|
注册忘记密码

黑客论坛,黑客工具,黑客教程,QQ技术,黑客基地,黑客网络,黑客软件,黑客联盟,免杀,远控,ddos,cc,黑客攻防,黑客编程,黑客定位,手机定位,微信定位,hack,黑客网站,查开房,定位,信息查询

查看: 17736|回复: 0

[渗透技术文章] CERT目前采取的工作流程

[复制链接]
   0 UID
   0帖子
   0精华
21
   0威望
500
   0金币
46712
   0贡献
5000
   0阅读权限
   200
   积分
   0
   在线时间
   638 小时
   最后登录
   2020-9-24
发表于 2020-2-5 21:56:21 | 显示全部楼层 |阅读模式
      在讨论软件漏洞的正当揭秘行为时,首先需要提到的是此类事宜的管理机构:CERT协调中心(CERT Coordination Center,CERT/CC)。CERT/CC是由联邦提供经费支持的一个研发机构,专注于Intemet安全及相关问题的研发。CERT/CC创建于1988年,当时是为了应对Intemet上的第一次病毒大爆发。多年来该组织不断地发展演化,承担了越来越多的责任,包括为公开和交流技术漏洞建立和维护业界标准。在2000年,该机构发布了—项策略i其中概述了在将软件漏洞信息发布给公众时的做法,但这种做法是否合适仍然存在争议。该策略包括以下方面:
    在报告给CERT/CC后的45天内,将公开完整的黑客漏洞信息。即使软件供应商没能开发出补丁或者适当的补救措施,这个时间范围也不会改变。唯一例外的情况是,威胁十分严重,或者需要修改某个标准。
     CERT/CC将把漏洞立即通知给软件供应商,以便其尽快给出解决方案。除问题描述外,CERT/CC还会将报告漏洞的人员的姓名一起公布,除非报告人明确要求不公开自己的姓名。
     45天内,CERT/CC将把漏洞的当前状态告知报告人,但不会泄露任何机密信息。
     CERT/CC表示,它们创建这个黑客漏洞策略的明确目的在于将潜在的威胁通知公众,同时给软件供应商留出适当的时间来解决问题。该独立机构还进一步指出,向公众公开漏洞信息的
所有决定是在考虑整个群体的最大利益后做出的。
    45天这个时间范围引起了一些争议,因为用户们普遍认为漏洞信息的这个保密时间有些太久了。而另一方面,软件供应商却要承受在短时间内创建解决方案的压力,而且报道产品缺陷的新闻出现之后,他们的声誉也要受到冲击。CERT/CC最终得出结论,45天足够软件供应商做好应对措施,同时也能兼顾用户的利益。
    当CERT/CC宣布他们的策略时,存在一个普遍的质疑:“如果真的没有可用的补丁为什么还要公开这些信息,之所以提出这个问题,是因为人们担心,如果在还没有可用补丁的情况下公开一个黑客漏洞,那么黑客将处于一个有利的位置,可以利用技术中的缺陷来攻陷用户的系统。:但是CERT/CC坚持认为,如果没有强制的最终日期,则供应商就没有足够的动力来解决问题。很多时候,软件开发商会等到后续版本发布时才提供漏洞的修复措施,这会使用户处于一个不利的位置。
    为兼顾供应商的利益及其解决问题的视角,CERT/CC采取了以下措施:
     CERT/CC将付出诚意和努力,在发布漏洞信息之前总是先通知他们,不会让他们措手不及。
     在严重的情况下,CERT/CC会寻求供应商的反馈,并在揭秘黑客漏洞的声明中包含这些反馈。当供应商不同意漏洞评估的结果时,也会同时发布供应商的观点,这样双方都有表达自己意见的机会。
     在公开漏洞信息前,将把信息发布给可能会受到影响的所有相关各方。可以接触到机密信息的各方包括漏洞涉及的供应商、可以提供有益见解的专家、Intemet安全联盟的成员,以及会被漏洞严重影响的群体。

       虽然在CERT开发并实现了其模型后,还有其他的模型问世,但是CERT通常仍然是bug发现者和供应商之间的“中间人”,它会致力于帮助相关各方尽快修复黑客漏洞,并强制涉及的各方满足一定的要求。



发表回复

您需要登录后才可以回帖 登录 | 注册会员 |

本版积分规则

快速回复 返回顶部 返回列表