– mühit metrikası (Environmental Score Metrics).
Hər bir metrika 0-dan 10-a kimi intervalda olan ədəddən (qiymətdən) və vektordan – qiymətin
hesablanması üçün istifadə edilən kəmiyyətlərin qısa mətn təsvirindən ibarətdir. Baza metrikası
boşluğun əsas xarakteristikalarını əks etdirir. Zaman metrikası boşluğun zamanla dəyişən
xarakteristikalarına, mühit metrikası – boşluğun istifadəçinin mühiti üçün unikal
xarakteristikalarına uyğundur.
CVSS boşluqların əsas xarakteristikalarını tutmağa imkan verir və onların kritikliyinə əsasən
ədədi qiymət çıxarır. Ədədi qiymətlər kəmiyyət qiymətlərinə çevrilir (təhlükəsiz, aşağı, orta,
yüksək və kritik).
Təhlükəsizlik
Base Score qiyməti
Təhlükəsiz
0.0
Aşağı
0.1 – 3.9
Orta
4.0 – 6.9
Yüksək
7.0 – 8.9
Kritik
9.0 – 10.0
Boşluqlar haqqında məlumatın açıqlanması
Kompüter sistemlərində boşluqlar layihələndirmə, reallaşdırma və istismar zamanı buraxılan
səhvlər nəticəsində meydana çıxır. Boşluqların xeyli hissəsini istehsalçı məhsulun yaradılması,
test edilməsi və müşaiyət edilməsi gedişində aşkarlayır, lakin onların
bir hissəsi müstəqil
tədqiqatçılar tərəfindən aşkarlanır. Boşluğu aşkarlayan şəxs məqsədlərindən, mənəvi
dəyərlərindən və digər amillərdən asılı olaraq müxtəlif davranış strategiyaları seçə bilər.
Boşluğun aşkarlanması, düzəlişlərin hazırlanması və boşluğun aradan qaldırılması
prosesi
qarşılıqlı əlaqədə olan üç tərəfin: tədqiqatçının, istehsalçının və istifadəçinin maraqlarında
münaqişə yaradır. İnformasiya təhlükəsizliyi boşluqları haqqında məlumatların açıqlanması
metodları informasiya təhlükəsizliyi ictimaiyyəti arasında mübahisələrə səbəb olur.
Keçən əsrin sonlarında istehsalçıların dəstəklədiyi əsas siyasət açıqlamama (ing. non-
disclosure) siyasəti idi, onu çox vaxt «susmaq yolu ilə təhlükəsizlik» (ing. security through
obscurity) adlandırırdılar.
Buna əks olaraq, bəzi mütəxəssislər boşluq tapılan kimi onun haqqında
məlumatın əlyetər mənbələrdə tam açıqlanmasını (ing. full-disclosure) təkidlə tələb edirlər. Ümid
edilir ki, bu yanaşma istehsalçıların təhlükəsizlik sahəsində fəallığını artıracaq və zəruri düzəlişlər
olduqda istifadəçilərə boşluğu müstəqil aradan qaldırmağa imkan verəcək.
Lakin tam açıqlama siyasətinin tənzimlənməyən istifadəsi ciddi ziyan vura bilər, çünki
bədniyyətlilər boşluqlar haqqında məlumatları,
bir qayda olaraq, istifadəçilərdən və
administratorlardan daha fəal istifadə edirlər.
Digər bir yanaşma bunu nəzərə alaraq, daha böyük riskə məruz
qalan istifadəçilərə boşluq
haqqında məlumat verilməsini, tam məlumatın isə yalnız müəyyən gecikmə ilə nəşr edilməsini və
ya heç nəşr edilməməsini məsləhət görür. Gecikmə məlumatlandırılan istifadəçilərə boşluğu
aradan qaldırmağa imkan verə bilər, lakin məlumat almayanlar baxımından riski artıra bilər.
Boşluq haqqında məlumatın açıqlanması üzrə bir sıra siyasətlər mövcuddur:
Rain Forest
Puppy (RFPolicy), CERT/CC Vulnerability Disclosure Policy, OIS Guidelines (Organization for
Internet Safety). RFPolicy siyasətinə əsasən boşluğu aşkarlayan şəxs bu barədə istehsalçıya e-
poçtla müvafiq məlumat göndərir. Məktubda açıqlama tarixi bildirilir və razılaşdırmaq tələb edilir
ki, istehsalçının düzəliş buraxmağa və ya boşluqdan qorunmaq üçün məsləhətlər verməyə imkanı
olsun. Istehsalçı, öz növbəsində həmin şəxslə əlaqə saxlamalı və onu problemin aradan
qaldırılması gedişi haqqında məlumatlandırmalıdır. Əgər beş gün başa çatdıqdan sonra istehsalçı
susursa, hansısa üsullarla öz istifadəçilərini çaşdırırsa və ya nəzakətsiz dialoqa girirsə, onda haker
təkrar məktub göndərir. Daha beş iş günü gözlədikdən sonra hakerin boşluq haqqında məlumatı
öz resursunda və ya digər açıq resurslarda yerləşdirmək hüququ var.
Qeyd etmək lazımdır ki, RFPolicy siyasətinin tələbləri kifayət qədər kəskindir,
digər
siyasətlərdə bu tələblər bir qədər yumşaldılır, məsələn, CERT/CC boşluq haqqında məlumatın
açıqlanması üçün 45 gün, OIS Guidelines isə 30 gün vaxt qoyur.
Dostları ilə paylaş: