Γνωμοδότηση: Το χειρισμό του Zoom σχετικά με την αποκάλυψη ευπάθειας τονίζει τη σκοτεινή πλευρά των NDAs της Bount Bount

Παρά τις βέλτιστες προσπάθειες μιας επιχείρησης να παράγει μια υπηρεσία που λειτουργεί άψογα και είναι ασφαλής, τα σφάλματα λογισμικού μπορούν και συμβαίνουν, και μερικά είναι πιο σοβαρά από άλλα.

Μερικές φορές τα σφάλματα αυτά δεν μπορούν να εντοπιστούν ακόμη και από τις πιο έμπειρες ομάδες ασφαλείας, κάτι που μπορεί να οδηγήσει σε ένα προϊόν που θέτει σε κίνδυνο την ψηφιακή ασφάλεια των χρηστών του και τους αφήνει εκτεθειμένους σε cyberattacks. Πολλές εταιρείες εγκαθιστούν προγράμματα εκκολαπτόμενων bugs για να προσελκύσουν ερευνητές στον κυβερνοχώρο για να τους βοηθήσουν να εντοπίσουν τρωτά σημεία που ενδέχεται να παραμείνουν ανιχνεύσιμα στα συστήματά τους.

Ουσιαστικά, ο ερευνητής χτυπά (ηθικά) στο σύστημα του πωλητή να προσπαθήσει να εκμεταλλευτεί τυχόν ευπάθειες που μπορεί να υπάρχουν. Εάν ο ερευνητής ανακαλύψει μια ευπάθεια που ενέχει αρκετά σημαντικό κίνδυνο, ο ερευνητής μπορεί να συλλέξει μια γενναιότητα σφάλματος αξίας εκατοντάδων δολαρίων, ή ακόμα και εκατοντάδων χιλιάδων δολαρίων, ανάλογα με τη βαρύτητα του σφάλματος που ανακαλύφθηκε. Οι κυνηγοί γεννητικών πριμοδοτήσεων συχνά λειτουργούν ως οι ηττημένοι ήρωες των κυβερνητικών φορέων που τηρούν τις ευθύνες τους για την εξασφάλιση της ψηφιακής ασφάλειας των καταναλωτών.

Τι συμβαίνει, όμως, όταν μια οργάνωση διαφωνεί με τον ερευνητή του κυβερνοχώρου για τη σοβαρότητα μιας ευπάθειας που αποκαλύφθηκε από τον ερευνητή; Τι συμβαίνει όταν μια οργάνωση προσπαθεί να αποφύγει την ευθύνη απαγορεύοντας στον ερευνητή να αποκαλύψει δημοσίως τα ευρήματά του ή συμφωνεί μόνο να πληρώσει μια γενναιοδωρία με την προϋπόθεση ότι ο ερευνητής παραμένει δημόσια σιωπηλός για μια ευπάθεια; Όταν συμβαίνει αυτό, η ψηφιακή ασφάλεια των καταναλωτών και η ιδιωτική ζωή μπορούν να τεθούν σε σοβαρό κίνδυνο.

Τα προγράμματα Bugy Bug είναι απαραίτητα για τη διατήρηση των συστημάτων που λειτουργούν με το λογισμικό και τις εφαρμογές που χρησιμοποιούν οι καταναλωτές κάθε μέρα ασφαλείς και λειτουργούν σωστά. Ενθαρρύνουν τους ερευνητές του κυβερνοχώρου και τους ηθικούς χάκερ να προωθήσουν και να εντοπίσουν τρωτά σημεία. Εξαρτάται από το γεγονός ότι η απαίτηση κυνηγών κυνηγών κυνηγών να υπογράψουν μια συμφωνία μη δημοσιοποίησης (NDA) είναι επίσης ένας σημαντικός και αποτελεσματικός τρόπος για την αποτροπή ενδεχόμενων σοβαρών τρωτών σημείων από το να εκτίθενται δημόσια και να εκμεταλλεύονται πριν από τη διόρθωσή τους.

Τούτου λεχθέντος, οι διατάξεις της NDA που εμποδίζουν έναν ερευνητή να αποκαλύψει δημοσίως μια ευπάθεια θα μπορούσαν, παραδείγματος χάριν, να παρέχουν ελάχιστο κίνητρο για μια εταιρεία να αντιμετωπίσει σωστά το σφάλμα, αφήνοντας τους χρήστες να εκτίθενται σε διάφορα cyberthreats.

Οι ερευνητές στον τομέα της ασφάλειας και οι κυνηγοί των κυνηγών των ζωών κάνουν μεγάλη δουλειά κρατώντας εταιρείες υπεύθυνες για τη διατήρηση των χρηστών τους ασφαλείς και ασφαλείς. Όμως, όταν οι εταιρείες εμπλέκονται σε αμφισβητήσιμες τακτικές της NDA με τους ερευνητές ασφαλείας να φράξουν αυτή τη λογοδοσία, η ασφάλεια των χρηστών μπορεί να τεθεί σε σημαντικό κίνδυνο.

Υπό το πρίσμα του πρόσφατου κυκλώματος σημαντικών παραβιάσεων δεδομένων και σημαντικών υπερβάσεων ασφαλείας που αφορούν μερικά από τα μεγαλύτερα ονόματα της τεχνολογίας, το κοινό αξίζει πολύ μεγαλύτερη ευθύνη από τις εταιρείες που εμπιστεύονται τις πληροφορίες τους. Οι νομοθέτες σε ολόκληρο τον κόσμο άρχισαν να πυροδοτούν τη βιομηχανία και έχουν εκπονήσει νομοθεσία που αποσκοπεί στην προστασία των καταναλωτών ενώ παράλληλα κρατά τις εταιρείες τεχνολογίας υπεύθυνες για το πώς χειρίζονται ευαίσθητα δεδομένα. Τα κορυφαία στελέχη του κλάδου, όπως ο Mark Zuckerberg του Facebook, ο Bill Gates της Microsoft και ο Tim Cook της Apple, αναγνώρισαν την ανάγκη για καλύτερη προστασία της ιδιωτικής ζωής των καταναλωτών καθώς και μεγαλύτερη αίσθηση λογοδοσίας για τις εταιρείες. Ταυτόχρονα, οι καταναλωτές έχουν αποκτήσει όλο και μεγαλύτερη δυσπιστία όσον αφορά τον τρόπο με τον οποίο οι εταιρείες διαχειρίζονται τα ιδιωτικά τους δεδομένα.

Λαμβάνοντας υπόψη αυτήν την τάση, ο χειρισμός του Zoom για την υπεύθυνη αποκάλυψη ορισμένων σοβαρών τρωτών σημείων από τον ερευνητή του κυβερνοχώρου στην εφαρμογή βίντεο-διάσκεψης είναι αμηχανία. Τον Μάρτιο, ο ερευνητής του κυβερνοχώρου Jonathan Leitschuh επικοινώνησε με το Zoom για να ειδοποιήσει την εταιρεία για τρία βασικά σημεία ευπάθειας ασφαλείας που υπάρχουν στην εφαρμογή βίντεο-διάσκεψης για υπολογιστές Mac. Εκτός από ένα σφάλμα που επέτρεψε σε έναν κακόβουλο εισβολέα να ξεκινήσει μια επίθεση άρνησης εξυπηρέτησης (DOS) στο μηχάνημα ενός χρήστη και ένα σφάλμα που άφησε έναν τοπικό διακομιστή ιστού εγκατεστημένο στο Mac του χρήστη ακόμα και μετά την απεγκατάσταση της εφαρμογής Zoom, η Leitschuh αποκάλυψε επίσης σοβαρή ανησυχητική ευπάθεια που επέτρεψε σε μια κακόβουλη οντότητα τρίτου μέρους να ενεργοποιήσει εξ αποστάσεως και να ενεργοποιήσει αυτόματα ένα μικροσκόπιο και κάμερα ανυποψίαστου χρήστη Mac.

Σύμφωνα με τη δημοσίευση του blog του Leitschuh, το Zoom υπονόμευε συνεχώς τη σοβαρότητα των τρωτών σημείων κατά τη διάρκεια των συνεχιζόμενων συνομιλιών. Ο Leitschuh έδωσε στο Zoom ένα παράθυρο 90 ημερών για την επίλυση των προβλημάτων πριν από τη δημοσίευση. Έδωσε ακόμη και Zoom με αυτό που ονομάζεται λύση "γρήγορης επιδιόρθωσης" για να καλύψει προσωρινά την ευπάθεια της κάμερας, ενώ η εταιρεία ολοκλήρωσε τις εργασίες για την εκκίνηση της μόνιμης επιδιόρθωσης. Κατά τη διάρκεια μιας συνάντησης πριν από την προθεσμία δημοσίευσης 90 ημερών, το Zoom παρουσίασε το Leitschuh με την προτεινόμενη αποτύπωση. Ωστόσο, ο ερευνητής γρήγορα επεσήμανε ότι η προτεινόμενη λύση ήταν ανεπαρκής και θα μπορούσε εύκολα να παρακαμφθεί με διάφορα μέσα.

Στο τέλος της προθεσμίας δημοσίευσης 90 ημερών, το Zoom εφάρμοσε την προσωρινή λύση "quick fix". Ο Leitschuh έγραψε στην ανάρτησή του στο blog:

"Τελικά, το Zoom απέτυχε να επιβεβαιώσει γρήγορα ότι η αναφερθείσα ευπάθεια πράγματι υπήρχε και απέτυχαν να επιδιορθώσουν εγκαίρως το πρόβλημα που δόθηκε στους πελάτες. Μια οργάνωση αυτού του προφίλ και με μια τόσο μεγάλη βάση χρηστών θα έπρεπε να ήταν πιο ενεργητική για την προστασία των χρηστών τους από την επίθεση."

Στην αρχική του απάντηση στη δημοσιοποίηση στο blog της εταιρείας, το Zoom αρνήθηκε να αναγνωρίσει τη βαρύτητα της ευπάθειας του βίντεο και "τελικά ... αποφάσισε να μην αλλάξει τη λειτουργικότητα της εφαρμογής". Παρόλο που (μόνο μετά τη λήψη σημαντικών δημόσιων αντιδράσεων μετά την αποκάλυψη) Η αρχική ανταπόκριση της εταιρείας μαζί με τους λογαριασμούς της Leitschuh σχετικά με τον τρόπο με τον οποίο το Zoom επέλεξε να αντιμετωπίσει την υπεύθυνη αποκάλυψή του αποκαλύπτει ότι το Zoom δεν έλαβε σοβαρά υπόψη το ζήτημα και ότι δεν ενδιαφέρθηκε σωστά για την κατάλληλη επίλυση το.

Κάνε ησυχία

Το Zoom είχε προσπαθήσει να αγοράσει τη σιωπή του Leitschuh σχετικά με το θέμα, επιτρέποντάς του να επωφεληθεί από το πρόγραμμα της Bounty για τα σφάλματα της εταιρείας μόνο υπό την προϋπόθεση ότι υπέγραψε υπερβολικά αυστηρή NDA. Η Leitschuh αρνήθηκε την προσφορά. Το Zoom ισχυρίστηκε ότι ο ερευνητής είχε προσφερθεί οικονομικό πλεονέκτημα, αλλά το μείωσε λόγω "όρων μη δημοσιοποίησης". Αυτό που το Zoom παραμελήθηκε είναι ότι οι συγκεκριμένοι όροι σήμαιναν ότι η Leitschuh θα είχε απαγορευτεί να αποκαλύψει τις ευπάθειες ακόμη και μετά την κατάλληλη ενημέρωσή τους. Αυτό θα έδινε στο Zoom μηδενικό κίνητρο για να καλύψει μια ευπάθεια που η εταιρεία απέρριψε ως ασήμαντη.

Οι NDA είναι συνηθισμένη πρακτική στα προγράμματα γενναιοδωρίας, αλλά η απαιτούμενη μόνιμη σιωπή από τον ερευνητή είναι παρόμοια με την καταβολή χρημάτων και τελικά δεν ωφελεί τον ερευνητή, ούτε ωφελεί τους χρήστες ή το κοινό εν γένει. Ο ρόλος της NDA πρέπει να είναι να δοθεί στην εταιρεία εύλογο χρονικό διάστημα για να αντιμετωπίσει και να διορθώσει μια ευπάθεια πριν εκδηλωθεί στο κοινό και ενδεχομένως εκμεταλλευτεί τους κυβερνοεγκληματίες. Οι εταιρείες έχουν μια λογική προσδοκία της μη γνωστοποίησης ενώ εργάζονται για να καθορίσουν μια ευπάθεια, αλλά κυρίως προς όφελος του χρήστη, όχι πρωτίστως για να σώσει πρόσωπο στο δικαστήριο της κοινής γνώμης. Οι ερευνητές, από την άλλη πλευρά, έχουν εύλογη προσδοκία για μια νομισματική ανταμοιβή, καθώς και για δημόσια αναγνώριση των προσπαθειών τους. Οι χρήστες έχουν εύλογη προσδοκία ότι οι εταιρείες των οποίων τα προϊόντα χρησιμοποιούν κάνουν ό, τι μπορούν για να εξασφαλίσουν την ιδιωτικότητά τους. Τέλος, το κοινό έχει εύλογο δικαίωμα να γνωρίζει ποιες αδυναμίες ασφαλείας υπάρχουν και τι γίνεται για την προστασία των καταναλωτών από απειλές στον κυβερνοχώρο και τι μπορούν να κάνουν οι καταναλωτές για να προστατευθούν.

Αντιμετωπίζουσες προτεραιότητες

Θα ήταν δύσκολο για το Zoom να χειριστεί αυτή την κατάσταση χειρότερα από ό, τι έκανε. Η εταιρεία επικεντρώθηκε τόσο στη δημιουργία μιας απρόσκοπτης εμπειρίας χρήστη που έχασε εντελώς από την κρίσιμη σημασία της προστασίας της ιδιωτικής ζωής των χρηστών. "Το βίντεο είναι κεντρικό στοιχείο της εμπειρίας ζουμ. Η πρώτη μας πλατφόρμα βίντεο είναι ένα βασικό πλεονέκτημα για τους χρήστες μας σε όλο τον κόσμο και οι πελάτες μας μας έχουν πει ότι επιλέγουν Zoom για την εμπειρία επικοινωνίας με βίντεο χωρίς τριβές ", ανέφερε η εταιρεία στην απάντησή της. Όμως, το Zoom κατέφυγε στην εγκατάσταση ενός τοπικού διακομιστή ιστού στο παρασκήνιο σε υπολογιστές Mac, οι οποίοι παρακάμπτουν αποτελεσματικά ένα χαρακτηριστικό ασφαλείας στο πρόγραμμα περιήγησης ιστού Safari για να διευκολύνουν αυτήν την εμπειρία βίντεο χωρίς «τριβές» για τους χρήστες του. Η συγκεκριμένη λειτουργία ασφαλείας του Safari απαιτούσε επιβεβαίωση από τον χρήστη πριν από την εκκίνηση της εφαρμογής σε Mac. Η λύση του Zoom σε αυτό ήταν να το παρακάμψει σκόπιμα και να θέσει σε κίνδυνο την ιδιωτική ζωή των χρηστών για να τους σώσει ένα κλικ ή δύο.

Μόνο μετά τη δημόσια αντίδραση που έλαβε μετά την αποκάλυψη, η εταιρεία έλαβε ουσιαστική δράση. Η αρχική απάντηση της εταιρείας πρότεινε ότι δεν είχε καμία πρόθεση να αλλάξει τη λειτουργικότητα της εφαρμογής ακόμη και υπό το πρίσμα των σημαντικών τρωτών σημείων της εφαρμογής. Φαίνεται ότι η εταιρεία ήταν πρόθυμη να δώσει προτεραιότητα στην εμπειρία των χρηστών σχετικά με την ασφάλεια των χρηστών. Ενώ η ομαλή εμπειρία χρήστη είναι αναμφισβήτητα ευεργετική για οποιαδήποτε online εφαρμογή, σίγουρα δεν πρέπει να αποβεί εις βάρος της ασφάλειας και της ιδιωτικής ζωής.

Στην πίστωση της εταιρείας, ο συνιδρυτής και διευθύνων σύμβουλος Eric S. Yuan αργότερα αναγνώρισε ότι το Zoom χειρίστηκε την κατάσταση άσχημα και δεσμεύθηκε να κάνει καλύτερα την πρόοδο. Ο Yuan δήλωσε σε μια ανάρτηση ιστολογίου ότι «εμείς υποτιμήσαμε εσφαλμένα την κατάσταση και δεν απαντήσαμε αρκετά γρήγορα - και αυτό είναι για εμάς. Έχουμε πλήρη ιδιοκτησία και έχουμε μάθει πολλά. Αυτό που μπορώ να σας πω είναι ότι παίρνουμε απίστευτα σοβαρά την ασφάλεια των χρηστών και δεσμευόμαστε απόλυτα να κάνουμε το δικαίωμα των χρηστών μας ", προσθέτοντας επίσης ότι" η τρέχουσα διαδικασία κλιμάκωσης δεν ήταν αρκετά καλή σε αυτή την περίπτωση. Έχουμε λάβει μέτρα για να βελτιώσουμε τη διαδικασία λήψης, κλιμάκωσης και κλεισίματος του βρόχου σε όλες τις μελλοντικές ανησυχίες που σχετίζονται με την ασφάλεια ".

"εκτιμήσαμε εσφαλμένα την κατάσταση και δεν απαντήσαμε αρκετά γρήγορα - και αυτό είναι για εμάς.

Τελικά όμως η πραγματικότητα παραμένει ότι αν ο ερευνητής συμφώνησε με τους όρους της NDA που του υποβλήθηκαν από το Zoom και απαγορευόταν να αποκαλύψει τα ευρήματά του, θα μπορούσαμε πολύ πιθανό να ακούσαμε ποτέ τίποτα για την ευπάθεια. Ακόμα χειρότερο, η εταιρεία δεν θα μπορούσε ποτέ να διορθώσει το θέμα, αφήνοντας τα εκατομμύρια των χρηστών ευάλωτων σε μια σοβαρή εισβολή της ιδιωτικής ζωής.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me