ICANN: Раскрытие данных об уязвимости в DNS без уведомления поставщиков услуг недопустимо

ICANN: Раскрытие данных об уязвимости в DNS без уведомления поставщиков услуг недопустимо

ICANN выпустила руководящие принципы для разработчиков, которые обнаруживают и сообщают об уязвимостях в DNS.

Организация ICANN представила новые правила для исследователей в области информационной безопасности, которым они должны следовать при раскрытии информации об обнаруженных уязвимости в DNS.

Новые принципы не рекомендуют публичное раскрытие информации об обнаруженной уязвимости. Это допустимо только в том случае, когда поставщика услуг DNS уведомили о бреши и он выпустил исправления для нее.

В ICANN отмечают, что если поставщик никак не реагирует на данные об обнаруженной уязвимости, то тогда IT-специалисту следует обратиться в CERT, либо напрямую в ICANN.

Если уязвимость касается корневых серверов доменных имен, то эту проблему будут лично решать представители ICANN. Они обязаны провести предварительную оценку уязвимости, решить вопрос в течение двух недель и предоставить необходимые обновления.

Стоит отметить, что перед публичным раскрытием подробностей об уязвимости в DNS, ICANN будет ожидать от поставщиков услуг подробный отчет об обнаруженной бреши. Это связано с тем, что в 2008 году IT-специалист Дэн Камински (Dan Kaminsky) обнаружил в DNS серьезную ошибку. Основная опасность уязвимости заключалась в том, что с ее помощью злоумышленники могли бы перенаправить трафик практически с любого web-адреса на свои серверы.

В то время американская CERT опубликовала данные об уязвимости, однако не полностью раскрыла, как она работает. Из-за неточностей в результате использования уязвимости злоумышленниками пострадало 37 поставщиков услуг.

Бэкап знаний создан успешно!

Храним важное в надежном месте

Синхронизируйтесь — подпишитесь