👩🏿‍🎤 🖱️ 🚠 تستخدم الشركات خيرات الأخطاء لشراء صمت القراصنة 🔥 👋🏼 👩🏻‍⚖️

تعمل منصات مكافأة الأخطاء HackerOne و Bugcrowd و Synack كوسيط بين المتسللين البيض والشركات الذين يرغبون في تحسين أمان منتجاتهم. عند استخدامه بشكل صحيح ، يكون المنطق بسيطًا:

أبلغ أحد المتسللين عن ثغرة أمنية.
تقوم شركة التطوير بتصحيح الخطأ وتذكير القراصنة بمكافأة امتنانه لحقيقة أنه فعل الشيء الصحيح.

ولكن في الواقع ، كل شيء يعمل بشكل مختلف. كما أظهر التحقيق الذي أجرته منظمة المجتمع المدني ، حولت الشركات ومنصات مكافآت الأخطاء الكشف عن الثغرات رأساً على عقب لدرجة أن العديد من الخبراء ، بما في ذلك مديرة سياسة HackerOne السابقة كاتي موسوري ، يسمون هذا "الانحراف".

باختصار ، بدلاً من إصلاح الأخطاء ، تعطي الشركات الأولوية لرشوة المتسللين ، مما يجبرهم على التوقيع على اتفاقية عدم الإفشاء كشرط مسبق لدفع الأجور. هذا يغير بشكل أساسي منطق ما يحدث.

إجراء الكشف عن الضعف

يعد برنامج الكشف عن الثغرات الأمنية (VDP) متطلبًا إلزاميًا تقريبًا للعديد من الشركات. على سبيل المثال ، توصي لجنة التجارة الفيدرالية الأمريكية الشركات بتبني مثل هذه الإجراءات والغرامات على الممارسات الأمنية السيئة. أمرت وزارة الأمن الداخلي العام الماضي جميع الوكالات المدنية الفيدرالية بإدخال إجراءات الكشف عن الثغرات الأمنية.

ومع ذلك ، بالنسبة لأي وكالة أو شركة ، فإن VDP يمثل صداعًا كبيرًا. الإجراء هو كما يلي: أبلغ باحثو الأمن عن خطأ ويمنحك 90 يومًا كحد أقصى لإصلاحه. عندما ينفد الوقت - يتصلون ببعض الصحفيين المفضلين لديهم وينشرون معلومات كاملة حول الثغرة على تويتر ، ويتحدثون أيضًا في مؤتمر القبعة السوداء أو DEF CON ، إذا كان هذا حقاً خطأ.

من ناحية ، يوفر إجراء الكشف عن الثغرات الأمنية توازنًا معينًا بين مصالح الشركة والمجتمع والباحثين الأمنيين أنفسهم ، الذين يحصلون على تقدير لعملهم. ومع ذلك ، هناك عدد من الشركات التي قد تكون قلقة بشأن سعر أسهمها و / أو سمعتها ، بحيث تفضل دفع المال للتخلص من الحاجة إلى إبلاغ الجمهور.

توفر منصات مكافأة الخطأ للمؤسسات بديلاً مغريًا. أبلغ الباحثون عن نقاط الضعف في اتفاقيات عدم الإفشاء. هم حرفيا يدفعون مقابل الصمت. ثم تفعل الشركة ما تريد. ربما إصلاح هذه الأخطاء التي أبلغت عنها إذا كنت تريد. قد لا يصلح ذلك ، ولكن يُحظر عليك التحدث عنه.

الصمت سلعة

الصمت سلعة. ويبدو أن هذا المنتج مطلوب في السوق. الطلب يخلق العرض. لذلك ، قامت منصات bug-bounty بتوسيع أنشطتها بطريقة تقدم للعملاء ما هم على استعداد للدفع مقابله.

تعتقد مديرة سياسة HackerOne السابقة كاتي موسوري أن جذر المشكلة هو تسويق منصات مكافأة الأخطاء التي تبحث عن نمو أسي. على سبيل المثال ، حددت إدارة HackerOne هدفًا لجمع 1،000،000 مخترق على المنصة. من المهم بالنسبة لهم جذب أكبر عدد ممكن من الشركات من أي حجم تحت أي ظرف من الظروف وبمكافأة.

كاتي موسوري ، مدير سياسة HackerOne السابق ، مؤسس Luta Security

يقول المنصوري : "منصات البحث عن الثغرات التجارية هذه ... تفسد النظام البيئي بأكمله ، وأريد أن تتوقف حتى لو دفعت ثمنه بنفسي" . كواحدة من قادة HackerOne ، تلقت خيار الأسهم ويمكنها الاعتماد على مكافأة سخية في حالة الطرح العام الناجح لأسهم HackerOne. "أناشدكم بالرغم من مكسباتي الشخصية".

يتفق خبراء مستقلون آخرون على أن السرية تضر بسلامة المعلومات: "من الأفضل أن تكون المكافآت شفافة ومفتوحة. يقول روبرت جراهام من Errata Security: كلما حاولت تصنيفهم وقبول اتفاقية عدم الإفشاء ، كلما أصبحت أقل فاعلية ، كلما كان الأمر يتعلق بالتسويق وليس الأمن.

يتفق معه جوناثان ليتشوه ، الذي كشف العام الماضي عن ثغرة كارثية في برنامج مؤتمرات الفيديو Zoom (تثبيت خادم ويب على مضيف محلي دون علم المستخدم بتنفيذ الأمر عن بعد).

استغلال بسيط عندما يكون Zoom على مضيف محلي:

<img src="http://localhost:19421/launch?action=join&confno=492468757"/>

تنشيط كاميرا الويب بدون إذن المستخدم:

<iframe src="https://zoom.us/j/492468757"/>

أخطر جوناثان ليتشوه الشركة في 26 مارس 2019 ، لكنها لم تقم بإصلاح الثغرة الأمنية ، لذلك بعد 90 يومًا بالضبط نشر المخترق مقالًا مع وصف في المجال العام. انتشرت المعلومات على نطاق واسع وأحدثت ضوضاء. بعد ذلك ، أصدرت الشركة على الفور رقعة.

لكن القراصنة لم يتلقوا مكافأة. "هذه إحدى مشاكل منصات مكافأة الخطأ كما هي موجودة الآن. إنها تسمح للشركات بتجنب فترة الإفشاء لمدة 90 يومًا. - يبني العديد من هذه البرامج أعماله على فكرة عدم الإفشاء. في النهاية ، يبدو أنهم يحاولون شراء صمت الباحث ".

باونتي علة خاصة

تحظر اتفاقيات عدم الكشف عن النظام الأساسي مثل HackerOne حتى الإشارة إلى وجود برامج خاصة لخلل. يكفي تغريدة واحدة مثل "Company X لديها برنامج خاص في Bugcrowd" لطرد المخترق من المنصة.

يتم إسكات المتسللين بواسطة سوط وجزر. عندما يكون الجزرة مفهومة ، هذا هو المال. ولكن هناك سوط: لانتهاك اتفاقية التجمع ، يمكن محاسبة الباحثين ، بما في ذلك الملاحقة الجنائية. تهدد نفس المسؤولية نظريًا المتسللين الذين ينشرون ، على مسؤوليتهم ومخاطرتهم ، معلومات حول نقاط الضعف دون الدخول في أي اتفاقيات مع الشركة ، ولكنهم ببساطة يسترشدون بمبادئ أخلاق القراصنة المقبولة عمومًا وقانون التقادم لمدة 90 يومًا من تاريخ إخطار الشركة.

في عام 2017 ، نشرت وزارة العدل الأمريكيةإرشادات لحماية الباحثين الأمنيين. وفقًا لمنطق الوثيقة ، لا يجب تطبيق عقوبات صارمة على القرصنة غير القانونية على المواطن الذي يهتم بالسلامة العامة ويجعل القرصنة من أجل المصلحة العامة ، محاولًا فعل الشيء الصحيح. لكن هذا السؤال يبقى أمام المحكمة. إذا كان المخترق يريد حماية قانونية مضمونة من المقاضاة ، فيجب عليه التوقيع على اتفاقية عدم الإفشاء ، وإلا فسيواجه السجن لمدة عشر سنوات أو أكثر وفقًا لقانون الاحتيال وإساءة استخدام الكمبيوتر ، CFAA. هذه هي الطريقة التي ينبغي فهم خيرات الخلل الخاصة.

على سبيل المثال ، خذ PayPal. على الموقع الرسمي المشار إليهأنه يجب على كل باحث إنشاء حساب HackerOne والموافقة على شروط برنامج مكافأة الخطأ الخاص ، بما في ذلك اتفاقية عدم الإفشاء. إذا أبلغت عن خطأ بأي طريقة أخرى ، فإن PayPal يرفض ضمان سلامتك ولا يستبعد تقديم مطالبة.

أي أنه يمكنك فقط الإبلاغ عن ثغرة أمنية من خلال التوقيع على اتفاقية عدم الإفشاء ، ولا شيء آخر. "من خلال تقديم طلب أو الموافقة على شروط البرنامج، فإنك توافق على أنك لا يمكن أن تكشف علنا النتائج الخاصة بك أو محتويات التطبيق الخاص بك لأطراف ثالثة بأي شكل من الأشكال بدون موافقة خطية مسبقة من باي بال"، و ثيقة تقول .

برامج خاصة مماثلة مع NDAs متاحة أيضًا للشركات الأخرى التي تدفع المكافآت من خلال HackerOne.

هذا غير مقبول من وجهة نظر مؤسسة Electronic Frontier Foundation: "يعتقد EFF بقوة أن الباحثين الأمنيين بموجب التعديل الأول [لدستور الولايات المتحدة] لديهم الحق في الإبلاغ عن أبحاثهم ، وأن الكشف عن نقاط الضعف مفيد للغاية" ، كما يقول أندرو كروكر ، المحامي البارز في المؤسسة الحدود الإلكترونية. ووفقًا له ، فإن العديد من الباحثين الأمنيين البارزين يرفضون العمل على منصات المكافأة بسبب الحاجة إلى التوقيع على اتفاقية عدم الإفشاء.

على سبيل المثال ، اتخذ Tavis Ormandy ، وهو مخترق حسن السمعة من مشروع Google Project Zero ، هذا الموقف. يرفض تافيس التوقيع على اتفاقية عدم الإفشاء ، مفضلاً البريد الإلكتروني: "قد لا يقرؤون تقاريري إذا لم يرغبوا " ، كما يقول . المؤقت لمدة 90 يومًا لا يزال موقوتًا.

وكتبت منظمة المجتمع المدني أن تافيس أورماندي ليس الباحث الأمني الوحيد الذي يرفض إسكات . رفض

Kevin Finisterre (@ d0tslash) 30000 دولار لأن DJI تطلب التوقيع على اتفاقية عدم الإفشاء لدفع رسوم ، ولا تندم على قراره. لأنه بفضل الكشف عن المعلومات ، اكتسب كيفن شهرة واحترامًا في مجتمع أمن المعلومات ، وفي بداية حياته المهنية ، يستحق الأمر الكثير.

بعد كل شيء ، لا يتوافق وجود NDA مع معايير ISO 29147 و ISO 30111 ، التي تحدد أفضل الممارسات لتلقي تقارير الثغرات ، وتصحيح هذه الأخطاء ، ونشر التوصيات. كاتي موسوري هي مؤلفة مشاركة في هذه المعايير وتؤكد أن خيرات الأخطاء الخاصة بحكم تعريفها لا يمكن أن تتوافق مع هذه المعايير ، والتي تصف قواعد تلقي ومعالجة المعلومات لشركة: "عندما يكون عدم الإفصاح شرطًا مسبقًا أو شرطًا للإبلاغ عن الأخطاء من خلال منصة مكافأة الأخطاء ، فإن هذا يقول الموسوري إن انتهاك عملية الكشف عن الثغرات الأمنية الموضحة في معيار ISO 29147 ينتهك بشكل أساسي. "الغرض من المعيار هو جعل من الممكن الإبلاغ عن نقاط الضعف و [إبراز] إصدار التوصيات للأطراف المتضررة."

تجادل نظرية الكشف عن الثغرات الأمنية بأن المخاطر قصيرة المدى للكشف العلني تفوقها الفوائد طويلة المدى لإصلاح الثغرات ، وإعلام المستخدمين بشكل أفضل ، والتحسينات الأمنية النظامية.

لسوء الحظ ، لا تتبع منصات مثل HackerOne هذه المبادئ. يشرح HackerOne للعملاء كيفية إغلاق الباحثين في مجال الأمن ، وذلك في مقالة على مدونته ، "المكونات الحرجة الخمسة لسياسة الكشف عن الثغرات الأمنية". على وجه الخصوص ، يوصى بعدم الإشارة إلى الفترة التي يُسمح بعدها للباحثين بالإبلاغ علنًا عن عملهم:

وبحسب موسوري ، يمكن للمنظمات الناضجة وينبغي لها أن تتبنى برامج الكشف عن الثغرات الخاصة بها. إذا كانوا على استعداد لتدفق كبير من رسائل الخطأ المريبة ، يمكنهم اختيار مكافأة مكافأة الخطأ ، ولكن الوسطاء الذين يمثلهم HackerOne ليس لديهم سوى القليل من المساعدة: "أخبرتهم قبل المغادرة" ، يقول موسوري ، "إذا كنتم تستطيعون تبسيط التواصل بين الباحثين والبائعين ، هذا أمر جيد. ولكن إذا كنت تحاول بيع السيطرة ، فأنت تفعل الشيء الخطأ ".

تستخدم الشركات خيرات الأخطاء لشراء صمت القراصنة

إجراء الكشف عن الضعف

الصمت سلعة

باونتي علة خاصة

More articles: