Stanovisko: Zpracování zviditelnění zranitelnosti společností Zoom upozorňuje na temnou stránku chybových odměn NDA

Navzdory nejlepším snahám organizace o produkci služby, která funguje bezchybně a je bezpečná, se mohou a mohou vyskytnout softwarové chyby, a některé jsou závažnější než jiné.


Tyto chyby mohou někdy odhalit i nejzkušenější týmy zabezpečení, což může mít za následek produkt, který ohrožuje digitální zabezpečení jeho uživatelů a nechává je vystaveny kybernetickým útokům. Mnoho společností zřídilo programy odměn za chyby, aby získaly výzkumné pracovníky v oblasti kybernetické bezpečnosti, aby jim pomohli najít zranitelná místa, která se mohou skrývat v jejich systémech nezjištěná.

V zásadě se výzkumník (eticky) zasekává do systému dodavatele, aby se pokusil zneužít případná zranitelná místa. Pokud výzkumník zjistí zranitelnost, která představuje dostatečně významné riziko, může vědec sbírat odměnu za chybu v hodnotě stovek dolarů nebo dokonce stovek tisíc dolarů, v závislosti na závažnosti objevené chyby. Lovci bugových odměn často fungují jako neozbrojení hrdinové kybernetické bezpečnosti, což vede organizace k zajištění digitální bezpečnosti spotřebitelů.

Co se však stane, když organizace nesouhlasí s výzkumníkem kybernetické bezpečnosti ohledně závažnosti zranitelnosti odhalené výzkumníkem? Co se stane, když se organizace pokusí vyhnout se odpovědnosti tím, že zakáže výzkumnému pracovníkovi zveřejňovat svá zjištění, nebo pouze souhlasí s tím, že zaplatí odměnu za chybu za podmínky, že výzkumný pracovník o zranitelnosti mlčí? V takovém případě může být digitální bezpečnost a osobní soukromí spotřebitelů vážně ohroženo.

Programy odměn za chyby jsou nezbytné pro udržení systémů, které používají software a aplikace, které spotřebitelé používají každý den, v bezpečí a řádném fungování. Motivují výzkumníky kybernetické bezpečnosti a etické hackery, aby se přihlásili a našli zranitelnosti. Je zřejmé, že požadavek lovců odměn za chyby, aby podepsali dohodu o mlčenlivosti (NDA), je také důležitým a účinným způsobem, jak zabránit veřejnému vystavení a zneužití potenciálně závažných zranitelných míst před jejich opravou..

Ustanovení NDA, která brání výzkumníkovi v tom, aby veřejně kdykoli odhalili zranitelnost, by například mohla poskytnout společnosti malou pobídku k tomu, aby chybu řádně vyřešila, a uživatelé by tak byli vystaveni různým kybernetickým hrozbám..

Výzkumní pracovníci v oblasti bezpečnosti a lovci odměn za práci odvedou skvělou práci, aby holdingové společnosti odpovídaly za udržení svých uživatelů v bezpečí. Když se však společnosti zapojí do pochybných taktik NDA s výzkumníky v oblasti bezpečnosti, aby se zbavily této odpovědnosti, může být bezpečnost uživatelů vystavena značnému riziku.

S ohledem na nedávnou vlnu vysoce závažných narušení dat a významné bezpečnostní dohledy týkající se některých z největších jmen v technice si veřejnost zaslouží mnohem větší odpovědnost od společností, kterým svěřují jejich informace. Zákonodárci po celém světě začali tvrdě zakrývat toto odvětví a připravují právní předpisy, jejichž cílem je chránit spotřebitele, přičemž technické společnosti jsou odpovědné za to, jak nakládají s citlivými údaji. Špičkoví vedoucí pracovníci v oboru, jako je Mark Zuckerberg na Facebooku, Bill Gates od společnosti Microsoft a Tim Cook od společnosti Apple, všichni uznali potřebu lepší ochrany soukromí spotřebitelů a větší pocit odpovědnosti pro společnosti. Zároveň se spotřebitelé stále více nedůvěřují tomu, jak společnosti spravují svá soukromá data.

Vezmeme-li v úvahu tento trend, zpracování zoomu u odpovědného výzkumného pracovníka kybernetické bezpečnosti odhaluje několik závažných zranitelných míst ve své videokonferenční aplikaci. V březnu se výzkumník v oblasti kybernetické bezpečnosti Jonathan Leitschuh obrátil na společnost Zoom s cílem informovat společnost o třech hlavních bezpečnostních zranitelnostech, které existují v její videokonferenční aplikaci pro počítače Mac. Kromě chyby, která umožnila škodlivému útočníkovi zahájit útok na zařízení uživatele na útoku typu popření služby (DOS), a na chybu, která opustila lokální webový server nainstalovaný na počítači Mac i po odinstalaci aplikace Zoom, Leitschuh také odkryl závažná alarmující zranitelnost, která umožnila škodlivému subjektu třetí strany vzdáleně a automaticky povolit nic netušící mikrofon a kameru uživatele Mac.

Podle příspěvku Leitschuh na blogu Zoom nepřetržitě snižoval závažnost zranitelností během probíhajících rozhovorů. Leitschuh dal Zoom průmyslovému standardnímu 90dennímu oknu, ve kterém tyto problémy vyřešil před zveřejněním. Dokonce poskytl Zoomu to, čemu říkal řešení „rychlé opravy“, aby dočasně opravil zranitelnost kamery, zatímco společnost dokončila práce na zavádění trvalé opravy. Během setkání před 90-ti denní lhůtou pro zveřejnění informací společnost Zoom představila Leitschuhovi s navrženou opravou. Výzkumník však rychle poukázal na to, že navrhované řešení je nedostatečné a že je lze snadno obejít různými prostředky.

Na konci 90denního termínu zveřejnění informací společnost Zoom implementovala dočasné řešení „rychlé opravy“. Leitschuh napsal ve svém blogu:

"Nakonec se Zoom nepodařilo rychle potvrdit, že hlášená zranitelnost skutečně existovala a selhalo v tom, že byla včas vyřešena oprava problému. Organizace tohoto profilu as tak velkou uživatelskou základnou by měla být proaktivní při ochraně svých uživatelů před útokem."

Ve své počáteční odpovědi na zveřejnění na firemním blogu Zoom odmítl uznat závažnost zranitelnosti videa a „nakonec ... se rozhodl nezměnit funkčnost aplikace.“ Přesto (pouze po obdržení významné veřejné vůle po zveřejnění) Zoom souhlasil s úplným odstraněním místního webového serveru, který umožnil využití, počáteční odpověď společnosti spolu s účty Leitschuh o tom, jak se Zoom rozhodl řešit své odpovědné odhalení, ukazuje, že Zoom tento problém nebral vážně a měl malý zájem na správném vyřešení to.

Buď zticha

Zoom se pokusil koupit Leitschuhovo ticho v této záležitosti tím, že mu umožnil těžit z firemního programu odměny za chyby, pouze za podmínky, že podepsal příliš přísnou NDA. Leitschuh nabídku odmítl. Zoom tvrdil, že výzkumnému pracovníkovi byla nabídnuta finanční odměna, ale odmítl jej kvůli „podmínkám nezveřejnění“. Co Zoom zanedbával, je zmínka o tom, že specifické výrazy znamenaly, že Leitschuh by byl zakázán v odhalení zranitelnosti, i když by byly správně opraveny. To by dalo Zoom nulové pobídce k opravě zranitelnosti, kterou společnost odmítla jako nevýznamnou.

NDA jsou běžnou praxí v programech na odměny za chyby, ale náročné trvalé mlčení ze strany výzkumného pracovníka je podobné placení tichých peněz a v konečném důsledku není přínosem pro výzkumného pracovníka ani pro uživatele ani veřejnost obecně. Úlohou NDA by mělo být poskytnout společnosti přiměřený čas na vyřešení a nápravu zranitelnosti dříve, než bude vystavena veřejnosti a potenciálně zneužita kybernetickými zločinci. Společnosti mají přiměřené očekávání, že nebudou zveřejněny, zatímco se snaží opravit zranitelnost, ale především ve prospěch uživatele, nikoli primárně kvůli ochraně tváře u soudu veřejného mínění. Na druhé straně mají vědci rozumné očekávání jak peněžní odměny, tak uznání veřejnosti za jejich úsilí. Uživatelé mají rozumné očekávání, že společnosti, jejichž produkty používají, dělají vše pro to, aby si zajistily své soukromí. A konečně má veřejnost rozumné právo vědět, jaké bezpečnostní slabiny existují a co se dělá s cílem chránit spotřebitele před kybernetickými hrozbami a co mohou spotřebitelé udělat, aby se sami chránili.

Konfliktní priority

Pro Zoom by bylo obtížné zvládnout tuto situaci horší než to bylo. Společnost byla tak zaměřena na vytvoření plynulého uživatelského dojmu, že zcela ztratila ze zřetele zásadní důležitost ochrany soukromí uživatele. „Video je pro zážitek se zoomem ústřední. Naše platforma pro první video je klíčovou výhodou pro naše uživatele na celém světě a naši zákazníci nám řekli, že si pro náš zážitek z video komunikace bez tření vybrali Zoom, “uvedla společnost ve své odpovědi. Společnost Zoom se však uchylovala k instalaci místního webového serveru na pozadí v počítačích Mac, které účinně obešly bezpečnostní funkci ve webovém prohlížeči Safari, aby svým uživatelům usnadnily tento zážitek z videa „bez tření“. Dotyčná funkce zabezpečení Safari vyžadovala před spuštěním aplikace na počítači Mac potvrzení uživatele. Řešení společnosti Zoom bylo v tomto případě záměrně obejít a ohrozit soukromí uživatelů a uložit jim jedno nebo dvě kliknutí.

Pouze po veřejném odporu, který získala v důsledku zveřejnění, podnik podnikl smysluplné kroky. Počáteční odpověď společnosti naznačovala, že neměla v úmyslu změnit funkčnost aplikace, a to ani ve světle významných zranitelností, které aplikace skrývala. Zdá se, že společnost byla ochotna upřednostnit uživatelské prostředí před zabezpečením uživatelů. Hladký uživatelský dojem je nepochybně přínosem pro jakoukoli online aplikaci, ale rozhodně by neměl přijít na úkor bezpečnosti a soukromí.

Spoluzakladatel a generální ředitel Eric S. Yuan později uznal, že společnost Zoom se situací vyrovnal špatně a zavázala se, že bude dělat lépe. Yuan v blogu uvedl, že „jsme situaci špatně posoudili a neodpověděli dostatečně rychle - a to je na nás. Bereme plné vlastnictví a hodně jsme se naučili. Mohu vám říci, že bezpečnost uživatelů bereme neuvěřitelně vážně a jsme ze všech sil odhodláni dělat správné kroky ze strany našich uživatelů, “dodává také, že„ náš současný proces eskalace v tomto případě zjevně nebyl dost dobrý. Podnikli jsme kroky ke zlepšení našeho procesu přijímání, eskalace a uzavření smyčky pro všechny budoucí obavy týkající se bezpečnosti. “

"špatně jsme vyhodnotili situaci a neodpověděli dostatečně rychle - a to je na nás.

Nakonec však zůstává skutečností, že pokud by výzkumný pracovník souhlasil s podmínkami NDA, které mu byly předloženy společností Zoom a bylo mu zakázáno prozradit jeho zjištění, s největší pravděpodobností jsme o této zranitelnosti nikdy neslyšeli nic. A co je ještě horší, společnost pravděpodobně tento problém nikdy neopravila, takže miliony uživatelů jsou zranitelní vážnou invazí do soukromí.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me