Pengungkapan Kode Exploit

Salah satu dilema yang sedang berlangsung dalam penelitian keamanan komputer adalah berapa banyak informasi untuk mengungkapkan dan kapan. Pada umumnya diterima bahwa kode tidak tertulis (atau kadang-kadang ditulis, tapi tidak secara resmi diadopsi sebagai "standar") etik memaksa peneliti untuk memberitahu vendor produk yang cacat di swasta pertama dan memungkinkan mereka beberapa jumlah waktu yang wajar untuk mengatasi masalah ini sebelum mengumumkan kerentanan untuk umum.
Jika Anda mengikuti forum dan papan pesan tertentu seperti BugTraq Anda akan sering melihat rincian eksplisit dari berbagai kerentanan serta mengeksploitasi kode. Kode exploit sering ditulis sebagai bukti-konsep-dimaksudkan untuk menguji atau membuktikan keberadaan kerentanan daripada digunakan untuk jahat mengeksploitasi kerentanan. Namun, setelah dipublikasikan di Internet tidak ada cara untuk mengontrol penggunaan atau agar tidak sedang dikembangkan dengan maksud jahat.
Peneliti keamanan mengisi peran berharga dan diperlukan dalam dunia keamanan informasi-membantu vendor mengidentifikasi dan memperbaiki lubang keamanan sebelum lubang-lubang yang sama yang ditemukan dan dieksploitasi oleh programmer kurang teliti. Orang baik biasanya memberi vendor jumlah yang wajar waktu untuk menghasilkan sebuah patch atau update untuk memperbaiki masalah sebelum publik mengumumkan penemuan mereka.
Seringkali, kode eksploitasi dilepaskan pada saat itu juga. Sekali lagi, tujuannya adalah untuk tidak melakukan kerusakan sebanyak itu adalah untuk memungkinkan keamanan dan administrator jaringan sarana untuk menentukan apa mesin pada jaringan mereka mungkin rentan atau pengujian untuk cacat pada platform yang berbeda dan konfigurasi.
Dalam teori-karena vendor sudah diberitahu dan patch yang sesuai atau update keamanan tersedia untuk umum-ini harus menjadi "aman" yang harus dilakukan. Namun, banyak orang tidak menyadari atau hanya tidak mendapatkan sekitar untuk menerapkan perbaikan yang diperlukan dan karena itu ribuan mesin tetap rentan untuk diserang jahat menggunakan kode eksploit sekarang publik.
Sebagaimana dijelaskan dalam artikel ini SecuriTyFocus.com oleh Kevin Poulsen, terkenal peneliti keamanan dan penemu kerentanan seperti David Lichtfield Software NGS dan kelompok seperti putih-hat hacker LSD atau komputer perusahaan keamanan eEye semuanya secara sukarela memilih untuk menghentikan praktek merilis kode eksploitasi.