Въпреки най-добрите усилия на организацията да създаде услуга, която работи безупречно и е сигурна, софтуерни грешки могат и се появят, а някои са по-сериозни от други.


Понякога тези грешки могат да останат незабелязани дори от най-опитните екипи за сигурност, което потенциално води до продукт, който компрометира дигиталната сигурност на потребителите си и ги оставя изложени на кибератаки. Много компании създават програми за безвъзмездни грешки, за да привличат изследователи за киберсигурност, за да им помогнат да намерят уязвимости, които могат да дебнат неоткрити в техните системи.

По същество изследователят хаква (етично) в системата на доставчика, за да се опита да използва всички уязвими места, които могат да съществуват. Ако изследователят открие уязвимост, която представлява достатъчно значителен риск, изследователят може да събере бонус на стойност грешки на стойност сто долара или дори стотици хиляди долари, в зависимост от тежестта на открития бъг. Ловците на бунтове често действат като неприкрити герои на киберсигурността, поддържайки организациите отговорни за гарантиране на цифровата сигурност на потребителите.

Какво се случва обаче, когато една организация не е в разрез с изследователя по киберсигурност по отношение на тежестта на уязвимостта, разкрита от изследователя? Какво се случва, когато дадена организация се опита да избегне отчетността, като забрани на изследователя да оповестява публично своите открития или само се съгласява да плати сума за грешки при условие, че изследователят остава публично мълчалив за уязвимост? Когато това се случи, цифровата сигурност и личната поверителност на потребителите могат да бъдат сериозно застрашени.

Програмите за безплатни програми са от съществено значение за поддържането на системите, които управляват софтуера и приложенията, които потребителите използват всеки ден, защитени и работещи правилно. Те стимулират изследователите в киберсигурността и етичните хакери да излязат и да намерят уязвими места. Безспорно е, че изискването на ловците на бунтове да подпишат споразумение за неразкриване (NDA) също е важен и ефективен начин да се предотврати излагането на публично и експлоатирането на потенциално сериозни уязвимости, преди да бъдат закърпени..

Въпреки това, разпоредбите на NDA, които не позволяват на изследовател публично да разкрие уязвимост, биха могли например да дадат малък стимул за една компания да се справи правилно с грешката, оставяйки потребителите изложени на различни киберзаплати.

Изследователите по сигурността и ловците на бунтове вършат чудесна работа, за да държат компаниите отговорни за запазването на потребителите и сигурността им. Но когато компаниите се ангажират със съмнителна тактика на NDA с ​​изследователи по сигурността, за да опровергаят тази отчетност, сигурността на потребителите може да бъде изложена на съществен риск.

В светлината на неотдавнашната вълна от нарушения на високите данни и големи пропуски на сигурността, включващи някои от най-големите имена в областта на технологиите, обществеността заслужава много по-голяма отчетност от компаниите, на които поверяват своята информация. Законодателите от цял ​​свят започнаха да се занимават с индустрията и подготвят законодателство, което има за цел да защити потребителите, като държи технологичните компании на отговорност за това как те обработват чувствителни данни. Топ мениджъри в индустрията като Марк Зукърбърг от Facebook, Бил Гейтс на Microsoft и Тим Кук от Apple признаха необходимостта от по-добра защита на поверителността на потребителите, както и от по-голямо чувство за отчетност на компаниите. В същото време потребителите стават все по-недоверчиви към начина, по който компаниите управляват личните си данни.

Като се има предвид тази тенденция, Zoom обработването на отговорния изследовател за киберсигурност разкриването на няколко сериозни уязвимости в приложението за видеоконференции е объркващо. През март изследователят по киберсигурност Джонатан Лейтчух се свърза с Zoom, за да уведоми компанията за три основни уязвимости в сигурността, съществуващи в рамките на приложението му за видеоконференции за компютри с Mac. В допълнение към грешка, която позволи на злонамерен нападател да започне атака на отказ на услуга (DOS) на машината на потребителя и грешка, която остави локален уеб сървър, инсталиран на Mac на потребителя, дори след деинсталиране на приложението Zoom, Leitschuh разкри и сериозно алармираща уязвимост, която позволи на злонамерено трето лице да дистанционно и автоматично да активира нищо неподозиращ микрофон и камера на потребителя на Mac.

Според публикацията в блога на Leitschuh Zoom непрекъснато намалява тежестта на уязвимостите по време на текущите разговори. Leitschuh предостави на Zoom стандартния 90-дневен прозорец, в който да разреши проблемите, преди да продължи публичното оповестяване. Той дори предостави на Zoom с това, което нарече решение за „бързо поправяне“, за да закърпи временно уязвимостта на камерата, докато компанията приключи работата по внедряването на постоянното поправяне. По време на среща преди 90-дневния срок за публично оповестяване, Zoom представи Leitschuh с предложената си поправка. Изследователят обаче бързо посочи, че предложеното решение е неадекватно и лесно може да бъде заобиколено чрез различни средства.

В края на 90-дневния срок за публично оповестяване Zoom прилага временното решение за „бързо поправяне“. Leitschuh написа в своя блог пост:

"В крайна сметка Zoom не успя бързо да потвърди, че докладваната уязвимост действително съществува и те не успяха да осигурят навременна корекция на проблема. Една организация на този профил и с толкова голяма потребителска база би трябвало да бъде по-активна в защитата на своите потребители от атака."

В първоначалния си отговор на публичното оповестяване в блога на компанията, Zoom отказа да признае тежестта на видео уязвимостта и „в крайна сметка ... реши да не променя функционалността на приложението.“ Въпреки че (само след като получи значителна публична реакция след оповестяването) Zoom се съгласи да премахне напълно локалния уеб сървър, който направи експлоатацията възможна, първоначалният отговор на компанията, заедно със сметките на Leitschuh за това как Zoom е решил да се справи с отговорното му разкриване, разкрива, че Zoom не е взел сериозно проблема и има малък интерес да правилно разреши проблема то.

Пазете тишина

Zoom се опита да купи мълчанието на Leitschuh по въпроса, като му позволи да се възползва от програмата на компанията за бъгове само при условие, че е подписал прекалено строг NDA. Leitschuh отказа офертата. Zoom твърди, че на изследователя е предложена финансова печалба, но го е отказал поради „условия за неразгласяване“. Това, което Zoom пренебрегва да спомене, е, че специфичните термини означаваха на Leitschuh да бъде забранено да разкрива уязвимостите, дори и след като са надлежно коригирани. Това би дало стимул на Zoom нула да подобри уязвимостта, която компанията отхвърли като незначителна.

NDAs са обичайна практика в програмите за натрупване на бъгове, но изискването за постоянно мълчание от изследователя е сходно с изплащането на хитри пари и в крайна сметка не е от полза за изследователя, нито е от полза за потребителите или изобщо обществеността. Ролята на NDA трябва да бъде да предостави на компанията разумен период от време за справяне и отстраняване на уязвимостта, преди да бъде изложена на обществото и потенциално експлоатирана от киберпрестъпници. Компаниите имат основателни очаквания за неразгласяване, докато работят за отстраняване на уязвимост, но преди всичко в полза на потребителя, а не преди всичко за спасяване на лицето в публичното мнение. От друга страна, изследователите имат разумно очакване за парично възнаграждение, както и за обществено признание за своите усилия. Потребителите очакват, че компаниите, чиито продукти използват, правят всичко възможно, за да гарантират поверителността си. И накрая, обществеността има разумно право да знае какви уязвимости в сигурността съществуват и какво се прави, за да се защитят потребителите от кибер заплахи и какво могат да направят потребителите, за да се защитят.

Конфликтни приоритети

Би било трудно за Zoom да се справи с тази ситуация по-лошо, отколкото го направи. Компанията беше толкова фокусирана върху създаването на безпроблемно потребителско изживяване, че напълно изгуби от поглед критичното значение на защитата на поверителността на потребителите. „Видеото е централно за преживяването Zoom. Нашата видео-първа платформа е ключово предимство за нашите потребители по целия свят и нашите клиенти ни казаха, че избират Zoom за нашето видео без комуникации без триене “, заяви компанията в отговора си. Zoom обаче прибягва до инсталиране на локален уеб сървър на заден план на компютри с Mac, който ефективно заобикаля защитна функция в уеб браузъра Safari, за да улесни това „без триене” видео изживяване за своите потребители. Въпросната функция за защита на Safari изискваше потвърждение от потребителя преди да стартира приложението на Mac. Решението на Zoom за това беше да го заобиколи умишлено и да изложи на личния живот на потребителите си риск да им спести едно кликване или две.

Едва след публичната реакция, която получи след разкриването, компанията предприе смислени действия. Първоначалният отговор на компанията подсказва, че няма намерение да променя функционалността на приложението дори в светлината на значителните уязвимости, които приложението използва. Изглежда, че компанията е била готова да даде предимство на потребителския опит пред сигурността на потребителите. Въпреки че гладкото потребителско изживяване несъмнено е от полза за всяко онлайн приложение, това със сигурност не трябва да идва за сметка на сигурността и поверителността.

За заслуга на компанията, съоснователят и изпълнителен директор Ерик С. Юан по-късно призна, че Zoom се справя лошо със ситуацията и се ангажира да направи по-добре напред. Юан заяви в публикация в блога, че „погрешно преценихме ситуацията и не реагирахме достатъчно бързо - и това е на нас. Ние поемаме пълна собственост и научихме много. Това, което мога да ви кажа, е, че ние приемаме сигурността на потребителите изключително сериозно и ние от все сърце се ангажираме да постъпваме правилно от нашите потребители “, добавяйки също, че„ настоящият ни процес на ескалация очевидно не е бил достатъчно добър в този случай. Предприехме стъпки за подобряване на нашия процес за получаване, ескалиране и затваряне на веригата във всички бъдещи проблеми, свързани със сигурността. “

"погрешно преценихме ситуацията и не реагирахме достатъчно бързо - и това е на нас.

В крайна сметка обаче остава реалността, ако изследователят се съгласи с условията на NDA, представени му от Zoom и му беше забранено да разкрива своите констатации, много вероятно вероятно никога не сме чували нищо за уязвимостта. Още по-лошото е, че компанията вероятно никога не е разрешила проблема, оставяйки милиони потребители уязвими за сериозно нахлуване в личния живот.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me