Get best of the week

公司利用漏洞赏金来购买黑客的沉默



错误赏金平台HackerOne,Bugcrowd和Synack充当了白人黑客与想要提高其产品安全性的公司之间的中介。正确使用后,逻辑很简单:

  1. 黑客报告了一个漏洞。
  2. 开发公司会纠正该错误,并将奖励转移给黑客,以感谢您做正确的事。

但实际上,一切工作都不同。正如CSO调查显示的那样,公司和漏洞赏金平台将漏洞披露的工作彻底颠倒了,以至包括前HackerOne政策总监Katie Mussouri在内的许多专家都将其称为“变态”。

简而言之,公司没有解决错误,而是优先考虑贿赂黑客,迫使他们签署NDA作为支付报酬的前提。这从根本上改变了正在发生的逻辑。

漏洞披露程序


漏洞披露程序(VDP)是许多公司几乎强制性的要求。例如,美国联邦贸易委员会建议公司针对不良的安全做法采用此类程序和罚款。国土安全部去年命令所有联邦民用机构采用漏洞披露程序。

但是,对于任何代理机构或公司而言,VDP都是一个巨大的麻烦。过程如下:安全研究人员报告一个错误,并最多为您提供90天的修复时间。如果时间用完,他们会打电话给他们最喜欢的记者,并在Twitter上发布有关该漏洞的完整信息,如果这确实是一个多汁的错误,还可以在Black Hat会议或DEF CON上发言。

一方面,漏洞披露程序在公司,社会和安全研究人员本身的利益之间取得了一定的平衡,他们的工作受到认可。但是,许多公司可能会担心其股票价格和/或声誉,因此他们宁愿付钱以摆脱向公众报告的需要。

错误赏金平台为组织提供了诱人的选择。研究人员报告了保密协议(NDA)中的漏洞。他们实际上是为沉默而付出的。然后,公司会做自己想要的事情。如果需要,也许可以修复您报告的这些错误。它可能无法解决它,但禁止您谈论它。

沉默是一种商品


沉默是一种商品。并且似乎该产品在市场上需求很大。需求创造供应。因此,漏洞赏金平台以向客户提供他们愿意支付的价格的方式扩展了其活动。

前HackerOne政策总监Katie Mussouri认为,问题的根源在于正在寻求指数增长的漏洞赏金平台的商业化。例如,HackerOne管理层设定了一个目标,即在平台上收集100万名黑客。对于他们而言,重要的是在任何条件下以报酬吸引尽可能多的任何规模的公司。


Katie Mussouri,前HackerOne政策总监,Lut Security创始人

Mussouri 说: “这些商业漏洞搜索平台……正在破坏整个生态系统,即使我自己为此付出代价,我也希望它停止。”作为HackerOne的领导人之一,她已经获得了股票期权,并且可以在成功公开发行HackerOne股份后获得丰厚的回报。 “尽管我个人获得了经济利益,但我还是向您呼吁。”

其他独立专家也认为,保密会损害信息安全:“最好使奖励透明,公开。 Errata Security的罗伯特·格雷厄姆(Robert Graham)表示,您尝试对它们进行分类并接受NDA的次数越多,它们变得越不有效,就涉及营销而不是安全性。

乔纳森·莱特舒(Jonathan Leitschuh)同意他的观点,他去年披露了Zoom视频会议程序中的一个灾难性漏洞(在本地主机上安装Web服务器,而用户却不知道远程执行命令)。

Zoom在本地主机上时的简单利用:

<img src="http://localhost:19421/launch?action=join&confno=492468757"/>

未经用户许可激活网络摄像头:

<iframe src="https://zoom.us/j/492468757"/>

Jonathan Leitschuh于2019年3月26日通知该公司,但未能修复该漏洞,因此恰好在90天后,黑客在公共领域发布了一篇带有描述的文章。信息广泛传播并发出噪音。之后,该公司立即发布了补丁。


但是黑客没有得到奖励。“这是漏洞赏金平台目前存在的问题之一。他们使公司避免了90天的披露期,”他说。-这些程序中的许多程序都是基于这种不公开的想法来开展业务的。最终,他们似乎试图让研究人员保持沉默。”

私人漏洞赏金


诸如HackerOne之类的平台保密协议甚至禁止提及存在私人漏洞赏金计划。像“ X公司在Bugcrowd中有一个私人程序”这样的推文足以将黑客赶出平台。

鞭子和胡萝卜使黑客沉默。在胡萝卜可以理解的地方,这就是金钱。但是有一个鞭子:由于违反了保密协议,研究人员可能被追究责任,包括刑事起诉。从理论上讲,同样的责任威胁着黑客,他们自己承担风险和风险,在没有与公司达成任何协议的情况下发布有关漏洞的信息,而只是受到普遍接受的黑客道德原则和自公司通知之日起90天的时效法规的指导。

2017年,美国司法部发布了为准则安全研究人员的保护。根据该文件的逻辑,对于关注公共安全并出于公共利益而进行黑客攻击,并试图做正确事情的公民,不应对其施加严重的非法黑客惩罚。但是这个问题仍在法庭上。如果黑客想要得到保证的法律保护免遭起诉,则必须签署保密协议,否则,根据CFAA的《计算机欺诈和滥用法》,他将面临十年或更长时间的监禁。这就是应该理解私人漏洞赏金的方式。

例如,使用贝宝。在官方网站上注明每个研究人员必须创建一个HackerOne帐户并同意其私人漏洞赏金计划(包括NDA)的条款。如果您以任何其他方式报告错误,贝宝(PayPal)拒绝保证您的安全,并且不排除提出索赔的权利。

也就是说,您只能通过签署NDA 来报告漏洞,而不能进行其他任何操作。 “提交申请或同意程序的条款,你同意,你不能公开披露的调查结果或您的应用程序的第三方以任何方式的内容,而不贝宝的事先书面同意”的文件



与NDA类似的私人计划也适用于通过HackerOne支付报酬的其他公司。

从电子前沿基金会的观点来看,这是不可接受的:“联邦军坚信[美国宪法]宪法第一修正案的安全研究人员有权报告他们的研究,并且披露漏洞非常有用,”基金会高级律师安德鲁·克罗克(Andrew Crocker)说。电子领域。据他介绍,由于需要签署NDA,许多领先的安全研究人员拒绝在漏洞赏金平台上工作。

例如,来自Google Project Zero项目的著名黑客Tavis Ormandy担任了这一职位。塔维斯拒绝签署保密协议,而是发送电子邮件:“如果不想,他们可能不会阅读我的报告,”他说。 90天的计时器仍在计时。



CSO 写道 ,Tavis Ormandy不是唯一拒绝枪口的安全研究人员

凯文·菲尼斯特雷(@ d0tslash)拒绝支付3万美元,因为DJI要求签署NDA来支付费用,并且不后悔他的决定。因为多亏了信息公开,凯文在信息安全界赢得了名望和尊重,所以在他职业生涯的开始就值得很多。

毕竟,NDA的存在不符合ISO 29147和ISO 30111标准,后者定义了接收漏洞报告,更正这些错误和发布建议的最佳实践。凯蒂·穆索里(Katie Mussouri)是这些标准的合著者,并确保私人漏洞赏金定义不符合这些标准,这些标准描述了接收和处理公司信息的规则:“当不公开是通过漏洞赏金平台报告错误的前提或条件时, Moussouri说,从根本上违反了ISO 29147标准中描述的漏洞披露过程。 “该标准的目的是使得可以报告漏洞 [突出显示]为受影响的各方发布建议。”

漏洞披露理论认为,修复漏洞,更好地通知用户和系统安全性的长期利益远远超过了公开披露的短期风险。

不幸的是,像HackerOne这样的平台没有遵循这些原则。在他的博客文章“漏洞披露政策的五个关键组成部分”中, HackerOne向客户解释了如何关闭安全研究人员。特别是,建议不要指明允许研究人员公开报告其工作的期限:



Mussouri认为,成熟的组织可以并且应该采用自己的漏洞披露程序。如果他们准备好处理大量可疑的错误消息,则可以选择设置错误赏金奖励,但是由HackerOne代表的中介没有什么帮助:“我在离开之前就告诉过他们,” Mussouri说,“如果你们可以简化彼此之间的沟通,研究人员和供应商,这很好。但是,如果您试图出售控制权,那么您做错了事。”



More articles:


All Articles