Opinion: Zooms håndtering af afsløring af sårbarhed fremhæver den mørke side af fejlfindings-NDA’er

På trods af en organisations bedste indsats for at producere en service, der kører fejlfri og er sikker, kan og kan softwarebugs opstå, og nogle er mere alvorlige end andre.

Nogle gange kan disse bugs ikke blive opdaget, selv af de mest erfarne sikkerhedsteams, hvilket potentielt kan resultere i et produkt, der går på kompromis med brugernes digitale sikkerhed og efterlader dem udsat for cyberangreb. Mange virksomheder opretter fejl i bounty-programmer for at indrømme cybersecurity-forskere for at hjælpe dem med at finde sårbarheder, der muligvis lurer uopdaget i deres systemer.

I det væsentlige hacker forskeren (etisk) ind i leverandørens system for at forsøge at udnytte eventuelle sårbarheder, der måtte være. Hvis forskeren opdager en sårbarhed, der udgør en betydelig nok risiko, kan forskeren indsamle en fejl i bugten værd hundreder af dollars, eller endda hundreder af tusinder af dollars, afhængigt af sværhedsgraden af ​​den opdagede fejl. Bugterjægere fungerer ofte som de usungne helte inden for cybersikkerhed og holder organisationer ansvarlige for at sikre forbrugernes digitale sikkerhed.

Hvad sker der dog, når en organisation er uenig med cybersikkerhedsforskeren om sværhedsgraden af ​​en sårbarhed, der er afsløret af forskeren? Hvad sker der, når en organisation forsøger at undgå ansvarlighed ved at forbyde forskeren at offentliggøre hans eller hendes fund eller kun accepterer at betale en fejlbelønning under forudsætning af, at forskeren forbliver offentligt tavs om en sårbarhed? Når dette sker, kan forbrugernes digitale sikkerhed og personlige privatliv bringes alvorligt i fare.

Bug-bounty-programmer er vigtige for at holde de systemer, der kører den software og de applikationer, som forbrugerne bruger hver dag, sikre og fungerer korrekt. De stimulerer cybersecurity-forskere og etiske hackere til at komme frem og finde sårbarheder. Det er grunden til, at det at kræve bugbounty-jægere at underskrive en ikke-afsløringsaftale (NDA) også er en vigtig og effektiv måde at forhindre, at potentielt alvorlige sårbarheder udsættes for offentligt og udnyttes, før de lappes.

Når det er sagt, kan NDA-bestemmelser, der forhindrer en forsker i nogensinde offentligt afsløre en sårbarhed, for eksempel give et lille incitament for et selskab til korrekt at afhjælpe fejlen og efterlade brugere udsat for forskellige cyberlidelser.

Sikkerhedsforskere og bountyjægere gør et stort stykke arbejde med at holde virksomheder ansvarlige for at holde deres brugere trygge og sikre. Men når virksomheder deltager i tvivlsom NDA-taktik med sikkerhedsforskere for at skørt den ansvarlighed, kan brugersikkerhed udsættes for betydelig risiko.

I lyset af den nylige bølge af høje profilerede dataforbrud og større sikkerhedsovervågninger, der involverer nogle af de største navne inden for tech, fortjener offentligheden meget større ansvarlighed fra de virksomheder, de overdrager deres information. Lovgivere over hele kloden er begyndt at slå branchen ned og har udarbejdet lovgivning, der sigter mod at beskytte forbrugere, samtidig med at teknologiselskaberne er ansvarlige for, hvordan de håndterer følsomme data. Topbranchen som Facebooks Mark Zuckerberg, Microsofts Bill Gates og Apples Tim Cook har alle erkendt behovet for bedre beskyttelse af privatlivets fred samt en større følelse af ansvarlighed for virksomhederne. På samme tid er forbrugere blevet mere og mere mistillid til, hvordan virksomheder administrerer deres private data.

I betragtning af denne tendens forbløffer Zooms håndtering af en cybersecurity-forsker's ansvarlige afsløring af flere alvorlige sårbarheder i sin videokonference-applikation. I marts kontaktede cybersecurity-forsker Jonathan Leitschuh Zoom for at underrette virksomheden om tre større sikkerhedssårbarheder, der findes inden for dets videokonferencesøgning til Mac-computere. Ud over en bug, der gjorde det muligt for en ondsindet angriber at starte et DIN-angreb på en brugers maskine, og en fejl, der efterlod en lokal webserver installeret på brugerens Mac, selv efter afinstallation af Zoom-applikationen, afslørede Leitschuh også en alvorligt alarmerende sårbarhed, der gjorde det muligt for en ondsindet tredjepartsenhed at fjerne og automatisk aktivere en intetanende Mac-brugers mikrofon og kamera.

Ifølge Leitschuhs blogindlæg bagatelliserede Zoom kontinuerligt sværhedsgraden af ​​sårbarhederne under løbende samtaler. Leitschuh gav Zoom et industristandard 90-dages vindue til løsning af problemerne, før de fortsatte med offentliggørelse. Han leverede endda Zoom med det, han kaldte en "quick fix" -løsning for midlertidigt at lave kamerasårbarheden, mens virksomheden var færdig med at rulle ud den permanente løsning. Under et møde forud for den 90-dages frist for offentlig offentliggørelse forelagde Zoom Leitschuh den foreslåede løsning. Forskeren var dog hurtig med at påpege, at den foreslåede løsning var utilstrækkelig og let kunne omgås på forskellige måder.

Ved udgangen af ​​den 90-dages frist for offentliggørelse implementerede Zoom den midlertidige “quick fix” -løsning. Leitschuh skrev i sit blogindlæg:

"I sidste ende mislykkedes Zoom med hurtigt at bekræfte, at den rapporterede sårbarhed faktisk eksisterede, og at de ikke fik en rettelse af problemet leveret til kunderne på rettidig måde. En organisation af denne profil og med en så stor brugerbase burde have været mere proaktiv til at beskytte deres brugere mod angreb."

I sin første reaktion på offentliggørelsen på firmabloggen nægtede Zoom at anerkende alvorligheden af ​​videosårbarheden og "i sidste ende ... besluttede ikke at ændre applikationsfunktionaliteten." Skønt (kun efter at have modtaget betydelig offentlig tilbageslag efter afsløringen) Zoom accepterede fuldstændigt at fjerne den lokale webserver, der muliggjorde udnyttelsen, virksomhedens første svar sammen med Leitschuhs beretninger om, hvordan Zoom valgte at adressere sin ansvarlige afsløring afslører, at Zoom ikke tog spørgsmålet alvorligt og havde ringe interesse i at rette ordentligt det.

Vær stille

Zoom havde forsøgt at købe Leitschuhs tavshed om emnet ved at give ham mulighed for at drage fordel af virksomhedens bug-bounty-program kun under forudsætning af, at han underskrev en alt for streng NDA. Leitschuh afviste tilbuddet. Zoom hævdede, at forskeren blev tilbudt en økonomisk skøn, men afviste den på grund af "ikke-oplysningsbetingelser". Hvad Zoom forsømte at nævne, er, at de specifikke udtryk, som Leitschuh betød, ville have været forbudt at afsløre sårbarhederne, selv efter at de var ordentligt lappet. Dette ville have givet Zoom nul incitament til at lave en sårbarhed, som virksomheden afskedigede som værende ubetydelig.

NDA'er er almindelig praksis i fejl i bounty-programmer, men at kræve permanent tavshed fra forskeren er beslægtet med at betale hush penge og til sidst kommer ikke forskeren til gode, og det er heller ikke til gavn for brugerne eller offentligheden generelt. NDA's rolle bør være at give virksomheden en rimelig tid til at adressere og løse en sårbarhed, før den udsættes for offentligheden og potentielt udnyttes af cyberkriminelle. Virksomheder har en rimelig forventning om ikke-videregivelse, mens de arbejder for at løse en sårbarhed, men først og fremmest til fordel for brugeren, ikke primært for at redde ansigt ved domstolen for den offentlige mening. Forskere har på den anden side en rimelig forventning om en monetær belønning samt for offentlig anerkendelse for deres indsats. Brugere har en rimelig forventning om, at de virksomheder, hvis produkter de bruger, gør alt, hvad de kan for at sikre deres privatliv. Endelig har offentligheden en rimelig ret til at vide, hvilke sikkerhedssårbarheder der findes, og hvad der gøres for at beskytte forbrugere mod cybertrusler, og hvad forbrugere kan gøre for at beskytte sig selv.

Modstridende prioriteter

Det ville have været vanskeligt for Zoom at håndtere denne situation værre end den gjorde. Virksomheden var så fokuseret på at skabe en sømløs brugeroplevelse, at det mistede synet af den kritiske betydning af at beskytte brugernes privatliv. ”Video er vigtig for Zoom-oplevelsen. Vores video-første platform er en vigtig fordel for vores brugere overalt i verden, og vores kunder har fortalt os, at de vælger Zoom som vores friktionsfri oplevelse af videokommunikation, ”siger virksomheden i sit svar. Men Zoom benyttede sig til at installere en lokal webserver i baggrunden på Mac-computere, der effektivt omgåede en sikkerhedsfunktion i Safari-webbrowser for at lette denne “friktionsfri” videooplevelse for sine brugere. Den pågældende Safari-sikkerhedsfunktion krævede brugerbekræftelse, inden appen blev lanceret på en Mac. Zooms løsning på dette var at omgå det bevidst og sætte brugerens privatliv i fare for at gemme dem et klik eller to.

Først efter den offentlige tilbageslag, den modtog i kølvandet på afsløringen, tog virksomheden meningsfulde handlinger. Virksomhedens første svar antydede, at det ikke havde til hensigt at ændre applikationsfunktionaliteten, selv i lyset af de betydelige sårbarheder, som applikationen indeholdt. Det ser ud til, at virksomheden var villig til at prioritere brugeroplevelse frem for brugersikkerhed. Selv om glat brugeroplevelse uden tvivl er gavnlig for enhver online applikation, burde den bestemt ikke komme på bekostning af sikkerhed og privatliv.

Til virksomhedens kredit anerkendte medstifter og administrerende direktør Eric S. Yuan senere, at Zoom håndterede situationen dårligt og forpligtet sig til at gøre det bedre fremad. Yuan sagde i et blogindlæg, at ”vi fejlagtigt vurderede situationen og ikke reagerede hurtigt nok - og det er os. Vi tager fuldt ejerskab, og vi har lært meget. Det, jeg kan fortælle dig, er, at vi tager brugersikkerhed utroligt alvorligt, og vi er helhjertet forpligtet til at gøre det rigtigt af vores brugere, ”tilføjede også, at“ vores nuværende eskaleringsproces helt klart ikke var god nok i dette tilfælde. Vi har taget skridt til at forbedre vores proces til modtagelse, eskalering og lukning af løkken for alle fremtidige sikkerhedsrelaterede problemer. ”

"vi forkert vurderede situationen og reagerede ikke hurtigt nok - og det er os.

I sidste ende er det imidlertid den virkelighed, som havde forskeren accepteret vilkårene i NDA, som Zoom blev forelagt for ham og havde været forbudt at afsløre sine fund, kunne vi meget sandsynligvis aldrig have hørt noget om sårbarheden. Værre endnu kan virksomheden sandsynligvis aldrig have løst problemet og efterladt millioner af brugere sårbare over for en alvorlig invasion af privatlivets fred.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me