Opinia: Sposób, w jaki Zoom ujawnia luki w zabezpieczeniach, podkreśla ciemną stronę nagród NDA za błędy

Pomimo najlepszych starań organizacji, aby stworzyć usługę, która działa bezbłędnie i jest bezpieczna, błędy oprogramowania mogą się zdarzać, a niektóre z nich są poważniejsze niż inne.

Czasami te błędy mogą pozostać niezauważone nawet przez najbardziej doświadczone zespoły bezpieczeństwa, potencjalnie tworząc produkt, który zagraża bezpieczeństwu cyfrowemu użytkowników i naraża ich na ataki cybernetyczne. Wiele firm konfiguruje programy premiowe za błędy w celu pozyskania badaczy zajmujących się cyberbezpieczeństwem, aby pomóc im zlokalizować luki, które mogą kryć się w ich systemach.

Zasadniczo badacz włamuje się (etycznie) do systemu dostawcy, aby spróbować wykorzystać wszelkie istniejące luki. Jeśli badacz odkryje lukę, która stwarza wystarczająco duże ryzyko, może zebrać nagrodę za błąd w wysokości setek dolarów, a nawet setek tysięcy dolarów, w zależności od powagi wykrytego błędu. Łowcy nagród za błędy często odgrywają rolę niedocenianych bohaterów bezpieczeństwa cybernetycznego, dzięki czemu organizacje są odpowiedzialne za zapewnienie bezpieczeństwa cyfrowego konsumentów.

Co się jednak dzieje, gdy organizacja nie zgadza się z badaczem cyberbezpieczeństwa co do ważności luki odkrytej przez badacza? Co się stanie, gdy organizacja spróbuje uniknąć odpowiedzialności, zakazując naukowcowi publicznego ujawnienia swoich ustaleń, lub zgodzi się zapłacić nagrodę za błąd, pod warunkiem, że badacz publicznie nie ujawni luki w zabezpieczeniach? Gdy tak się stanie, cyfrowe bezpieczeństwo i prywatność użytkowników mogą być poważnie zagrożone.

Programy premiowe za błędy są niezbędne do zapewnienia bezpieczeństwa i prawidłowego działania systemów, na których działają oprogramowanie i aplikacje, z których konsumenci korzystają na co dzień. Zachęcają badaczy cyberbezpieczeństwa i etycznych hakerów do zgłaszania się i znajdowania luk w zabezpieczeniach. Jest oczywiste, że wymaganie od łowców nagród błędów podpisania umowy o zachowaniu poufności (NDA) jest również ważnym i skutecznym sposobem zapobiegania ujawnieniu i wykorzystaniu potencjalnie poważnych luk w zabezpieczeniach przed ich załataniem.

To powiedziawszy, przepisy NDA, które uniemożliwiają naukowcom publiczne ujawnienie podatności, mogą na przykład stanowić niewielką zachętę dla firmy do odpowiedniego usunięcia usterki, narażając użytkowników na różne zagrożenia cybernetyczne.

Badacze bezpieczeństwa i łowcy nagród wykonują świetną robotę, ponosząc odpowiedzialność firm za dbanie o bezpieczeństwo użytkowników. Ale kiedy firmy angażują się w wątpliwe taktyki NDA z badaczami bezpieczeństwa, aby ominąć tę odpowiedzialność, bezpieczeństwo użytkowników może być narażone na znaczne ryzyko.

W świetle niedawnej fali głośnych naruszeń danych i poważnych nadzorów w zakresie bezpieczeństwa, obejmujących jedne z największych nazwisk w branży, opinia publiczna zasługuje na znacznie większą odpowiedzialność przed firmami, którym powierzyły swoje informacje. Ustawodawcy na całym świecie zaczęli atakować branżę i opracowują przepisy, które mają na celu ochronę konsumentów, a jednocześnie rozliczają firmy technologiczne z tego, jak obchodzą się z wrażliwymi danymi. Czołowi menedżerowie branży, tacy jak Mark Zuckerberg na Facebooku, Bill Gates Microsoftu i Tim Cook Apple, uznali potrzebę lepszej ochrony prywatności konsumentów oraz większe poczucie odpowiedzialności dla firm. Jednocześnie konsumenci stają się coraz bardziej nieufni wobec tego, jak firmy zarządzają swoimi prywatnymi danymi.

Biorąc pod uwagę ten trend, obsługa Zoom przez odpowiedzialnego badacza cyberbezpieczeństwa ujawnienia kilku poważnych luk w aplikacji do wideokonferencji jest zaskakująca. W marcu badacz ds. Bezpieczeństwa cybernetycznego Jonathan Leitschuh skontaktował się z Zoomem, aby powiadomić firmę o trzech głównych zagrożeniach bezpieczeństwa istniejących w aplikacji do wideokonferencji na komputery Mac. Oprócz błędu, który umożliwił złośliwemu atakującemu przeprowadzenie ataku typu „odmowa usługi” (DOS) na maszynę użytkownika, oraz błędu, który pozostawił lokalny serwer internetowy zainstalowany na komputerze Mac użytkownika nawet po odinstalowaniu aplikacji Zoom, Leitschuh odkrył również poważnie alarmująca luka, która pozwoliła złośliwemu podmiotowi zewnętrznemu na zdalne włączenie i automatyczne włączenie niczego niepodejrzewającego mikrofonu i kamery użytkownika Mac.

Zgodnie z blogiem Leitschuha Zoom stale bagatelizował dotkliwość luk w trwających rozmowach. Leitschuh dał Zoomowi standardowe w branży 90-dniowe okno, w którym można rozwiązać problemy, zanim przystąpi się do publicznego ujawnienia. Dostarczył Zoomowi rozwiązanie, które nazwał „szybką poprawką”, aby tymczasowo naprawić usterkę aparatu, podczas gdy firma zakończyła prace nad wprowadzeniem stałej poprawki. Podczas spotkania przed 90-dniowym terminem publicznego ujawnienia Zoom przedstawił Leitschuh proponowaną poprawkę. Jednak badacz szybko zauważył, że proponowane rozwiązanie było nieodpowiednie i można je łatwo ominąć na różne sposoby.

Pod koniec 90-dniowego terminu publicznego ujawnienia Zoom wdrożył tymczasowe rozwiązanie „szybkiej poprawki”. Leitschuh napisał w swoim blogu:

"Ostatecznie Zoom nie udało się szybko potwierdzić, że zgłoszona luka rzeczywiście istniała, i nie udało im się szybko naprawić problemu. Organizacja tego profilu z tak dużą bazą użytkowników powinna była bardziej proaktywnie chronić swoich użytkowników przed atakiem."

W swojej pierwotnej odpowiedzi na publiczne ujawnienie na blogu firmy Zoom odmówił uznania wagi usterki wideo i „ostatecznie… postanowił nie zmieniać funkcji aplikacji”. Chociaż (dopiero po otrzymaniu znacznego publicznego sprzeciwu po ujawnieniu) Zoom zgodził się całkowicie usunąć lokalny serwer internetowy, który umożliwił wykorzystanie exploita, a pierwsza odpowiedź firmy wraz z kontami Leitschuha na temat tego, w jaki sposób Zoom zdecydował się odpowiedzieć na swoje odpowiedzialne ujawnienie, ujawnia, że ​​Zoom nie potraktował problemu poważnie i miał niewielkie zainteresowanie prawidłowym rozwiązaniem to.

Bądź cicho

Zoom próbował kupić milczenie Leitschuha w tej sprawie, pozwalając mu skorzystać z programu nagrody za błędy tylko pod warunkiem, że podpisał zbyt surową umowę NDA. Leitschuh odrzucił ofertę. Zoom twierdził, że badaczowi zaoferowano nagrodę finansową, ale odmówił jej z powodu „warunków nieujawniania”. Zoom nie wspomniał o tym, że konkretne warunki oznaczały, że Leitschuh miałby zakaz ujawniania luk, nawet po ich poprawieniu. Dałoby to firmie Zoom zero zachętę do usunięcia luki, którą firma uznała za nieistotną.

NDA są powszechną praktyką w programach z nagrodami za błędy, ale domaganie się ciągłego milczenia od badacza przypomina płacenie ciszy i ostatecznie nie przynosi korzyści badaczowi, ani użytkownikom, ani ogółowi społeczeństwa. Rolą NDA powinno być zapewnienie firmie rozsądnego czasu na usunięcie i usunięcie luki, zanim zostanie ujawniona opinii publicznej i potencjalnie wykorzystana przez cyberprzestępców. Firmy mają uzasadnione oczekiwania, że ​​nie zostaną ujawnione, pracując nad usunięciem luki, ale przede wszystkim z korzyścią dla użytkownika, a nie przede wszystkim w celu uratowania twarzy w sądzie opinii publicznej. Z drugiej strony naukowcy mają uzasadnione oczekiwania co do nagrody pieniężnej, a także publicznego uznania dla ich wysiłków. Użytkownicy mają uzasadnione oczekiwania, że ​​firmy, których produkty używają, robią wszystko, co w ich mocy, aby zabezpieczyć swoją prywatność. Wreszcie społeczeństwo ma uzasadnione prawo wiedzieć, jakie luki w zabezpieczeniach istnieją i co robi się w celu ochrony konsumentów przed cyberzagrożeniami oraz co konsumenci mogą zrobić, aby się zabezpieczyć.

Sprzeczne priorytety

Zoomowi byłoby trudniej poradzić sobie z tą sytuacją gorzej. Firma była tak skoncentrowana na zapewnieniu bezproblemowej obsługi, że całkowicie zapomniała o kluczowym znaczeniu ochrony prywatności użytkowników. „Wideo ma kluczowe znaczenie dla Zoom. Nasza platforma wideo-pierwsza jest kluczową korzyścią dla naszych użytkowników na całym świecie, a nasi klienci powiedzieli nam, że wybrali Zoom, aby zapewnić bezproblemową komunikację wideo ”, powiedziała firma w odpowiedzi. Jednak Zoom uciekł się do zainstalowania lokalnego serwera WWW w tle na komputerach Mac, który skutecznie ominął funkcję bezpieczeństwa w przeglądarce Safari, aby ułatwić użytkownikom korzystanie z tego „bezproblemowego” wideo. Ta funkcja bezpieczeństwa Safari wymagała potwierdzenia użytkownika przed uruchomieniem aplikacji na komputerze Mac. Rozwiązaniem Zoom było obejście go celowo i narażenie prywatności użytkowników, aby zaoszczędzić im jedno lub dwa kliknięcia.

Dopiero po tym, jak publiczna reakcja nastąpiła po ujawnieniu informacji, firma podjęła znaczące działania. Początkowa odpowiedź firmy sugerowała, że ​​nie miała zamiaru zmieniać funkcji aplikacji, nawet w świetle znacznych luk w zabezpieczeniach aplikacji. Wygląda na to, że firma była skłonna nadać priorytet doświadczeniom użytkowników nad bezpieczeństwem użytkowników. Podczas gdy płynna obsługa jest bez wątpienia korzystna dla każdej aplikacji online, z pewnością nie powinna odbywać się kosztem bezpieczeństwa i prywatności.

Na uznanie firmy, współzałożyciel i dyrektor generalny Eric S. Yuan przyznał później, że Zoom źle poradził sobie z tą sytuacją i zobowiązał się do lepszego działania. Yuan stwierdził w poście na blogu, że „źle oceniliśmy sytuację i nie zareagowaliśmy wystarczająco szybko - i to dotyczy nas. Przejmujemy na siebie pełną odpowiedzialność i wiele się nauczyliśmy. Mogę wam powiedzieć, że bardzo poważnie podchodzimy do bezpieczeństwa użytkowników i z całego serca jesteśmy zobowiązani do właściwego działania naszych użytkowników ”, dodając również, że„ nasz obecny proces eskalacji najwyraźniej nie był wystarczająco dobry w tym przypadku. Podjęliśmy kroki w celu usprawnienia naszego procesu otrzymywania, eskalacji i zamykania pętli w odniesieniu do wszystkich przyszłych problemów związanych z bezpieczeństwem. ”

"źle oceniliśmy sytuację i nie zareagowaliśmy wystarczająco szybko - i to od nas zależy.

Ostatecznie jednak rzeczywistość pozostaje, że gdyby badacz zgodził się na warunki NDA przedstawione mu przez Zooma i zakazano im ujawnienia jego ustaleń, prawdopodobnie nigdy nie usłyszelibyśmy nic o luce w zabezpieczeniach. Co gorsza, firma prawdopodobnie nigdy nie rozwiązała problemu, narażając miliony użytkowników na poważne naruszenie prywatności.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me