با وجود تمام تلاش سازمان برای تولید خدماتی که بی عیب و نقص و بدون امنیت انجام شود ، اشکالات نرم افزاری می توانند رخ دهند و برخی از آنها جدی تر از سایرین هستند.


بعضی اوقات این باگها حتی توسط باتجربه ترین تیم های امنیتی قابل ردیابی نیستند ، و به احتمال زیاد محصولی را به وجود می آورند که امنیت دیجیتالی کاربران آن را به خطر بیاندازد و آنها را در معرض حملات سایبری قرار دهد. بسیاری از شرکت ها برای استخدام محققان امنیت سایبری برنامه هایی را برای کمک به شما در یافتن آسیب پذیری هایی که در سیستم های خود کشف نشده اند ، تنظیم می کنند..

در اصل ، محقق (از نظر اخلاقی) وارد سیستم فروشنده می شود تا از هرگونه آسیب پذیری موجود استفاده کند. اگر محقق آسیب پذیری را کشف کند که خطر کافی قابل توجهی را به همراه دارد ، محقق می تواند بسته به شدت اشکال کشف شده ، یک اوراق اشکال به ارزش صدها دلار یا حتی صدها هزار دلار جمع کند. شکارچیان فضل اشکال اغلب به عنوان قهرمانان غیردولتی امنیت سایبری عمل می کنند و سازمانها را برای اطمینان از امنیت دیجیتال مصرف کنندگان پاسخگو می دانند.

چه اتفاقی می افتد ، هنگامی که یک سازمان با محقق امنیت سایبری در مورد شدت آسیب پذیری کشف شده توسط محقق اختلاف نظر دارد؟ چه اتفاقی می افتد که سازمان با جلوگیری از پاسخگویی محقق از افکار عمومی یافته های خود ، از پاسخگویی اجتناب کند ، یا فقط موافقت کند که به شرط اینکه محقق در برابر آسیب پذیری سکوت کند ، یک پاداش اشکال بپردازد؟ وقتی این اتفاق بیفتد ، امنیت دیجیتالی مصرف کنندگان و حفظ حریم شخصی شخصی را می توان جدی تهدید کرد.

برای حفظ سیستمهایی که نرم افزار را اجرا می کنند و برنامه هایی که مصرف کنندگان هر روز از آن استفاده می کنند و به درستی کار می کنند ، برنامه های xelet bugs ضروری هستند. آنها محققان امنیت سایبری و هکرهای اخلاقی را تشویق می کنند تا به جلو بیایند و آسیب پذیری پیدا کنند. به همین دلیل استدلال می کند که نیاز به شکارچیان فضل برای امضای توافق نامه عدم افشای (NDA) نیز یک روش مهم و مؤثر برای جلوگیری از آسیب پذیری های جدی جدی است که در معرض دید عموم و بهره برداری قرار می گیرد..

به گفته این ، مقررات NDA که از یک محقق جلوگیری می کند تا به طور علنی یک آسیب پذیری را آشکار سازد ، می تواند برای یک شرکت انگیزه کمی برای رفع صحیح این خطا فراهم کند و کاربران را در معرض تخلفات سایبری مختلف قرار دهد..

محققان امنیتی و شکارچیان فضل کار بزرگی را برای پاسخگویی شرکتها به خاطر ایمن و ایمن نگه داشتن کاربرانشان انجام می دهند. اما هنگامی که شرکت ها با محققان امنیتی درگیر تاکتیک های NDA هستند که می توانند مسئولیت پذیری را بپذیرند ، امنیت کاربران را می توان در معرض خطر جدی قرار داد.

با توجه به موج اخیر نقض داده های مشهور و نظارت های امنیتی مهم در مورد برخی از بزرگترین اسامی در فناوری ، مردم سزاوار پاسخگویی بسیار بیشتری از شرکت هایی هستند که اطلاعات خود را به آنها واگذار کرده اند. قانون گذاران در سراسر جهان شروع به سرکوب این صنعت کرده اند و در حال تدوین قوانینی هستند که هدف از آنها محافظت از مصرف کنندگان در حالی است که شرکت های فناوری را مسئول نحوه کار با داده های حساس می دانند. مدیران برجسته صنعت مانند مارک زاکربرگ فیس بوک ، بیل گیتس مایکروسافت ، و تیم کوک اپل همگی نیاز به محافظت بهتر از حریم خصوصی مصرف کننده و همچنین احساس مسئولیت پذیری بیشتر برای شرکت ها را تأیید کرده اند. در عین حال ، مصرف کنندگان به طور فزاینده ای نسبت به نحوه مدیریت شرکت ها داده های خصوصی خود بی اعتماد هستند.

با توجه به این روند ، مسئولیت افشای مسئولیت بزرگنمایی Zoom توسط یک محقق امنیت سایبری در مورد چندین آسیب پذیری جدی در برنامه کنفرانس ویدئویی خود ، ناراحت کننده است. در ماه مارس ، جاناتان لیتشوه ، محقق امنیت سایبری با زوم تماس گرفت تا این شرکت را از سه آسیب پذیری مهم امنیتی موجود در برنامه کنفرانس ویدئویی خود برای رایانه های مک مطلع کند. علاوه بر اشکالاتی که به یک مهاجم مخرب امکان حمله انکار سرویس (DOS) به دستگاه کاربر را داده است و اشکالی که باعث شد یک سرور وب محلی نصب شده بر روی Mac کاربر حتی پس از حذف برنامه Zoom نصب شود ، Leitschuh را نیز کشف کرد. آسیب پذیری شدید نگران کننده ای که به یک شخص ثالث مخرب اجازه می دهد تا از راه دور و به طور خودکار میکروفون و دوربین کاربر مظنون Mac را فعال کنند.

مطابق پست وبلاگ Leitschuh ، زوم به طور مداوم از شدت آسیب پذیری ها در طی مذاکرات مداوم کمرنگ می کند. Leitschuh به زومي پنجره 90 روزه استاندارد صنعتي داد تا در آن براي حل مسائل قبل از افشاي عمومي استفاده كند. او حتی راه حل "رفع سریع" را برای بزرگنمایی موقتی از آسیب پذیری دوربین در زوم ارائه داد ، در حالی که این شرکت کار خود را برای رفع اشکال ثابت انجام داد. در طول جلسه قبل از مهلت افشای عمومی 90 روزه ، زوم تصحیح پیشنهادی خود را به لایزچوه ارائه داد. با این حال ، محقق سریع اظهار داشت که راه حل پیشنهادی ناکافی است و می توان به راحتی از طریق روش های مختلفی از آن عبور کرد.

در پایان مهلت افشای عمومی 90 روزه ، زوم راه حل "رفع سریع" موقت را اجرا کرد. لیتسخو در پست وبلاگ خود نوشت:

"سرانجام ، زوم در تأیید سریع مبنی بر وجود آسیب پذیری گزارش شده ، شکست خورد و آنها نتوانستند مسئله ای را که به موقع تحویل مشتری می داد ، برطرف کنند. سازمانی از این نمایه و با چنین پایگاه کاربر بزرگی می بایست محافظت کننده تر از کاربران خود در برابر حمله باشد."

در پاسخ اولیه خود به افشای عمومی در وبلاگ شرکت ، زومیت از تأیید شدت آسیب پذیری ویدئو امتناع ورزید و "در نهایت ... تصمیم به تغییر عملکرد برنامه گرفت." گرچه (تنها پس از دریافت واکنش جدی عمومی پس از افشای). زوم موافقت كرد كه وب سرور محلی را كه باعث بهره‌برداری شد ، كاملاً حذف كند ، پاسخ اولیه این شرکت به همراه حسابهای Leitschuh در مورد چگونگی انتخاب زوم برای پرداختن به افشای مسئولانه خود ، نشان می دهد كه زوم این مسئله را جدی نگرفته و علاقه چندانی به حل درست آن ندارد. آی تی.

ساکت باشید

زوم سعی کرده بود سکوت لیتسخو را در این باره بخرد و این اجازه را به وی داد که فقط از شرط امضای NDA بیش از حد سختگیرانه ، از برنامه نعمتهای این شرکت بهره مند شود. لیتسچو پیشنهاد را رد کرد. زوم ادعا کرد که به این محقق کمک مالی داده شده است اما به دلیل "شرایط عدم افشای" آن را رد کرد. آنچه زوم از ذکر آن غفلت می کند این است که اصطلاحات خاص به معنای لیتسخو آشکار شدن این آسیب پذیری ها حتی پس از صحیح ترساندن آنها ممنوع بود. این امر به زوم انگیزه صفر برای وصله آسیب پذیری را كه این شرکت از آن به عنوان ناچیز محروم كرده بود ، می داد.

NDAs معمولی در برنامه های bug bounty است ، اما خواستار سکوت دائمی از محقق مانند پرداخت پول های عجولانه است و در نهایت به نفع محقق نیست و به نفع کاربران یا به طور کلی برای جامعه نیست. نقش NDA باید این باشد که مدت زمان معقولی را برای شرکت و رفع آسیب پذیری در اختیار شرکت قرار دهد تا در معرض دید عموم قرار بگیرد و به طور بالقوه توسط مجرمان سایبری مورد سوء استفاده قرار بگیرد. شرکت ها در حالی که برای رفع آسیب پذیری کار می کنند ، انتظار معقولی از عدم افشای اطلاعات دارند ، اما در درجه اول به سود کاربر است ، نه در درجه اول برای نجات چهره در دادگاه افکار عمومی. از طرف دیگر محققان انتظار معقولی برای پاداش پولی و همچنین شناخت عمومی برای تلاشهای خود دارند. کاربران انتظار معقولی دارند که شرکت هایی که محصولاتی که از آنها استفاده می کنند برای تضمین حفظ حریم خصوصی خود ، هر کاری را انجام می دهند. سرانجام ، مردم دارای یک معقول منطقی هستند که بدانند چه آسیب پذیری های امنیتی وجود دارد و چه کارهایی برای محافظت از مصرف کنندگان در برابر تهدیدات سایبری انجام می شود و مصرف کنندگان می توانند برای محافظت از خود چه کاری انجام دهند..

اولویت های متناقض

این امر برای زوم دشوار بود که این وضعیت را بدتر از آن انجام دهد. این شرکت چنان در ایجاد یک تجربه کاربری یکپارچه متمرکز شده است که اهمیت حیاتی محافظت از حریم شخصی کاربران را از بین می برد. "ویدئو برای تجربه بزرگنمایی بسیار مهم است. این پلت فرم ویدیوی اول یک مزیت اساسی برای کاربران ما در سراسر جهان است و مشتریان ما به ما گفته اند که آنها زوم را برای تجربه ارتباطات ویدیویی بدون اصطکاک انتخاب می کنند. " اما زوم برای نصب این سرویس ویدیویی "بدون اصطکاک" برای کاربران خود ، به نصب یک سرور وب محلی در پس زمینه بر روی رایانه های مک متوسل شد که به طور موثری از یک ویژگی امنیتی در مرورگر وب سافاری دور می زد. ویژگی امنیتی سافاری مورد نظر ، تأیید کاربر را قبل از راه اندازی برنامه در Mac نیاز داشت. راه حل بزرگنمایی برای این کار دور زدن آن از روی عمد و قرار دادن حریم شخصی کاربران در معرض خطر برای ذخیره یک کلیک یا دو آنها بود.

شرکت فقط پس از واکنش شدید عمومی به دنبال افشای این اقدام ، اقدام قابل توجهی انجام داد. پاسخ اولیه شرکت نشان می دهد که حتی با توجه به آسیب پذیری های قابل توجهی که در این برنامه وجود دارد ، قصد تغییر کارایی برنامه را ندارد. به نظر می رسد این شرکت مایل به اولویت بندی تجربه کاربری نسبت به امنیت کاربران بوده است. در حالی که بدون شک تجربه کاربر صاف برای هر برنامه آنلاین سودمند است ، مطمئناً نباید به ضرر امنیت و حفظ حریم خصوصی باشد.

به اعتباری این شرکت ، اریک ص. یوان ، بنیانگذار و مدیر عامل شرکت تأیید کرد که زومیت وضعیت را ضعیف اداره کرده و متعهد به پیشبرد بهتر است. یوان در یک پست وبلاگ اظهار داشت: "ما اوضاع را اشتباه کردیم و به اندازه کافی سریع جواب ندادیم - و این به ما مربوط می شود. ما مالکیت کامل را در اختیار داریم و چیزهای زیادی را یاد گرفته ایم. آنچه می توانم به شما بگویم این است که ما امنیت کاربران را بسیار جدی می پذیریم و از صمیم قلب متعهد به انجام درست توسط کاربران خود هستیم "، همچنین اضافه کرد که" روند تشدید فعلی ما به وضوح در این مورد به اندازه کافی خوب نبوده است. ما برای بهبود روند دریافت ، تشدید و بستن حلقه در مورد نگرانی های مربوط به امنیت آینده ، اقدامات خود را انجام داده ایم. "

"ما این وضعیت را اشتباه کردیم و به سرعت پاسخ ندادیم - و این به ما مربوط می شود.

در نهایت ، واقعیت این است که محقق با شرایط NDA ارائه شده توسط Zoom موافقت کرده و از افشای یافته های او ممنوع بوده است ، اما به احتمال زیاد ما هرگز نتوانسته ایم چیزی در مورد آسیب پذیری بشنویم. بدتر از همه ، این شرکت احتمالاً هرگز نمی توانست این مسئله را برطرف کند و میلیون ها کاربر را در معرض تهاجم جدی به حریم خصوصی قرار دهد.

Brayan Jackson Administrator
Candidate of Science in Informatics. VPN Configuration Wizard. Has been using the VPN for 5 years. Works as a specialist in a company setting up the Internet.
follow me