Walaupun usaha terbaik organisasi untuk menghasilkan perkhidmatan yang berjalan dengan sempurna dan selamat, bug perisian boleh dan berlaku, dan sesetengahnya lebih serius daripada yang lain.


Kadang-kadang pepijat ini tidak dapat dikesan walaupun oleh pasukan keselamatan yang paling berpengalaman, berpotensi menghasilkan produk yang menjejaskan keselamatan digital penggunanya dan menyebabkan mereka terdedah kepada cyberattacks. Banyak syarikat menubuhkan program bounty bug untuk mendapatkan penyiasat keselamatan siber untuk membantu mereka mencari kerentanan yang mungkin mengintai tidak dapat dikesan dalam sistem mereka.

Pada asasnya, penyelidik menggagalkan (beretika) ke dalam sistem vendor untuk cuba mengeksploitasi kelemahan yang mungkin ada. Sekiranya penyelidik mendapati kelemahan yang menimbulkan risiko yang cukup besar, penyelidik boleh mengumpul karunia pepejal bernilai beratus-ratus dolar, atau bahkan beratus-ratus ribu dolar, bergantung kepada keterukan pepijat yang ditemui. Pemburu banjir yang kerap kali sering bertindak sebagai wira tanpa nama yang menjaga pertahanan keselamatan siber bertanggungjawab untuk memastikan keselamatan pengguna digital.

Apa yang berlaku, sekiranya organisasi tidak bersetuju dengan penyelidik keselamatan siber atas keterukan kelemahan yang ditemui oleh penyelidik? Apa yang berlaku apabila organisasi cuba mengelakkan akauntabiliti dengan melarang penyelidik dari mendedahkan penemuannya secara terbuka, atau hanya bersetuju untuk membayar karunia pepejal dengan syarat peneliti itu secara terbuka diam tentang kerentanan? Apabila ini berlaku, keselamatan digital pengguna dan privasi peribadi boleh dirasai dengan serius.

Program bounty bug adalah penting untuk menjaga sistem yang menjalankan perisian dan aplikasi pengguna menggunakan setiap hari dengan selamat dan berfungsi dengan baik. Mereka memberi insentif penyelidik keselamatan siber dan penggodam beretika untuk maju ke hadapan dan mencari kelemahan. Ia menjadi alasan bahawa menghendaki pemburu banjir yang melampau untuk menandatangani perjanjian bukan pendedahan (NDA) juga merupakan cara yang penting dan berkesan untuk mencegah apa-apa kelemahan yang berpotensi serius daripada didedahkan secara terbuka dan dieksploitasi sebelum ditambal.

Iaitu, peruntukan NDA yang menghalang seorang penyelidik daripada mendedahkan kerahsiaan secara terbuka boleh, sebagai contoh, memberikan insentif yang sedikit untuk sebuah syarikat untuk menyelesaikan masalah dengan betul, meninggalkan pengguna yang terdedah kepada pelbagai ancaman cybert.

Penyelidik keselamatan dan pemburu buli bug melakukan pekerjaan yang besar untuk memegang tanggungjawab syarikat untuk memastikan pengguna mereka selamat dan terjamin. Tetapi apabila syarikat terlibat dalam taktik NDA yang dipersoalkan dengan para penyelidik keselamatan untuk memikirkan akauntabiliti, keselamatan pengguna boleh diletakkan pada risiko yang besar.

Memandangkan gelombang terbaru pelanggaran data berprofil tinggi dan kekangan keselamatan utama yang melibatkan beberapa nama terbesar dalam teknologi, orang awam berhak lebih akauntabiliti dari syarikat yang mereka percayai dengan maklumat mereka. Para penggubal undang-undang di seluruh dunia telah mula merosakkan industri dan telah merangka undang-undang yang bertujuan untuk melindungi pengguna sambil memegang syarikat-syarikat teknologi yang bertanggungjawab terhadap bagaimana mereka mengendalikan data sensitif. Eksekutif eksekutif industri seperti Facebook Mark Zuckerberg, Bill Gates Microsoft, dan Tim Cook Apple semua mengakui perlunya perlindungan privasi pengguna yang lebih baik serta akauntabiliti yang lebih besar untuk syarikat. Pada masa yang sama, pengguna menjadi semakin tidak percaya bagaimana syarikat menguruskan data peribadi mereka.

Memandangkan trend ini, pengendalian Zoom terhadap penzahiran keselamatan penyelidik siber terhadap beberapa kelemahan yang serius dalam aplikasi persidangan video adalah membingungkan. Pada bulan Mac, penyelidik cybersecurity Jonathan Leitschuh menghubungi Zoom untuk memaklumkan syarikat tiga kelemahan keselamatan utama yang ada dalam aplikasi persidangan video untuk komputer Mac. Sebagai tambahan kepada pepijat yang membenarkan penyerang berniat jahat untuk melancarkan serangan penafian perkhidmatan (DOS) pada mesin pengguna, dan pepijat yang meninggalkan pelayan web setempat dipasang di Mac pengguna walaupun selepas menyahpasang aplikasi Zoom, Leitschuh juga mendapati sebuah kerentanan membimbangkan yang membiarkan entiti pihak ketiga yang berniat jahat dari jauh dan secara automatik membolehkan mikrofon dan kamera pengguna Mac yang tidak curiga.

Menurut catatan blog Leitschuh, Zoom terus menurunkan keterukan kelemahan semasa perbincangan berterusan. Leitschuh memberikan Zoom tetingkap standard 90 hari industri untuk menyelesaikan isu sebelum meneruskan pendedahan awam. Dia juga menyediakan Zum dengan apa yang dia panggil penyelesaian "penyelesaian cepat" untuk sementara menambal kelemahan kamera ketika syarikat itu selesai bekerja pada pembaikan tetap. Semasa mesyuarat sebelum tarikh akhir pendedahan awam 90 hari, Zoom mempersembahkan Leitschuh dengan pembetulannya yang dicadangkan. Walau bagaimanapun, penyelidik dengan cepat menunjukkan bahawa penyelesaian yang dicadangkan itu tidak mencukupi dan mudah dilalui melalui pelbagai cara.

Pada akhir tarikh pendedahan awam 90 hari, Zoom melaksanakan penyelesaian "penyelesaian cepat" sementara. Leitschuh menulis dalam catatan blognya:

"Pada akhirnya, Zoom gagal dengan cepat mengesahkan bahawa kerentanan yang dilaporkan sebenarnya wujud dan mereka gagal untuk menetapkan masalah yang diberikan kepada pelanggan tepat pada masanya. Organisasi dari profil ini dan dengan pangkalan pengguna yang besar sepatutnya lebih proaktif dalam melindungi pengguna mereka daripada serangan."

Dalam sambutan awalnya kepada pendedahan awam di blog syarikat, Zoom enggan mengakui keterukan kelemahan video itu dan "pada akhirnya ... memutuskan untuk tidak mengubah fungsi aplikasi." Walaupun (hanya selepas menerima tindak balas awam yang ketara berikutan penzahiran itu) Zoom bersetuju untuk menghapuskan pelayan web setempat yang membuat eksploit mungkin, respons awal syarikat bersama dengan akaun Leitschuh tentang bagaimana Zoom memilih untuk menangani pendedahan yang bertanggungjawabnya mendedahkan bahawa Zoom tidak mengambil masalah dengan serius, dan tidak mempunyai minat untuk menyelesaikannya dengan betul ia.

Senyap

Zoom telah cuba untuk membeli kesunyian Leitschuh mengenai isu ini dengan membenarkannya mendapat manfaat daripada program hadiah lancar syarikat hanya dengan syarat bahawa dia menandatangani NDA yang terlalu ketat. Leitschuh menolak tawaran itu. Zoom berpendapat bahawa penyelidik ditawarkan karunia kewangan tetapi menolaknya kerana "istilah tanpa pendedahan". Apa yang Zoom diabaikan adalah bahawa istilah-istilah khusus bermakna Leitschuh akan dilarang daripada mendedahkan kelemahan walaupun selepas ditambal dengan betul. Ini akan memberi insentif sifar Zoom untuk menembusi kerentanan syarikat ditolak sebagai tidak penting.

NDAs adalah amalan biasa dalam program bounty bug, tetapi menuntut kesunyian kekal dari penyelidik adalah sama dengan membayar wang yang hush dan akhirnya tidak memberi manfaat kepada penyelidik, dan tidak memberi faedah kepada pengguna, atau orang awam secara umum. Peranan NDA adalah untuk memberi syarikat masa yang munasabah untuk menangani dan memperbaiki kerentanan sebelum ia terdedah kepada orang ramai dan berpotensi dieksploitasi oleh penjenayah siber. Syarikat-syarikat mempunyai harapan yang tidak dapat didedahkan ketika bekerja untuk memperbaiki kerentanan, tetapi terutama untuk manfaat pengguna, bukan terutama untuk menyelamatkan muka di mahkamah pendapat umum. Para penyelidik, sebaliknya, mempunyai jangkaan yang munasabah untuk ganjaran kewangan, serta untuk pengakuan orang awam atas usaha mereka. Pengguna mempunyai jangkaan munasabah bahawa syarikat yang produknya mereka gunakan melakukan segala yang mereka dapat untuk memastikan privasi mereka. Akhirnya, orang ramai mempunyai hak yang munasabah untuk mengetahui apa kelemahan keselamatan dan apa yang sedang dilakukan untuk melindungi pengguna dari ancaman siber, dan apa yang boleh dilakukan oleh pengguna untuk melindungi diri mereka sendiri.

Keutamaan yang bertentangan

Ia akan menjadi sukar untuk Zoom untuk menangani keadaan ini lebih buruk daripada yang dilakukan. Syarikat itu sangat tertumpu untuk mencipta pengalaman pengguna yang lancar bahawa ia benar-benar kehilangan pandangan kritikal untuk melindungi privasi pengguna. "Video adalah pusat pengalaman Zoom. Platform pertama video kami adalah manfaat utama kepada pengguna kami di seluruh dunia, dan para pelanggan kami telah memberitahu kami bahawa mereka memilih Zoom untuk pengalaman komunikasi video tanpa frasa kami, "kata syarikat itu dalam sambutannya. Tetapi Zoom terpaksa memasang pelayan web tempatan di latar belakang pada komputer Mac yang dengan berkesan melangkau ciri keselamatan dalam pelayar web Safari untuk memudahkan pengalaman video "tanpa geseran" ini untuk penggunanya. Ciri keselamatan Safari yang berkenaan memerlukan pengesahan pengguna sebelum melancarkan aplikasi pada Mac. Penyelesaian Zoom untuk ini adalah untuk memintasnya secara sengaja dan meletakkan privasi penggunanya pada risiko untuk menyelamatkannya satu atau dua klik.

Hanya selepas tindak balas awam yang diterima selepas pendedahan syarikat mengambil tindakan bermakna. Tanggapan awal syarikat itu mencadangkan bahawa ia tidak berniat mengubah fungsi aplikasi walaupun berdasarkan kelemahan yang signifikan aplikasi itu harbored. Nampaknya syarikat itu bersedia untuk memprioritaskan pengalaman pengguna terhadap keselamatan pengguna. Walaupun pengalaman pengguna yang lancar tidak dapat direalisasikan untuk sebarang aplikasi dalam talian, tentunya tidak boleh dibelanjakan dengan mengorbankan keselamatan dan privasi.

Kepada syarikat itu, pengasas bersama dan Ketua Pegawai Eksekutif Eric S. Yuan kemudian mengakui bahawa Zoom mengendalikan keadaan yang buruk dan komited untuk melakukan yang lebih baik ke depan. Yuan menyatakan dalam catatan blog bahawa "kita salah mengesahkan keadaan dan tidak bertindak balas dengan cepat - dan itu pada kita. Kami mengambil pemilikan penuh dan kami telah banyak belajar. Apa yang saya boleh katakan ialah keselamatan pengguna kami sangat serius dan kami sepenuh hati komited untuk melakukan hak oleh pengguna kami, "sambil menambah bahawa" proses peningkatan semasa kami jelas tidak cukup baik dalam hal ini. Kami telah mengambil langkah-langkah untuk memperbaiki proses kami untuk menerima, meningkatkan, dan menutup gelung untuk semua kebimbangan yang berkaitan dengan keselamatan masa depan. "

"kita salah menyalahkan keadaan dan tidak bertindak balas dengan cepat - dan itu berlaku kepada kita.

Walau bagaimanapun, hakikatnya tetap ada yang penyelidik bersetuju dengan syarat NDA yang diberikan kepadanya oleh Zoom dan telah dilarang untuk mendedahkan penemuannya, kami mungkin tidak pernah mendengar apa-apa mengenai kelemahan itu. Lebih buruk lagi, syarikat itu mungkin tidak pernah membetulkan isu itu, meninggalkan jutaan pengguna terdedah kepada pencerobohan serius terhadap privasi.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me