Microsoft внедрила новую политику, требующую от всех сотрудников следования
подробно описанному ряду процедур при сообщении о уязвимостях в стороннем
оборудовании.
Правила – эволюция доктрины согласованного раскрытия уязвимостей, которая
была предложена в июле. Они предназначены для упрощения связи между участвующими
сторонами и для снижения вероятности того, что отчёты об уязвимостях будут
получены третьими лицами. Среди прочего, они обязывают сотрудников отсылать
личные уведомления организациям, выпустившим уязвимое программное обеспечение,
оборудование или услугу, и только потом публиковать сообщение для
общественности.
"Мы определенно поддерживаем позицию, что ни одна из найденных нами
уязвимостей не должна стать сюрпризом для производителя", - сказал старший
стратег по безопасности компании Microsoft Кэти Муссурис. "Мы следуем золотому
правилу раскрытия информации, направленному на защиту клиентов , потому что нет
никакого смысла повышать риск путем введения каких-либо универсальных
контрольных сроков".
Политика
применяется ко всем сотрудникам Microsoft и независимо от того, нашли ли они
уязвимости в свободное от работы время или в в ходе выполнения своих служебных
обязанностей. Правила направлены на отход от доктрины "ответственного
раскрытия", которую многие люди, работающие в сфере безопасности, считают
неприемлемой, потому что она подразумевает, что все, кто с ней не согласились –
поступают неправильно.
В соответствии с новой политикой, работники Microsoft, которые находят
уязвимости, должны сообщать о них лично третьей стороне-производителю.
Подходящий способ – зашифрованное письмо, отправленное по электронной почте, но
только после того, как работник определит нужного человека в составе работников
предприятия третьей стороны, который и получит доклад. Доклады должны включать
информацию о состоянии компьютера на момент обнаружения (дамп),
proofs-of-concept или эксплоит, причинно-следственный анализ происшествия, а
также другие технические детали.
"Любая информация об уязвимостях, предоставленная производителю,
предназначена не для публичной огласки, а для того, чтобы помочь производителю
выявить и устранить уязвимость", - говорится в правилах.
Microsoft начнет публикацию уведомлений об уязвимостях, выявленных
сотрудниками, предпочтительно только после того, как выявленные уязвимости уже
будут исправлены. Microsoft также сможет издавать рекомендации если компания
узнает, что уязвимость уже эксплуатируется, или в случае, если она не получит
никакой реакции от производителя.
Следуя этой политике, компания первоначально опубликует информацию о том,
когда и как она сообщит об уязвимостях в продуктах своих коллег, партнеров и
конкурентов. В июле команда по обеспечению безопасности Google издала менее
детализированные правила, в которых было сказано, что её члены будут давать
компании 60 дней на устранение уязвимостей перед тем, как они сообщат о них
общественности.
Microsoft в скором времени должна внедрить программу денежного вознаграждения
за найденные ошибки, которая компенсирует исследователям потраченное на работу
время. Google и Mozilla платят такие вознаграждения уже на протяжении многих
лет.
Группа Microsoft Vulnerability Research представила политику во вторник, то
есть в тот же самый день, когда она издала
два
бюллетеня о критических ошибках, которые были исправлены в браузерах Opera и
Google Chrome несколько месяцев назад. Они были обнаружены исследователями
компании Microsoft Дэвидом Вестоном и Ниранкуш Панчбхаи.