Platform karunia bug HackerOne, Bugcrowd, dan Synack berfungsi sebagai perantara antara peretas putih dan perusahaan yang ingin meningkatkan keamanan produk mereka. Ketika digunakan dengan benar, logikanya sederhana:- Seorang hacker melaporkan kerentanan.
- Perusahaan pengembang memperbaiki bug dan mentransfer hadiah kepada hacker sebagai ucapan terima kasih karena telah melakukan hal yang benar.
Namun dalam kenyataannya, semuanya bekerja secara berbeda. Seperti yang ditunjukkan oleh investigasi CSO , perusahaan dan platform bug-bounty membalikkan pengungkapan kerentanan begitu banyak sehingga banyak pakar, termasuk mantan direktur kebijakan HackerOne Katie Mussouri, menyebutnya sebagai "penyimpangan".Singkatnya, alih-alih memperbaiki bug, perusahaan memprioritaskan menyuap hacker, memaksa mereka untuk menandatangani NDA sebagai prasyarat untuk membayar upah. Ini secara fundamental mengubah logika dari apa yang terjadi.Prosedur Pengungkapan Kerentanan
Program pengungkapan kerentanan (VDP) adalah persyaratan yang hampir wajib bagi banyak perusahaan. Sebagai contoh, Komisi Perdagangan Federal AS merekomendasikan perusahaan untuk mengadopsi prosedur dan denda tersebut untuk praktik keamanan yang buruk. Departemen Keamanan Dalam Negeri tahun lalu memerintahkan semua lembaga sipil federal untuk memperkenalkan prosedur pengungkapan kerentanan.Namun, untuk agensi atau perusahaan mana pun, VDP adalah sakit kepala yang sangat besar. Prosedurnya adalah sebagai berikut: peneliti keamanan melaporkan bug dan memberi Anda maksimum 90 hari untuk memperbaikinya. Ketika waktu habis - mereka memanggil beberapa jurnalis favorit mereka dan mempublikasikan informasi lengkap tentang kerentanan di Twitter, dan juga berbicara di konferensi Black Hat atau DEF CON, jika ini benar-benar bug yang menarik.Di satu sisi, prosedur pengungkapan kerentanan memberikan keseimbangan tertentu antara kepentingan perusahaan, masyarakat dan peneliti keamanan itu sendiri, yang menerima pengakuan atas pekerjaan mereka. Namun, ada sejumlah perusahaan yang mungkin khawatir dengan harga saham dan / atau reputasi mereka, sehingga mereka lebih suka membayar uang untuk menghilangkan kebutuhan untuk melaporkan kepada publik.Bug bounty platform menawarkan organisasi alternatif yang menggoda. Para peneliti melaporkan kerentanan dalam perjanjian non-pengungkapan (NDA). Mereka benar-benar dibayar untuk diam. Kemudian perusahaan melakukan apa yang diinginkannya. Mungkin perbaiki bug ini yang Anda laporkan jika Anda mau. Mungkin tidak memperbaikinya, tetapi Anda dilarang untuk membicarakannya.Diam adalah komoditas
Diam adalah komoditas. Dan sepertinya produk ini laris di pasaran. Permintaan menciptakan pasokan. Oleh karena itu, platform bug-bounty telah memperluas aktivitas mereka sedemikian rupa untuk menawarkan kepada pelanggan apa yang bersedia mereka bayar.Mantan Direktur Kebijakan HackerOne Katie Mussouri percaya bahwa akar masalahnya adalah komersialisasi platform karunia bug yang mencari pertumbuhan eksponensial. Misalnya, manajemen HackerOne menetapkan tujuan untuk mengumpulkan 1.000.000 peretas di platform. Penting bagi mereka untuk menarik sebanyak mungkin perusahaan dalam ukuran apa pun dalam kondisi apa pun, di bawah remunerasi.
Katie Mussouri, mantan Direktur Kebijakan HackerOne, pendiri Luta Security“Platform pencarian kerentanan komersial ini ... memutarbalikkan seluruh ekosistem, dan saya ingin menghentikannya bahkan jika saya membayarnya sendiri,” kata Mussouri . Sebagai salah satu pemimpin HackerOne, ia menerima opsi saham dan dapat mengandalkan hadiah yang besar jika ada penawaran umum saham HackerOne yang sukses. "Aku memohon padamu meskipun aku punya keuntungan finansial pribadi."Pakar independen lainnya setuju bahwa kerahasiaan membahayakan keamanan informasi: “Hadiah sebaiknya dibuat transparan dan terbuka. Semakin Anda mencoba mengklasifikasikan mereka dan menerima NDA, semakin tidak efektif jadinya, semakin banyak pemasaran, bukan keamanan, ”kata Robert Graham dari Errata Security.Jonathan Leitschuh setuju dengan dia, yang tahun lalu mengungkapkan kerentanan bencana dalam program konferensi video Zoom (menginstal server web di localhost tanpa sepengetahuan pengguna dan eksekusi perintah jarak jauh).Eksploitasi sederhana ketika Zoom ada di host lokal:<img src="http://localhost:19421/launch?action=join&confno=492468757"/>
Aktivasi webcam tanpa izin pengguna:<iframe src="https://zoom.us/j/492468757"/>
Jonathan Leitschuh memberi tahu perusahaan pada 26 Maret 2019, tetapi tidak memperbaiki kerentanannya, jadi tepat 90 hari kemudian peretas menerbitkan sebuah artikel dengan deskripsi di domain publik. Informasi tersebar luas dan membuat suara. Setelah itu, perusahaan langsung merilis patch.Tetapi si hacker tidak menerima hadiah. “Ini adalah salah satu masalah dengan platform karunia bug seperti yang ada saat ini. Mereka memungkinkan perusahaan untuk menghindari periode pengungkapan 90 hari, ”katanya. - Banyak dari program ini membangun bisnis mereka di atas ide non-disclosure ini. Pada akhirnya, tampaknya mereka mencoba untuk membeli keheningan peneliti . ”Bounty Bug Pribadi
Perjanjian non-pengungkapan platform seperti HackerOne melarang bahkan menyebutkan keberadaan program karunia bug pribadi. Satu tweet seperti "Perusahaan X memiliki program pribadi di Bugcrowd" sudah cukup untuk menendang peretas dari platform.Peretas dibungkam dengan cambuk dan wortel. Di mana wortel dapat dimengerti, ini adalah uang. Tetapi ada cambuk: karena melanggar perjanjian NDA, peneliti dapat dimintai pertanggungjawaban, termasuk penuntutan pidana. Tanggung jawab yang sama secara teoritis mengancam peretas yang, dengan risiko dan risiko sendiri, mempublikasikan informasi tentang kerentanan tanpa mengadakan perjanjian apa pun dengan perusahaan, tetapi hanya dipandu oleh prinsip etika peretas yang diterima secara umum dan undang-undang pembatasan 90 hari sejak tanggal pemberitahuan perusahaan.Pada 2017, Departemen Kehakiman AS menerbitkanpedoman untuk perlindungan peneliti keamanan. Menurut logika dokumen tersebut, hukuman berat untuk peretasan ilegal tidak boleh diterapkan pada warga negara yang mengkhawatirkan keselamatan publik dan melakukan peretasan untuk kepentingan umum, berusaha melakukan hal yang benar. Tetapi pertanyaan ini tetap ada di pengadilan. Jika peretas menginginkan jaminan perlindungan hukum dari penuntutan, ia harus menandatangani NDA, jika tidak ia akan menghadapi hukuman penjara sepuluh tahun atau lebih sesuai dengan Computer Fraud and Abuse Act, CFAA. Ini adalah bagaimana karunia bug pribadi harus dipahami.Misalnya, ambil PayPal. Di situs web resmi ditunjukkanbahwa setiap peneliti harus membuat akun HackerOne dan menyetujui persyaratan program hadiah bug pribadi mereka, termasuk NDA. Jika Anda melaporkan bug dengan cara lain, PayPal menolak untuk menjamin keamanan Anda dan tidak mengecualikan pengajuan klaim.Artinya, Anda hanya dapat melaporkan kerentanan dengan menandatangani NDA, dan tidak ada yang lain. "Dengan mengajukan aplikasi atau menyetujui persyaratan program, Anda setuju bahwa Anda tidak dapat secara terbuka mengungkapkan temuan Anda atau konten aplikasi Anda kepada pihak ketiga dengan cara apa pun tanpa persetujuan tertulis sebelumnya dari PayPal," kata dokumen itu .
Program pribadi serupa dengan NDA juga tersedia untuk perusahaan lain yang membayar hadiah melalui HackerOne.Ini tidak dapat diterima dari sudut pandang Electronic Frontier Foundation: "EFF sangat percaya bahwa peneliti keamanan di bawah Amandemen Pertama [untuk Konstitusi AS] memiliki hak untuk melaporkan penelitian mereka, dan bahwa pengungkapan kerentanan sangat berguna," kata Andrew Crocker, pengacara senior Yayasan perbatasan elektronik. Menurut dia, banyak peneliti keamanan terkemuka menolak untuk bekerja pada platform bug-bounty karena kebutuhan untuk menandatangani NDA.Sebagai contoh, Tavis Ormandy, seorang peretas terkemuka dari proyek Google Project Zero, mengambil posisi ini. Tavis menolak untuk menandatangani NDA, lebih memilih email: "Mereka mungkin tidak membaca laporan saya jika mereka tidak mau, " katanya . Timer untuk 90 hari masih berdetak.
Tavis Ormandy bukan satu-satunya peneliti keamanan yang menolak untuk memberangus, CSO menulis .Kevin Finisterre (@ d0tslash) menolak $ 30.000 karena DJI harus menandatangani NDA untuk membayar biaya, dan tidak menyesali keputusannya. Karena berkat pengungkapan informasi, Kevin memperoleh ketenaran dan rasa hormat di komunitas keamanan informasi, dan pada awal karirnya sangat berharga.Bagaimanapun, keberadaan NDA tidak memenuhi standar ISO 29147 dan ISO 30111, yang menentukan praktik terbaik untuk menerima laporan kerentanan, memperbaiki kesalahan ini, dan menerbitkan rekomendasi. Katie Mussouri adalah rekan penulis standar ini dan memastikan bahwa hadiah bug pribadi menurut definisi tidak dapat memenuhi standar ini, yang menjelaskan aturan untuk menerima dan memproses informasi untuk perusahaan: “Ketika non-pengungkapan merupakan prasyarat atau kondisi untuk melaporkan kesalahan melalui platform hadiah bug, ini secara fundamental melanggar proses pengungkapan kerentanan yang dijelaskan dalam standar ISO 29147, kata Moussouri. “Tujuan dari standar ini adalah untuk memungkinkan untuk melaporkan kerentanan dan [menyoroti] penerbitan rekomendasi untuk pihak-pihak yang terkena dampak.”Teori pengungkapan kerentanan berpendapat bahwa risiko jangka pendek pengungkapan publik melebihi manfaat jangka panjang dari memperbaiki kerentanan, memberi informasi yang lebih baik kepada pengguna, dan peningkatan keamanan sistemik.Sayangnya, platform seperti HackerOne tidak mengikuti prinsip-prinsip ini. Dalam posting blognya, The Five Critical Components dari Kebijakan Pengungkapan Kerentanan, HackerOne menjelaskan kepada pelanggan cara menutup mulut para peneliti keamanan. Secara khusus, disarankan untuk tidak menunjukkan periode setelah peneliti diizinkan untuk melaporkan pekerjaan mereka secara terbuka:
Menurut Mussouri, organisasi dewasa dapat dan harus mengadopsi program pengungkapan kerentanan mereka sendiri. Jika mereka siap untuk longsoran pesan kesalahan yang meragukan, mereka secara opsional dapat menetapkan hadiah bug bug, tetapi perantara yang diwakili oleh HackerOne tidak banyak membantu: "Saya memberi tahu mereka sebelum pergi," kata Mussouri, "jika kalian dapat menyederhanakan komunikasi antara peneliti dan vendor, itu bagus. Tetapi jika Anda mencoba untuk menjual kendali, maka Anda melakukan hal yang salah. "
