„Google“ projektas „Zero“ turi problemų su „Samsung“ ir „HackerOne“ saugos klaidų pranešimų procesais.
Vaizdo įrašas: „Google“ pristato savo saugos raktą.
Saugumas
- 8 labai saugių nuotolinių darbuotojų įpročiai
- Kaip rasti ir pašalinti šnipinėjimo programas iš savo telefono
- Geriausios VPN paslaugos: kaip palyginti 5 geriausius?
- Kaip sužinoti, ar esate susijęs su duomenų pažeidimu – ir ką daryti toliau
Visiškai paini „Samsung“ pranešimų apie pažeidžiamumą svetainė paskatino vieną iš geriausių „Google“ saugumo mokslininkams paaiškinti, kaip įmonės turėtų padėti tyrėjams pranešti apie klaidas ir pašalinti klaidas, kurias galima nulaužti produktus greitai.
Google Project Zero klaidų medžiotojas, Natalija Silvanovič, PSO „Microsoft“ yra pripažinta 10 geriausių pasaulio mokslininkų, yra keletas patarimų visų tipų pardavėjams, kaip tvarkyti saugumo tyrinėtojų ataskaitas.
Tai viena iš daugelio problemų, su kuriomis susiduria įsilaužėliai, tirdami pažeidžiamumą ir pranešdami apie juos įmonės, kurios dažnai paduoda į teismą saugumo tyrėjams už tai, kad pasakė jiems apie trūkumą, o kartais net paduoda į teismą
net saugumo naujienų žurnalistai už pasakojimą visuomenei apie klaidas.Apsaugos įmonės tai daro, finansų įmonės iškvietė policiją tyrėjams, pasaulinė apskaitos įmonė PwC pagrasino paduoti į teismą saugumo tyrėją bando padėti įstatymų leidėjai dažnai siūlo įstatymų projektus kurios ketina nubausti blogus įsilaužėlius, bet iš tikrųjų kriminalizuoja saugumo tyrimus.
Tai taip pavojinga saugumo tyrinėtojams, kad Demokratijos ir technologijų centras, Vašingtone įsikūręs ne pelno siekiantis neseniai paskelbė pranešimą atskleisti riziką, su kuria jie susiduria JAV, kai jie žengia į prieš internetą galiojusių įstatymų, pvz., Kompiuterinio sukčiavimo ir piktnaudžiavimo įstatymu (CFAA), pilkąsias sritis.
Kita vertus, „Mozilla“, „Google“, „Microsoft“ ir kitų dėka, pažeidžiamumo pranešimų programos, apdovanojančios tyrėjus už pranešimus apie trūkumus, tapo vis dažnesnės.
MATYTI: Laimėjusi kibernetinio saugumo strategija (ZDNet specialioji ataskaita) | Atsisiųskite ataskaitą PDF formatu (TechRespublika)
Tačiau tai, kaip šios programos įgyvendinamos, turi didelę įtaką tam, ar pranešimai apie klaidas pasiekia gavėjus ir galiausiai, kaip greitai klaida ištaisoma.
Tokiam žmogui kaip Silvanovičius, kuris sugeba kelių kritinių kodavimo klaidų radimas sudėtingoje „Microsoft“ programinėje įrangoje, suprasti, kaip pranešti apie klaidą, neturėtų būti taip sunku.
Tačiau dažnai taip yra dėl to, kad pardavėjai – net tokie dideli, kaip „Samsung“, kurie priėmė „Google“ mėnesinį žurnalą „Android“ saugos pataisų sistema – nedokumentuokite ataskaitų teikimo proceso arba nepavyks atnaujinti pasenusios nurodymus.
Pirmasis jos patarimas: „Veiksmingi pranešimo apie pažeidžiamumą procesai yra aiškiai dokumentuoti, o dokumentaciją lengva rasti“.
Antrasis – sukurti trumpą ir nesudėtingą procesą, kuris gali būti patogus, kai pranešama apie dešimtis trūkumų.
Ne visi tyrėjai turi tokią prabangą kaip „Google“ atlyginimą, kad praleistų laiką ieškodami, kaip pranešti apie trūkumą, ir gali tiesiog pasiduoti, palikdami produkto trūkumą ir jo vartotojus atvirą užpuolikams.
„Ataskaitų teikimo procesai, kuriuose naudojami el. paštas arba klaidų stebėjimo priemonės, paprastai yra lengviausi, nors žiniatinklio formos gali būti lengvos, jei jos nėra per ilgos. Nors „Project Zero“ visada praneš apie pažeidžiamumą, net jei pranešimas apie tai užima labai daug laiko, tai nebūtinai pasakytina apie kitus klaidų pranešėjus.
Trečias patarimas: patikrinkite ataskaitų teikimo procesą. „Nors dauguma, su kuria susiduriame, yra [išbandyti], retkarčiais pasitaikydavo pranešimų apie klaidas el. pašto adresai, o žiniatinklio formos atmetamos. informacija (pvz., reporterio vardas) ir saugumo problemos yra nepastebimos klaidų sekimo priemonėse kelis mėnesius, nepaisant to, kad laikomasi dokumentais procesas“.
Teisiniai susitarimai yra kita problema, ypač didėjant atlygio programoms apie klaidas.
„Project Zero“ garsus ir dažniausiai griežtas 90 dienų atskleidimo terminas gali kelti teisinę riziką jo tyrėjams. Ne visi sutinka su 90 dienų terminu, ypač „Microsoft“, kuri palaiko koordinuotą atskleidimą.
Bet kuriuo atveju, kai įmonė diskutuoja apie susitarimo sudarymo privalumus ir trūkumus, klaidų pranešimai vėluoja.
Tai veda prie ketvirto patarimo: „Nors teisiniai susitarimai kartais būtini atlygio programoms ir kodui įnašai, geri pažeidžiamumo ataskaitų teikimo procesai leidžia klaidų pranešėjams pranešti apie klaidas be jų.
Pardavėjai taip pat turi nepamiršti patvirtinti reporteriui, kad jie gavo ataskaitą, kad įsitikintų, jog ataskaita neišnyko eteryje. Vėlgi, šis žingsnis sutaupo laiko visiems, dalyvaujantiems taisant saugos trūkumus.
Galiausiai ji rekomenduoja įmonėms suteikti mokslininkams galimybę pateikti atsiliepimų apie procesą. Iš esmės programinės įrangos pardavėjai turėtų siekti kažko panašaus „Google“ atlygio programos.
Bet tai buvo „Samsung“. pranešimų apie klaidas puslapis ir vabalas tuo būtų galima pasinaudoti tiesiog išsiuntus SMS žinutę į „Samsung S7 Edge“, įkvėpusią Silvanovičiaus įrašą.
Paspaudus anglišką mygtuką „Sukurti ataskaitą“, „Samsung“ registracijos puslapyje buvo manoma, kad visas pasaulis suprato „hangul“, korėjiečių abėcėlę, siūlo mygtukus, į kuriuos ji neįsivaizdavo, kaip atsakyti.
Jei ji pirmą kartą būtų paspaudusi prisijungimo mygtuką, ji būtų pasiekusi registracijos puslapį anglų kalba. Bet viskas po to iš esmės buvo laiko švaistymas.
„Paspaudus nuorodas buvo sudaryta daugiau nei 20 atskirų susitarimų, kurių dauguma neturėjo nieko bendra su pažeidžiamumo pranešimu“, – komentavo ji.
Užpildžius įvairias formas ir su viskuo sutikus, „Samsung“ puslapiai grįžo į tik hangulų pasaulį.
Dvi terminai ją suerzino ir tiesiog prieštarauja „Project Zero“ praktikai. „Privalote neatskleisti pažeidžiamumo per protingą laiką ir PRIVALOTE gauti Samsung sutikimą arba informuoti Samsung apie datą prieš atskleisdami pažeidžiamumą“, – sakė „Samsung“.
„Kai kuriais atvejais „Samsung“ gali prašyti iš viso neatskleisti pažeidžiamumo. Vėlgi, tai kertasi su „Project Zero“ reikalavimu atskleisti informaciją.
MATYTI: Kibernetinis saugumas daiktų interneto ir mobiliajame pasaulyje (ZDNet specialioji ataskaita) | Atsisiųskite ataskaitą PDF formatu (TechRespublika)
Reguliarus korėjiečių kalbos tekstas viso proceso metu rodo, kad „Samsung“ jo neišbandė tarptautinei auditorijai skirtus procesus, taip pat neatsižvelgė į tai, kokių pastangų reikalauja tyrinėtojas.
Galų gale, pardavėjai turėtų būti suinteresuoti apsaugoti savo produktus. Ir nors daugelis kompanijų gali būti ne „Google“ ar „Microsoft“ dydžio, „Samsung“ yra, todėl ji turėtų turėti išteklių bandymams atlikti.
Ji taip pat imasi „HackerOne“ – trečiosios šalies pranešimų apie klaidas platformos, kurią naudoja „Uber“, „General Motors“ ir JAV Gynybos departamentas.
„HackerOne“ nustatytas 180 dienų terminas, o šis konfliktas kilo, kai bendradarbis „Project Zero“. tyrėjas Tavis Ormandy pranešė apie „CloudBleed“., pavojinga klaida, paveikianti „Cloudflare“, kuri naudoja „HackerOne“.
„Šis pažeidžiamumas taip pat buvo labai skubus, nes jis aktyviai nutekėjo vartotojų duomenys į internetą, ir mes nenorėjome delsti pranešti apie problemą, kol perskaitėme „HackerOne“ sąlygas, kad nustatytų, ar jos suderinamos su mūsų atskleidimo politika. ji rašo.
„Pastebime, kad pardavėjai paprastai neketina užkirsti kelio pranešimams apie klaidas visiems, kurie nesutinka, kad jie būtų atskleisti taisyklės, tačiau tai buvo galutinis rezultatas, kai „Samsung“ ir „Cloudflare“ savo pranešimo apie klaidas procesą pakeitė atlygiu programa."
Paskutinis jos patarimas:
- Pardavėjai turėtų reguliariai tikrinti savo pažeidžiamumo ataskaitų teikimo sąsajas visomis palaikomomis kalbomis.
- Pardavėjai turėtų kiek įmanoma supaprastinti pranešimų apie pažeidžiamumą apdorojimą ir pašalinti perteklinius paspaudimus bei teisinius susitarimus.
- Pardavėjai turėtų reguliariai prašyti atsiliepimų apie pranešimo apie pažeidžiamumą mechanizmus iš pažeidžiamumo pranešėjų ir žmonių, kurie, jų nuomone, gali pranešti apie pažeidžiamumą.
Ankstesnė ir susijusi informacija
Disclose.io: saugus prieglobstis įsilaužėliams, atskleidžiantiems saugumo spragas
Įstatymai yra migloti, kai kalbama apie atsakingą klaidų atskleidimą, tačiau Disclose.io ketina padaryti viską aiškesnį.
„Windows 10“ sauga: „Google Project Zero“ susmulkina unikalią „Microsoft Edge“ apsaugą
„Google Project Zero“ teigia, kad „Microsoft Arbitrary Code Guard“ programoje „Edge“ sugenda, kai pavyksta atskirti „Chrome“ svetainę.
„Windows 10“ klaida: „Google“ vėl atskleidžia „svarbios“ nepataisytos klaidos kodą
Antrą kartą per savaitę „Google“ atskleidžia dar vieną nepataisytą „Windows 10“ pažeidžiamumą.
„Windows 10“ sauga: „Google“ atskleidžia, kaip kenkėjiškos svetainės gali išnaudoti „Microsoft Edge“.
„Microsoft“ praleido „Google“ 90 dienų terminą, todėl „Google“ paskelbė išsamią informaciją apie išnaudojimo mažinimo apėjimą.
„Zero Day Initiative“ klaidų gausa padidina atlygį už serverio pažeidžiamumą
Specialūs tikslai dabar gaus specialius apdovanojimus.
„Windows 10“ klaidų naujinimai verčia rinktis tarp saugumo ir stabilumo, teigia vartotojų grupė TechRepublic
Sistemos administratoriai nepatenkinti „Windows 10“ naujinimų kokybe.
HP sumokės įsilaužėliams iki 10 000 USD, kad jie sulaužytų savo spausdintuvus CNET
Tai taikoma kiekvieną kartą, kai spausdintuvas jums praneš, kad baigėsi dažai.