrebno i slično.
Iako mislim da je ovo značajna tema i da sam trebao već da napišem par reči o istoj i bez nekog naročitog povoda, priznajem da sam iznerviran ponašanjem Yahoo-a koji ima čitavu istoriju neodgovaranja na mejlove kolega (i moje, između ostalih), a da pri tome naravno koristi obaveštenja koja dobija od security zajednice i u tišini krpi rupe. Korisnici Yahoo sajta/sajtova nisu ni svesni kakvih tamo bezbednosnih problema ima. Neprofesionalnost i neodgovornost su adekvatni termini da se opiše odnos Yahooa prema klijentima, a o tome kakav je odnos prema researcherima najbolje govori to što za razliku od Microsofta, Googlea i sličnih, Yahoo uopšte nema web stranicu posvećenu onima koji im štite klijente, čime stvaraju lažnu sliku o sebi kao o firmi koja nema bezbednosne propuste.
Dakle, povod za ovoliki post je to što sam 30.11. javio kompaniji Yahoo da imaju preko 100 (slovima: stotinu) potencijalnih XSS propusta na svom sajtu. Radi se o totalno lamerskom flash clicktag xss-u.
Pogađate: odgovor nisam dobio. Pogađajte još jednom: propuste su zakrpili. Istina, nisam probao svih 100 ;-)
POzzz!!!
P.S. ne bih da neko pomisli da je ovo jadikovka jadnog researchera koji eto radi za univerzalnu bezbednost Interneta i mir u svetu, a sve to volonterski :-D
Mi svakako koristimo kredite vendora u marketinške svrhe i profitiramo na tome, to nije sporno (tako valjda i treba, mora 'lebac da se jede od nečega).