Lettera aperta al Primo divulgazione della sicurezza dello Stato Super ri responsabili

Si tratta di una riproduzione della lettera inviata al Primo Stato Super oggi.
Sono stato disturbato a leggere la risposta di Super First State alla divulgazione etica di una grave vulnerabilità nel software finanziario da Patrick Webster mese scorso. Come un collega australiano software di sicurezza professionale, io sono preoccupato per il pericoloso precedente che questo set.
Come ci si può essere a conoscenza ormai, questo incidente ha guadagnato l'attenzione di tutto il mondo e come ci si anche essere consapevoli del fatto, la risposta del pubblico non è stato esattamente in di First State favore (fare riferimento al ricercatore di sicurezza minacciata di Bill riparazione delle vulnerabilità su Slashdot). Che cosa ha fatto Patrick - e che molti di noi - è fare uno sforzo cosciente per partecipare a ciò che è denominato "divulgazione responsabile". L'intento è di sensibilizzare l'organizzazione i rischi potenziali in loro software in maniera etica in modo che possano essere risanati prima di essere maliziosamente sfruttate. Come sembra essere nel caso di specie, spesso questi rischi sono semplicemente osservate dai clienti attenti alla sicurezza nel corso del loro uso legittimo del software.
La risposta usuale per conto del destinatario di divulgazione etica è uno di apprezzamento che un difetto imbarazzante nei loro software è stato identificato prima che il danno è fatto.Io non sto insinuando "apprezzamento" in nessun senso monetario, la stragrande maggioranza di noi vuole semplicemente rendere il Web un posto più sicuro senza alcuna aspettativa di ricompensa. Chiaramente è vantaggioso per il proprietario del software che tali vulnerabilità sono riportati eticamente e con buone intenzioni invece di essere sfruttato per il proprio tornaconto personale.
Risposta primo Stato fu molto insolita è per questo che ha raccolto tutta l'attenzione: ottenere la polizia e gli avvocati coinvolti, minacciare il ricercatore con costi di rettifica e quindi accedere domanda al suo materiale informatico. Questa è una risposta particolarmente irrazionale e irragionevole a qualcuno il cui intento era chiaramente quello di garantire la sicurezza dei vostri clienti e l'integrità della tua reputazione.
Ma la vera preoccupazione che ho, e il catalizzatore di questa lettera, è che le vostre azioni hanno creato un precedente molto preoccupante, quello che può causare onesto, etico individui a diventare paura di agire in buona fede. Il messaggio di questo invia è che è meglio semplicemente "guardare dall'altra parte" quando le vulnerabilità sono osservati. In effetti per le persone in posizione di Patrick, il messaggio che hai inviato con chiarezza dice che è meglio lasciare software vulnerabili e esposti a rischio di attività veramente dannosi piuttosto che privatamente e responsabilità informa coloro che hanno fallito nel loro compito di fissarlo correttamente in primo luogo. La tua posizione sembra essere quella di nascondere e punire, piuttosto che ad abbracciare e migliorare.
Il software edificio può essere un affare complesso e vulnerabilità di sicurezza esisterà sempre ad un certo livello nella progettazione. La maggior parte delle aziende abbracciare i contributi di sicurezza della comunità del software e alcune, come ad esempio Google , anche promuovere e premiare direttamente fonti private. Fortunatamente, Stato First pesante posizione è rara, come è dimostrato dal attenzione negativo che ha ricevuto.Informativa etici si spera futuro sono trattati in maniera più responsabile da parte dello Stato In primo luogo, non solo per il gusto di sicurezza dei vostri clienti ', ma in modo che coloro che disinteressatamente contribuire alla sicurezza di tutte le nostre attività online possono continuare a farlo.


Corso Visual Studio - Corsi Visual Studio
Corso .Net- Corso Dot.Net - Corso Vb.net
Corso C# - Corso PHP - Corso Joomla