Несмотря на все усилия организации по созданию службы, которая работает безупречно и является безопасной, ошибки в программном обеспечении могут и действительно иметь место, и некоторые из них более серьезны, чем другие.


Иногда эти ошибки могут остаться незамеченными даже самыми опытными группами безопасности, что может привести к созданию продукта, который подрывает цифровую безопасность своих пользователей и оставляет их подверженными кибератакам. Многие компании внедряют программы по вознаграждению за ошибки, чтобы привлечь исследователей кибербезопасности, чтобы помочь им найти уязвимости, которые могут скрываться незамеченными в их системах..

По сути, исследователь взламывает (этически) систему поставщика, чтобы попытаться использовать любые уязвимости, которые могут существовать. Если исследователь обнаруживает уязвимость, представляющую достаточно значительный риск, исследователь может получить вознаграждение за ошибки в сотни долларов или даже сотни тысяч долларов, в зависимости от серьезности обнаруженной ошибки. Охотники за головами часто выступают в роли незамеченных героев кибербезопасности, заставляя организации отвечать за обеспечение цифровой безопасности потребителей..

Что происходит, однако, когда организация не согласна с исследователем кибербезопасности по поводу серьезности уязвимости, обнаруженной исследователем? Что происходит, когда организация пытается избежать ответственности, запрещая исследователю публично раскрывать свои выводы, или соглашается выплатить вознаграждение за ошибку при условии, что исследователь публично хранит молчание об уязвимости? Когда это происходит, цифровая безопасность потребителей и личная конфиденциальность могут быть поставлены под серьезную угрозу.

Программы баунти-багов важны для обеспечения безопасности и правильной работы систем, в которых каждый день работают пользователи и приложения. Они побуждают исследователей кибербезопасности и этических хакеров выступать и находить уязвимости. Само собой разумеется, что требование от охотников за ошибками подписать соглашение о неразглашении (NDA) также является важным и эффективным способом предотвращения публичного раскрытия и использования любых потенциально серьезных уязвимостей до их исправления..

При этом положения NDA, препятствующие публичному раскрытию исследователем уязвимости, могут, например, дать мало стимулов для компании должным образом устранить ошибку, оставляя пользователей подверженными различным киберугрозам..

Исследователи безопасности и охотники за ошибками делают большую работу по привлечению компаний к ответственности за обеспечение безопасности своих пользователей. Но когда компании применяют сомнительную тактику NDA с ​​исследователями безопасности, чтобы обойти эту ответственность, безопасность пользователей может быть подвергнута значительному риску.

В свете недавней волны громких утечек данных и серьезных нарушений безопасности, связанных с некоторыми из крупнейших технологических имен, общественность заслуживает гораздо большей ответственности со стороны компаний, которым они доверяют свою информацию. Законодатели по всему миру начали расправляться с отраслью и разрабатывали законопроекты, направленные на защиту потребителей, в то же время заставляя технологические компании отвечать за то, как они обрабатывают конфиденциальные данные. Топ-менеджеры отрасли, такие как Марк Цукерберг из Facebook, Билл Гейтс из Microsoft и Тим Кук из Apple, признали необходимость лучшей защиты конфиденциальности потребителей, а также лучшего чувства ответственности перед компаниями. В то же время потребители все больше не доверяют тому, как компании управляют своими личными данными..

Учитывая эту тенденцию, работа Zoom с ответственным раскрытием несколькими серьезными уязвимостями в своем приложении для проведения видеоконференций исследователем кибербезопасности вызывает недоумение. В марте исследователь кибербезопасности Джонатан Лейтшух связался с Zoom, чтобы уведомить компанию о трех основных уязвимостях в безопасности, существующих в приложении для видеоконференций для компьютеров Mac. Помимо ошибки, которая позволяла злоумышленнику запустить атаку типа «отказ в обслуживании» (DOS) на компьютере пользователя, и ошибки, из-за которой локальный веб-сервер оставался установленным на Mac пользователя даже после удаления приложения Zoom, Лейтшух также обнаружил Чрезвычайно тревожная уязвимость, которая позволила злонамеренному стороннему объекту удаленно и автоматически включить ничего не подозревающий микрофон и камеру пользователя Mac.

Согласно сообщению Leitschuh в блоге, Zoom постоянно преуменьшал степень уязвимости во время продолжающихся переговоров. Leitschuh предоставил Zoom стандартное 90-дневное окно, в котором можно решить проблемы, прежде чем приступить к публичному раскрытию. Он даже предоставил Zoom то, что он назвал «быстрым исправлением», для временного исправления уязвимости камеры, пока компания закончила работу над развертыванием постоянного исправления. Во время встречи, предшествующей 90-дневному сроку публичного раскрытия, Zoom представил Leitschuh предложенное исправление. Тем не менее, исследователь поспешил указать, что предложенное решение было неадекватным и могло быть легко обойдено различными способами..

В конце 90-дневного срока публичного раскрытия информации Zoom внедрил временное решение «быстрого исправления». Leitschuh написал в своем блоге:

"В конечном счете, Zoom не удалось быстро подтвердить, что обнаруженная уязвимость действительно существовала, и им не удалось своевременно устранить проблему. Организация этого профиля и с такой большой базой пользователей должна была быть более активной в защите своих пользователей от атак."

В своем первоначальном ответе на публичное раскрытие информации в блоге компании Zoom отказался признать серьезность уязвимости видео и «в конечном итоге ... решил не изменять функциональность приложения». Хотя (только после получения значительной публичной обратной реакции после раскрытия) Zoom согласился полностью удалить локальный веб-сервер, который сделал возможным использование эксплойта. Первоначальный ответ компании вместе с отчетами Лейчуха о том, как Zoom решил обратиться к его ответственному раскрытию, показывает, что Zoom не воспринимал проблему всерьез и мало интересовался правильным решением Это.

Соблюдайте тишину

Zoom попытался купить молчание Лейтшу по этому вопросу, позволив ему воспользоваться программой вознаграждения за ошибки в компании только при условии, что он подписал чрезмерно строгий NDA. Leitschuh отклонил предложение. Zoom утверждал, что исследователю предложили финансовую награду, но отклонил ее из-за «условий неразглашения». Что Zoom не упомянул, так это то, что конкретные термины означали, что Leitschuh было бы запрещено раскрывать уязвимости даже после того, как они были исправлены. Это дало бы Zoom нулевой стимул для исправления уязвимости, которую компания отклонила как незначительную..

Соглашения о неразглашении являются обычной практикой в ​​программах по борьбе с ошибками, но требование постоянного молчания от исследователя сродни выплате скрытых денег и, в конечном счете, не приносит пользы исследователю, равно как и пользователям, или общественности в целом. Роль NDA должна заключаться в том, чтобы предоставить компании разумное количество времени для устранения и устранения уязвимости до того, как она будет открыта для общественности и потенциально может быть использована злоумышленниками. Компании разумно ожидают неразглашения, работая над устранением уязвимости, но в первую очередь в интересах пользователя, а не ради сохранения лица в суде общественного мнения. Исследователи, с другой стороны, ожидают денежного вознаграждения, а также общественного признания своих усилий. Пользователи разумно ожидают, что компании, чьи продукты они используют, делают все возможное для защиты своей конфиденциальности. Наконец, общественность имеет разумное право знать, какие существуют уязвимости в безопасности и что делается для защиты потребителей от киберугроз и что потребители могут сделать, чтобы защитить себя.

Конфликтующие приоритеты

Для Zoom было бы трудно справиться с этой ситуацией хуже, чем она. Компания была настолько сосредоточена на создании беспрепятственного взаимодействия с пользователем, что полностью упустила из виду критическую важность защиты конфиденциальности пользователей. «Видео занимает центральное место в Zoom. Наша видео-первая платформа является ключевым преимуществом для наших пользователей во всем мире, и наши клиенты сказали нам, что они выбирают Zoom для нашего опыта видеосвязи без трения », - заявила компания в своем ответе. Но Zoom прибегнул к установке локального веб-сервера в фоновом режиме на компьютерах Mac, который эффективно обошел функцию безопасности в веб-браузере Safari, чтобы упростить эту «беспроблемную» работу с видео для своих пользователей. Данная функция безопасности Safari требовала подтверждения пользователя перед запуском приложения на Mac. Решением Zoom было намеренно обойти его и поставить под угрозу конфиденциальность своих пользователей, чтобы спасти их одним или двумя щелчками мыши..

Только после публичной реакции, полученной после раскрытия, компания предприняла значимые действия. Первоначальный ответ компании предполагал, что она не намерена менять функциональность приложения даже в свете значительных уязвимостей, которые скрыто в приложении. Похоже, что компания была готова расставить приоритеты для пользователей над безопасностью пользователей. Хотя бесперебойное взаимодействие с пользователем, несомненно, полезно для любого онлайн-приложения, оно, безусловно, не должно идти в ущерб безопасности и конфиденциальности..

К чести компании, соучредитель и генеральный директор Эрик С. Юань позже признал, что Zoom плохо справлялся с ситуацией и стремился к лучшему в будущем. Юань заявил в своем блоге, что «мы неправильно оценили ситуацию и не ответили достаточно быстро - и это на нас. Мы берем на себя полную ответственность и многому научились. Что я могу вам сказать, так это то, что мы очень серьезно относимся к безопасности пользователей и искренне стремимся к тому, чтобы наши пользователи поступали правильно », добавив также, что« наш текущий процесс эскалации явно не был достаточно хорошим в этом случае. Мы предприняли шаги для улучшения нашего процесса получения, эскалации и закрытия цикла по всем будущим проблемам безопасности ».

"мы неправильно оценили ситуацию и не ответили достаточно быстро - и это на нас.

В конечном счете, хотя и остается реальность, если бы исследователь согласился с условиями NDA, предоставленными ему Zoom, и ему было запрещено разглашать свои выводы, мы, вероятно, никогда не слышали об этой уязвимости. Что еще хуже, компания, вероятно, никогда не решала проблему, оставляя миллионы пользователей уязвимыми для серьезного вторжения в частную жизнь..

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me