Opinion: Zooms håndtering av sårbarhetsavsløring fremhever den mørke siden av feilbelastnings-NDA-er

Til tross for en organisasjons beste innsats for å produsere en tjeneste som kjører feilfritt og er sikker, kan og kan programvarebugs oppstå, og noen er mer alvorlige enn andre.

Noen ganger kan disse feilene ikke oppdages, selv av de mest erfarne sikkerhetsteamene, noe som potensielt kan føre til et produkt som går på bekostning av brukernes digitale sikkerhet og etterlater dem utsatt for nettangrep. Mange selskaper setter opp feilpremierprogrammer for å verve cybersecurity-forskere for å hjelpe dem med å finne sårbarheter som kan lure uoppdaget i systemene deres.

I hovedsak hacker forskeren (etisk) inn i leverandørens system for å prøve å utnytte eventuelle sårbarheter som kan eksistere. Hvis forskeren oppdager en sårbarhet som utgjør en betydelig nok risiko, kan forskeren samle en bug-dusør verdt hundrevis av dollar, eller til og med hundretusenvis av dollar, avhengig av alvorlighetsgraden av feilen som er oppdaget. Bounty-jegere opptrer ofte som de usikrede heltene innen cybersikkerhet og holder organisasjoner ansvarlige for å sikre forbrukerens digitale sikkerhet.

Hva skjer derimot når en organisasjon er uenig med cybersecurity-forskeren om alvorlighetsgraden av en sårbarhet som forskeren har avdekket? Hva skjer når en organisasjon forsøker å unngå ansvarlighet ved å forby forskeren å offentliggjøre funnene sine offentlig, eller bare samtykker til å betale en bug-fortelling under forutsetning av at forskeren forblir offentlig lydløs om en sårbarhet? Når dette skjer, kan forbrukernes digitale sikkerhet og personvern bli alvorlig utsatt.

Bounty-programmene er avgjørende for å holde systemene som kjører programvaren og applikasjonene forbrukere bruker hver dag sikre og fungerer som de skal. De stimulerer cybersecurity-forskere og etiske hackere for å komme frem og finne sårbarheter. Det er grunnen til at det å kreve avlyttingsjegere å signere en ikke-avsløringsavtale (NDA) også er en viktig og effektiv måte å forhindre potensielt alvorlige sårbarheter fra å bli utsatt offentlig og utnyttet før de blir oppdatert.

Når det er sagt, kan NDA-bestemmelser som hindrer en forsker i å offentliggjøre en sårbarhet, for eksempel gi lite incentiv for et selskap til å løse feilen på riktig måte, slik at brukere blir utsatt for forskjellige netttrusler.

Sikkerhetsforskere og bountyjegere gjør en god jobb med å holde selskaper ansvarlige for å holde brukerne sine trygge. Men når selskaper driver tvilsomme NDA-taktikker med sikkerhetsforskere for å skjørt den ansvarligheten, kan brukersikkerhet bli utsatt for betydelig risiko.

I lys av den nylige bølgen av høyprofilerte brudd på data og store sikkerhetsoppsyn som involverer noen av de største navnene i tech, fortjener publikum mye større ansvarlighet fra selskapene de overlater informasjonen sin. Lovgivere over hele kloden har begynt å slå ned industrien og har utarbeidet lovverk som har som mål å beskytte forbrukerne mens de holder teknologiselskaper ansvarlige for hvordan de håndterer sensitive data. Topp bransjeledere som Facebooks Mark Zuckerberg, Microsofts Bill Gates og Apples Tim Cook har alle erkjent behovet for bedre beskyttelse av privatlivets fred, samt en større følelse av ansvarlighet for selskaper. Samtidig har forbrukere blitt mer og mer mistillit til hvordan selskaper administrerer sine private data.

Tatt i betraktning denne trenden er Zooms håndtering av en cybersecurity-forskers ansvarlige avsløring av flere alvorlige sårbarheter i videokonferanseapplikasjonen forvirrende. I mars kontaktet cybersecurity-forsker Jonathan Leitschuh Zoom for å varsle selskapet om tre viktige sikkerhetsproblemer som eksisterer i videokonferanseapplikasjonen for Mac-datamaskiner. I tillegg til en bug som gjorde det mulig for en ondsinnet angriper å starte et Deal-angrep på en brukers maskin, og en feil som etterlot en lokal webserver installert på brukerens Mac selv etter avinstallering av Zoom-applikasjonen, avdekket Leitschuh også en alvorlig alarmerende sårbarhet som gjorde det mulig for en ondsinnet tredjeparts enhet å fjernstyre og automatisk aktivere en intetanende Mac-brukers mikrofon og kamera.

I følge Leitschuhs blogginnlegg bagatelliserte Zoom kontinuerlig alvorlighetsgraden av sårbarhetene under pågående samtaler. Leitschuh ga Zoom et bransjestandard 90-dagers vindu der de kunne løse problemene før de fortsatte med offentliggjøring. Han ga til og med Zoom det han kalte en “quick fix” -løsning for å midlertidig korrigere sårbarheten i kameraet mens selskapet var ferdig med å rulle ut den permanente løsningen. Under et møte før 90-dagers fristen for offentliggjøring presenterte Zoom Leitschuh med den foreslåtte løsningen. Forskeren var imidlertid rask med å påpeke at den foreslåtte løsningen var utilstrekkelig og lett kunne omgås på forskjellige måter.

På slutten av 90-dagers fristen for offentliggjøring implementerte Zoom den midlertidige løsningen "quick fix". Leitschuh skrev i sitt blogginnlegg:

"Til syvende og sist mislyktes Zoom med å raskt bekrefte at den rapporterte sårbarheten faktisk eksisterte, og at de ikke klarte å få en løsning på problemet levert til kundene på en rettidig måte. En organisering av denne profilen og med en så stor brukerbase burde vært mer proaktiv når det gjaldt å beskytte brukerne sine mot angrep."

I sitt første svar på offentliggjøring på firmabloggen nektet Zoom å erkjenne alvorlighetsgraden av videosårbarheten og "til slutt ... bestemte seg for å ikke endre applikasjonsfunksjonaliteten." Skjønt (bare etter å ha mottatt betydelig offentlig tilbakeslag etter avsløringen) Zoom gikk med på å fjerne den lokale webserveren fullstendig, noe som gjorde utnyttelsen mulig, selskapets første svar sammen med Leitschuhs beretninger om hvordan Zoom valgte å adressere sin ansvarlige avsløring avslører at Zoom ikke tok problemet på alvor, og hadde liten interesse i å løse ordentlig den.

Vær stille

Zoom hadde forsøkt å kjøpe Leitschuhs stillhet om saken ved å la ham dra fordel av selskapets bug-bounty-program bare under forutsetning av at han signerte en altfor streng NDA. Leitschuh avslo tilbudet. Zoom hevdet at forskeren ble tilbudt en økonomisk gevinst, men avviste den på grunn av "ikke-avsløringsvilkår". Det Zoom forsømte å nevne, er at de spesifikke begrepene mente Leitschuh ville ha fått forbud mot å avsløre sårbarhetene selv etter at de ble ordentlig oppdatert. Dette ville gitt Zoom null insentiv til å løse en sårbarhet selskapet avfeid som ubetydelig.

NDA-er er vanlig praksis i bug-dusørprogrammer, men å kreve permanent stillhet fra forskeren tilsvarer å betale hush penger og til slutt kommer ikke forskeren til gode, og det kommer heller ikke brukere eller publikum generelt til gode. NDAs rolle bør være å gi selskapet en rimelig tid til å adressere og fikse en sårbarhet før den blir utsatt for publikum og potensielt utnyttet av nettkriminelle. Selskaper har en rimelig forventning om ikke-avsløring mens de arbeider for å fikse en sårbarhet, men først og fremst til fordel for brukeren, ikke først og fremst for å redde ansikt i den offentlige opinionen. Forskere har derimot en rimelig forventning om en økonomisk belønning, samt for offentlig anerkjennelse for deres innsats. Brukere har en rimelig forventning om at selskapene hvis produkter de bruker gjør alt de kan for å sikre personvernet. Endelig har allmennheten en rimelig rett til å vite hvilke sikkerhetssårbarheter som finnes og hva som gjøres for å beskytte forbrukere mot cybertrusler, og hva forbrukere kan gjøre for å beskytte seg selv.

Konflikterende prioriteringer

Det hadde vært vanskelig for Zoom å håndtere denne situasjonen verre enn den gjorde. Selskapet var så fokusert på å skape en sømløs brukeropplevelse at det helt mistet synet av den kritiske viktigheten av å beskytte brukernes personvern. “Video er sentral i Zoom-opplevelsen. Vår første video-plattform er en viktig fordel for våre brukere over hele verden, og kundene våre har fortalt oss at de velger Zoom for vår friksjonsløse videokommunikasjonsopplevelse, ”uttalte selskapet i sitt svar. Men Zoom tok til for å installere en lokal webserver i bakgrunnen på Mac-datamaskiner som effektivt omgås en sikkerhetsfunksjon i Safari-nettleseren for å lette denne “friksjonsfrie” videoopplevelsen for brukerne. Den aktuelle Safari-sikkerhetsfunksjonen krevde brukerbekreftelse før appen ble lansert på en Mac. Zooms løsning på dette var å omgå det bevisst og sette brukernes personvern i fare for å redde dem et klikk eller to.

Først etter den offentlige tilbakeslaget den fikk i kjølvannet av avsløringen, tok selskapet meningsfulle tiltak. Selskapets første svar antydet at det ikke hadde til hensikt å endre applikasjonsfunksjonaliteten selv i lys av de betydelige sårbarhetene applikasjonen hadde. Det ser ut til at selskapet var villig til å prioritere brukeropplevelse fremfor brukersikkerhet. Selv om jevn brukeropplevelse utvilsomt er fordelaktig for enhver online applikasjon, burde den absolutt ikke komme på bekostning av sikkerhet og personvern.

Som selskapets anerkjennelse erkjente medgründer og administrerende direktør Eric S. Yuan senere at Zoom håndterte situasjonen dårlig og forpliktet seg til å gjøre det bedre fremover. Yuan uttalte i et blogginnlegg at “vi feilvurderte situasjonen og reagerte ikke raskt nok - og det er på oss. Vi tar fullt eierskap og har lært mye. Det jeg kan fortelle deg er at vi tar brukersikkerhet utrolig alvorlig og vi er helhjertet forpliktet til å gjøre det riktig av brukerne våre, ”la også til at“ vår nåværende opptrappingsprosess var tydeligvis ikke god nok i dette tilfellet. Vi har tatt skritt for å forbedre prosessen vår for å motta, eskalere og stenge sløyfen for alle fremtidige sikkerhetsrelaterte problemer. "

"vi vurderte situasjonen feil og reagerte ikke raskt nok - og det er oss.

Til syvende og sist, men fortsatt er det at forskeren gikk med på vilkårene i NDA presentert av Zoom og hadde fått forbud mot å avsløre funnene, kunne vi sannsynligvis aldri hørt noe om sårbarheten. Verre ennå, selskapet kunne sannsynligvis aldri ha løst problemet, og etterlatt millioner av brukere sårbare for en alvorlig invasjon av personvern.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me