2008-09-04

Responsible disclosure

Өнөөдөрхөн хэн нэгний үлдээсэн сэтгэгдэл миний эмзэглэж явдаг нэг зүйлийг хөндөж орхив. Энэ нь responsible disclosure буюу хариуцлагатайгаар мэдээллийг задлах тухай асуудал юм. Хэрэв та нэг програм хангамжид эсвэл системд аюулгүй байдлын алдаа эсвэл цоорхой илрүүлбэл яах ёстой вэ? Ер нь энэ тухай нь мэдэгдэх хэрэгтэй юу эсвэл нууцлах ёстой юу? Хэрэв мэдэгдэхээр бол яаж мэдэгдэх вэ? Хэрэв мэдэгдвэл та гэмт хэрэгтэн болохгүй байгаа? Энэ мэт асуултууд миний болон бусад аюулгүй байдлыг чухалд тооцдог хүмүүсийн санааг ихээр чилээдэг нь харагддаг.

Ажиглаад байхад аюулгүй байдлын мэдээллийг хэрхэн ил болгох талаар шилдэг гэх (дэлхийн) аюулгүй байдлын мэргэжилтнүүд олон янзын үзэл баримтлалтай байх ч бараг бүгд "responsible disclosure" байх хэрэгтэй гэж үздэг. Нэг жишээ авъя л даа. Сүүлд бидний мэдэх нөгөө нэг ноцтой DNS цоорхойг Dan Kaminsky гэх залуу илрүүлсэн. Тэрээр цоорхойг үнэхээр байгаа эсэхийг баттай мэдэж авсныхаа дараагаар шууд програм хангамж үйлдвэрлэгч компаниуд руу холбоо тогтоож цоорхойн талаар мэдээллэсэн. Засвар гарсан. Бүр сүүлд нь олон нийтэд зарласан. Хэрэв тэрээр илрүүлмэгцээ сэтгэл хөдлөлдөө автаад ч юм уу цоорхойн талаар олон нийтэд зарласан бол өнөөдөр юу болох байсныг хэн ч мэдэхгүй. Цоорхой засагдаагүй байна, янз бүрийн хүмүүс цоорхойн талаар мэдээлэлтэй болно, зарим нэг атгаг санаатан нь буруугаар ашиглана. Хэрэв Dan атгаг санаатан байсан бол цоорхойн талаар мэдээллийг дарж, өөрийн хорт үйл ажиллагаандаа ашиглах боломжтой байсан. Гэвч зөвхөн Dan үүнийг илрүүлж чадна гэсэн үг биш, маш олон авъяаслаг мэргэжилтнүүд байгаа. Яг үнэндээ энэ цоорхой бусдын адилаар санамсаргүй байдлаар л илэрсэн шүү дээ. Энэ бол ямар нэг хууль эрх зүйгээр биш харин ёс зүйгээр зохицуулагдаж хэвшсэн зүйл. Үүнд бас нэг дутагдал байдаг нь хэрэв компани мэдчихээд засвар хийхдээ хойрго хандвал яах вэ гэдэг асуудал. Зарим нэг компаниуд цоорхойг мэдчихээд хэдэн сар жилээр засахгүй явдаг, сонгодог жишээ нь Microsoft. Бас заримдаа програм хангамж үйлдвэрлэгчид мэдэгдэхгүй, эсвэл засвар гарахаас өмнө олонд мэдээлэх, цоорхойг ашиглах тохиолдол гардаг ба үүнийг zero day гэж нэрлэдэг.

Манай нөхцөлд яах вэ? Миний бодлоор бид "responsible disclosure" зарчмыг мөрдөх нь илүү оновчтой мэт санагддаг. Би өөрөө ч ямар нэг асуудал олвол түүнийгээ бататгаад, дараа нь түүнийг мэдээлэх, засварлах тал дээр хамтран ажиллахыг эрмэлздэг. Зарим тохиолдолд тухайн компанитай хэрхэн холбоо барих, тэр компани нь аюулгүй байдлын талаар ямар бодлоготой талаар мэдээлэл олох бараг боломжгүй байдаг. Жишээ нь, бидний сайн мэдэх Google компани өөрийн гэсэн аюулгүй байдлын бодлоготой бөгөөд түүнийгээ олон нийтэд нээлттэй байлгадаг. Үүндээ хэрхэн холбоо барих талаар маш ойлгомжтой оруулж өгсөн байдаг. Болдог бол манайхан ийм зүйлтэй болмоор байгаа юм. Бас дээрээс нь цоорхой илрүүлсэн хүний хөдөлмөрийг үнэлдэг, урамшуулдаг систем маш чухал. Эцэст нь манайхны аль дээрээс дуншаад байгаа CERT гэдэг байгууллага нь байгуулагдаад, ном журмынхаа дагуу үйл ажиллагаагаа явуулаад, мэдээллийн аюулгүй байдлын талаар олон нийтэд таниулах, мэргэжилтнүүдэд сургалт, зөвлөлгөө өгөх ажлаа хурдан эхлүүлчихвэл ч манай мэдээллийн аюулгүй байдлын асуудал арай өөр түвшинд гарах болов уу гэж найдах юм.

No comments: