Neskatoties uz organizācijas labākajiem centieniem radīt nekļūdīgu un drošu pakalpojumu, programmatūras kļūdas var rasties un notiek, un dažas no tām ir nopietnākas nekā citas.


Dažreiz šīs kļūdas var nemanīt pat vispieredzējušākās drošības komandas, kā rezultātā var rasties produkts, kas apdraud tā lietotāju digitālo drošību un ļauj viņiem tikt pakļautiem kiberuzbrukumiem. Daudzi uzņēmumi ir izveidojuši krāpnieciskas programmas, lai piesaistītu kiberdrošības pētniekus, lai palīdzētu viņiem atrast ievainojamības, kuras viņu sistēmās var atrasties neatklātas.

Būtībā pētnieks (ētiski) uzlauž pārdevēja sistēmu, lai mēģinātu izmantot visas iespējamās ievainojamības. Ja pētnieks atklāj ievainojamību, kas rada pietiekami būtisku risku, pētnieks atkarībā no atklātās kļūdas nopietnības var savākt kļūdu veltes simtiem dolāru vai pat simtiem tūkstošu dolāru vērtībā. Kļūdu velšu mednieki bieži rīkojas kā nedziedāti kiberdrošības varoņi, kas uztur organizācijas, kas ir atbildīgas par patērētāju digitālās drošības nodrošināšanu.

Kas gan notiek, ja organizācija ir domstarpībās ar kiberdrošības pētnieku par to, cik nopietns ir pētnieka atklātais ievainojamība? Kas notiek, ja organizācija mēģina izvairīties no atbildības, aizliedzot pētniekam publiski atklāt savus atklājumus, vai arī piekrīt maksāt kļūdas kļūdu ar nosacījumu, ka pētnieks publiski klusē par ievainojamību? Šādā gadījumā var tikt nopietni apdraudēta patērētāju digitālā drošība un personas privātums.

Kļūdu pārpilnības programmas ir būtiskas, lai sistēmas, kurās tiek darbināta programmatūra, un lietojumprogrammas, kuras patērētāji izmanto katru dienu, būtu drošas un pareizi darbotos. Tie stimulē kiberdrošības pētniekus un ētiskos hakerus nākt klajā un atklāt ievainojamības. Pats par sevi saprotams, ka prasība, ka kļūdu pievilināšanas mednieki paraksta neizpaušanas līgumu (NDA), ir arī svarīgs un efektīvs veids, kā novērst jebkādu potenciāli nopietnu ievainojamību atklāšanu un izmantošanu pirms to labošanas..

Tas nozīmē, ka NDA noteikumi, kas neļauj pētniekam jebkad publiski atklāt ievainojamību, piemēram, varētu maz stimulēt uzņēmumu pareizi novērst kļūdu, atstājot lietotājus pakļautiem dažādiem kibernoziegumiem.

Drošības pētnieki un krāpnieku mednieki veic lielu darbu, sagādājot uzņēmumiem atbildību par to, lai viņu lietotāji būtu drošībā. Bet, kad uzņēmumi iesaistās apšaubāmā NDA taktikā kopā ar drošības pētniekiem, lai mazinātu šo atbildību, lietotāju drošība var tikt pakļauta būtiskam riskam..

Ņemot vērā neseno augsta līmeņa datu pārkāpumu vilni un ievērojamu drošības uzraudzību, kurā iesaistīti daži no lielākajiem tehnoloģiju nosaukumiem, sabiedrība ir pelnījusi daudz lielāku pārskatatbildību no uzņēmumiem, kuriem uzticēta viņu informācija. Likumsargi visā pasaulē ir sākuši meklēt nozari un izstrādā tiesību aktus, kuru mērķis ir aizsargāt patērētājus, vienlaikus liekot tehnoloģiju uzņēmumiem atbildēt par to, kā viņi apstrādā slepenus datus. Labākie nozares vadītāji, piemēram, Facebook Marks Zuckerbergs, Microsoft Bils Geitss un Apple Tims Kuks, visi ir atzinuši, ka ir vajadzīgas labākas patērētāju privātuma aizsardzības, kā arī lielāka atbildības sajūta uzņēmumiem. Tajā pašā laikā patērētāji arvien vairāk neuzticas tam, kā uzņēmumi pārvalda savus privātos datus.

Ņemot vērā šo tendenci, ir satraucoši, ja Zoom rīkojas ar kiberdrošības pētnieka atbildīgu vairāku videokonferenču lietojumprogrammu nopietnu ievainojamību atklāšanu. Martā kiberdrošības pētnieks Jonathan Leitschuh sazinājās ar Zoom, lai paziņotu uzņēmumam par trim galvenajām drošības ievainojamībām, kas pastāv tās videokonferenču lietojumprogrammā Mac datoriem. Papildus kļūdai, kas ļaunprātīgajam uzbrucējam ļāva uzsākt pakalpojuma atteikuma (DOS) uzbrukumu lietotāja mašīnai, un kļūdai, kuras dēļ vietējais tīmekļa serveris tika instalēts lietotāja Mac datorā pat pēc Zoom programmas atinstalēšanas, Leitschuh atklāja arī nopietni satraucoša ievainojamība, kas ļaunprātīgai trešās puses struktūrai ļāva attālināti un automātiski iespējot nenozīmīgu Mac lietotāja mikrofonu un kameru.

Saskaņā ar Leitschuh emuāra ziņu Zoom notiekošo sarunu laikā nepārtraukti samazināja ievainojamības pakāpi. Leitschuh deva uzņēmumam Zoom nozares standarta 90 dienu logu, kurā pirms publiskošanas sākt risināt problēmas. Viņš pat nodrošināja Zoom to, ko viņš sauca par “ātrās labošanas” risinājumu, lai uz laiku aizkavētu kameras ievainojamību, kamēr uzņēmums pabeidza darbu pie pastāvīgā labojuma ieviešanas. Sanāksmes laikā pirms 90 dienu publiskošanas termiņa beigām Zoom iepazīstināja Leitschuh ar ierosināto labojumu. Tomēr pētnieks ātri norādīja, ka piedāvātais risinājums nav pietiekams un to var viegli apiet, izmantojot dažādus līdzekļus.

Pēc 90 dienu publiskošanas termiņa beigām Zoom ieviesa pagaidu “ātrās labošanas” risinājumu. Leitschuh savā bloga ierakstā rakstīja:

"Galu galā Zoom neizdevās ātri apstiprināt, ka paziņotā ievainojamība patiešām pastāv, un viņiem neizdevās savlaicīgi novērst problēmu, kas piegādāta klientiem. Šī profila organizācijai ar tik lielu lietotāju bāzi vajadzēja būt aktīvākai, pasargājot savus lietotājus no uzbrukumiem."

Sākotnējā reakcijā uz publiskošanu uzņēmuma emuārā Zoom atteicās atzīt video ievainojamības nopietnību un “galu galā ... nolēma nemainīt lietojumprogrammas funkcionalitāti.” Lai arī (tikai pēc ievērojamas publiskas reakcijas saņemšanas pēc informācijas atklāšanas) Zoom piekrita pilnībā noņemt vietējo tīmekļa serveri, kas ļāva izmantot, uzņēmuma sākotnējā atbilde kopā ar Leitschuh pārskatiem par to, kā Zoom izvēlējās vērsties pie atbildīgas informācijas atklāšanas, atklāj, ka Zoom neuztvēra šo problēmu nopietni un bija maz ieinteresēta pareizi risināt. tā.

Esi kluss

Zoom bija mēģinājis iegādāties Leitschuh klusēšanu par šo jautājumu, ļaujot viņam gūt labumu no uzņēmuma kļūdu novēršanas programmas tikai ar nosacījumu, ka viņš ir parakstījis pārāk stingru NDA. Leitschuh noraidīja piedāvājumu. Zoom apgalvoja, ka pētniekam tika piedāvāta finansiāla dotācija, taču tā to noraidīja “neizpaušanas noteikumu” dēļ. Tas, ko Zoom aizmirsa pieminēt, ir tas, ka īpašie termini, kas nozīmēja Leitschuh, būtu bijis aizliegts atklāt ievainojamības pat pēc tam, kad tās tika pareizi izlabotas. Tas būtu devis Zoom zero stimulu novērst ievainojamību, kuru uzņēmums noraidīja kā nenozīmīgu.

NDA ir ierasta prakse kļūdu novēršanas programmās, taču pastāvīga klusēšanas pieprasīšana no pētnieka ir līdzīga lielas naudas samaksai, un galu galā tas nedod labumu ne pētniekam, ne lietotājiem, ne sabiedrībai kopumā. NDA lomai vajadzētu dot uzņēmumam saprātīgu laika sparu, lai novērstu un novērstu ievainojamību, pirms tā tiek pakļauta sabiedrībai un kibernoziedznieki to potenciāli izmanto. Uzņēmumiem ir pamatotas cerības uz neizpaušanu, strādājot pie ievainojamības novēršanas, bet galvenokārt lietotāja labā, nevis galvenokārt, lai glābtu seju sabiedriskās domas tiesā. No otras puses, pētniekiem ir pamatotas cerības uz naudas atlīdzību, kā arī sabiedrības atzinību par viņu centieniem. Lietotājiem ir pamatotas cerības, ka uzņēmumi, kuru produktus viņi izmanto, dara visu iespējamo, lai nodrošinātu viņu privātumu. Visbeidzot, sabiedrībai ir pamatotas tiesības zināt, kāda ir drošības ievainojamība un kas tiek darīts, lai aizsargātu patērētājus no kiberdraudiem, un ko patērētāji var darīt, lai sevi aizsargātu.

Pretrunīgas prioritātes

Zoom būtu bijis grūti rīkoties šajā situācijā sliktāk nekā tas notika. Uzņēmums bija tik koncentrējies uz netraucētu lietotāju pieredzes radīšanu, ka pilnībā aizmirsa lietotāju privātuma aizsardzības kritisko nozīmi. “Videoklipam ir galvenā loma tālummaiņas pieredzē. Mūsu pirmā video platforma ir galvenais ieguvums mūsu lietotājiem visā pasaulē, un klienti mums ir teikuši, ka viņi izvēlas Zoom, lai mūsu video bezsaistes sakaru pieredze būtu bezrūpīga, ”teikts uzņēmuma atbildē. Bet Zoom izvēlējās vietējā tīmekļa servera instalēšanu fonā Mac datoriem, kas efektīvi apiet drošības funkciju Safari tīmekļa pārlūkā, lai lietotājiem atvieglotu šo “berzes” video pieredzi. Pirms lietotnes palaišanas operētājsistēmā Mac, attiecīgajai Safari drošības funkcijai bija nepieciešams lietotāja apstiprinājums. Tālummaiņas risinājums bija apzināti to apiet un pakļaut tā lietotāju konfidencialitātei risku, lai viņiem ietaupītu vienu vai divus klikšķus..

Tikai pēc publiskās reakcijas, ko tā saņēma pēc informācijas atklāšanas, uzņēmums veica jēgpilnas darbības. Uzņēmuma sākotnējā atbilde liecināja, ka uzņēmumam nebija nodoma mainīt lietojumprogrammas funkcionalitāti, pat ņemot vērā ievērojamo ievainojamību, uz kuru attiecas lietojumprogramma. Liekas, ka uzņēmums bija gatavs par prioritāti noteikt lietotāju pieredzi, nevis lietotāju drošību. Kaut arī vienmērīga lietotāju pieredze neapšaubāmi ir izdevīga jebkurai tiešsaistes lietojumprogrammai, tā noteikti nedrīkst notikt uz drošības un privātuma rēķina.

Uzņēmuma pateicībā līdzdibinātājs un izpilddirektors Ēriks S. Juņs vēlāk atzina, ka Zoom situāciju risināja slikti un apņēmās rīkoties labāk. Juans emuāra ierakstā paziņoja, ka “mēs nepareizi novērtējām situāciju un nereaģējām pietiekami ātri - un tas ir uz mums. Mēs uzņemamies pilnu atbildību un esam daudz iemācījušies. Tas, ko es varu jums pateikt, ir tas, ka mēs uztveram lietotāju drošību neticami nopietni un no visas sirds esam apņēmušies rīkoties pareizi, ko dara lietotāji, ”piebilstot arī, ka„ mūsu pašreizējais eskalācijas process acīmredzami nebija pietiekami labs šajā gadījumā. Mēs esam veikuši pasākumus, lai uzlabotu visu turpmāko ar drošību saistīto problēmu saņemšanas, eskalācijas un aizvēršanas procesu. ”

"mēs nepareizi novērtējām situāciju un nereaģējām pietiekami ātri - un tas ir uz mums.

Tomēr galu galā joprojām pastāv realitāte, ja pētnieks piekrita NDA noteikumiem, kurus viņam iesniedza Zoom, un viņam bija aizliegts izpaust savus atklājumus, mēs, ļoti iespējams, nekad nebūtu dzirdējuši neko par ievainojamību. Vēl ļaunāk, ka uzņēmums, iespējams, nekad nav novērsis problēmu, miljoniem lietotāju atstājot neaizsargātus pret nopietnu privātās dzīves aizskārumu.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me