成人小说亚洲一区二区三区,亚洲国产精品一区二区三区,国产精品成人精品久久久,久久综合一区二区三区,精品无码av一区二区,国产一级a毛一级a看免费视频,欧洲uv免费在线区一二区,亚洲国产欧美中日韩成人综合视频,国产熟女一区二区三区五月婷小说,亚洲一区波多野结衣在线

首頁 500強 活動 榜單 商業(yè) 科技 領(lǐng)導力 專題 品牌中心
雜志訂閱

被“白帽黑客”吐槽,漏洞賞金被質(zhì)疑是“作秀”

David Z. Morris
2020-04-05

有人認為,很多漏洞賞金項目都是膚淺的“安全作秀”,這意味著它們的主要目的是幫助美化公司形象,而不是讓軟件變得更安全。

文本設(shè)置
小號
默認
大號
Plus(0條)

圖片來源:Getty Images

2月,三位麻省理工大學網(wǎng)絡(luò)安全研究員稱,他們發(fā)現(xiàn)在線投票應(yīng)用Voatz存在重大安全漏洞。Voatz提供了“漏洞賞金”,這筆獎金用于獎勵任何發(fā)現(xiàn)并報告其軟件安全漏洞的人士。Voatz希望借此鼓勵獨立“白帽黑客”來鞏固其服務(wù)的安全性。(注:白帽黑客指用自己的黑客技術(shù)來維護網(wǎng)絡(luò)關(guān)系公平正義的網(wǎng)絡(luò)安全研究人員,通過測試網(wǎng)絡(luò)和系統(tǒng)的性能來判定它們能夠承受入侵的強弱程度。)

但麻省理工大學團隊迅速發(fā)現(xiàn),獎金的設(shè)置本身就存在漏洞。Voatz的漏洞賞金條款由Voatz制定,由漏洞報告平臺HackerOne管理。該條款稱,安全研究人員不能測試Voatz應(yīng)用自身,而是必須使用應(yīng)用的副本,但據(jù)稱該副本無法正常運行。麻省理工大學團隊成員邁克·斯佩克特稱,該條款會威脅到研究的有效性。此外,該獎金還不適用于報告某種類型的攻擊,安全研究人員稱這項限制并未反映真實世界的狀況。

盡管漏洞賞金在近些年來已成為公司網(wǎng)絡(luò)安全工具包中越發(fā)流行的一個組件,但其構(gòu)建和管理方式為安全研究人員帶來了一系列問題。評論人士稱,這些項目,尤其是通過HackerOne與Bugcrowd這樣中間平臺運營的項目,通常會限制安全研究人員的研究范圍及分享成果的能力。他們稱,這些缺陷最終可能讓重要軟件更容易受到“黑帽黑客”,即惡意黑客的襲擊。

HackerOne前任高管凱蒂·毛蘇利斯曾幫助微軟創(chuàng)建了一個賞金項目,并在公共場合呼吁關(guān)注上述問題。在2月RSA安全會議的主旨演講中,持有HackerOne大量股票的毛蘇利斯表示,以其當前的形式來看,很多漏洞賞金項目都是膚淺的“安全作秀”,這意味著它們的主要目的是幫助美化公司形象,而不是讓軟件變得更安全。

漏洞賞金服務(wù)提供商的領(lǐng)導者并不贊同這一看法,在賞金項目方面設(shè)限,至少是暫時性的限制,是為了實現(xiàn)一個更宏大的目標:安全研究人員的理想信念是追求完全的透明,但處于資源和聲譽危機中的公司有自己的苦衷,兩者之間需要找到一個平衡點。

HackerOne首席技術(shù)官亞里克斯·萊斯說:“漏洞賞金項目在發(fā)現(xiàn)漏洞方面異常成功。讓公司與[外部]安全研究人員合作是最為重要的一步?!?/p>

“封口費”

有關(guān)Voatz漏洞賞金的爭議并非是個例。在近期涉及PayPal、流媒體平臺奈飛、無人機制造商大疆和視頻會議軟件Zoom的安全漏洞中,通過賞金項目報告漏洞的安全研究人員發(fā)現(xiàn)自己陷入了程序性或合約迷局,其中的一些簡直就是卡夫卡風格的再現(xiàn)。

特別值得一提的是,限制研究人員的保密條款通常來自于由HackerOne和 Bugcrowd運營的獎金項目。為了向一些公共獎金項目提交報告,研究人員必須同意限制公開討論其發(fā)現(xiàn)的協(xié)議。評論人士稱,通過限制公眾了解可能的安全漏洞,保密條款會讓單個公司受益,但卻限制了網(wǎng)絡(luò)安全更全面的進步。

評論人士指出,當安全性能研究員根據(jù)合約進行“滲透測試”時,保密條款是合理的。但如果將其用于公共報告,這些條款似乎破壞了一條廣為認可的實踐準則,也就是網(wǎng)絡(luò)安全研究人員所稱的“漏洞協(xié)同披露”準則。

協(xié)同披露理念的核心在于時限。如果某個漏洞得到了報告,但沒有在合理的時間框架內(nèi)(通常30-90天)被修復,那么黑客公開披露這一漏洞的行為通常被認為是道德的。這一準則源于上個世紀90年代,當時,獨立安全研究員發(fā)現(xiàn)一些公司甚至不愿承認他們所報出的危險漏洞。公開發(fā)布漏洞將促使各大企業(yè)迅速修復其漏洞。

在漏洞得到修復后,對漏洞的公開討論有助于編程人員修復或預防其他領(lǐng)域的類似漏洞。正如網(wǎng)絡(luò)安全分析師凱倫?伊拉扎利所說的那樣,這種公開對話有助于讓白帽黑客成為“互聯(lián)網(wǎng)免疫系統(tǒng)”。安全公司Veracode對網(wǎng)絡(luò)安全專業(yè)人士的近期調(diào)查顯示,90%的受調(diào)對象認為公開披露漏洞是一項可以改善整體網(wǎng)絡(luò)安全的“公益事業(yè)”。

Veracode首席技術(shù)官、協(xié)同披露的先驅(qū)克里斯?威索帕爾擔心,漏洞賞金的出現(xiàn)正在影響安全研究員之間的知識共享。近期發(fā)生的案例便成為了這一擔憂的真實寫照。

例如,當約翰遜?雷斯楚去年發(fā)現(xiàn)視頻會議軟件Zoom的一個嚴重漏洞時,他想到了協(xié)同披露準則。最終,雷斯楚并未選擇Zoom通過Bugcrowd提供的漏洞賞金,因為保密條款會禁止他討論其發(fā)現(xiàn)。他說,這個漏洞能夠得以修復的唯一原因在于,他最終能夠公開發(fā)布這個漏洞。

雷斯楚表示:“[Zoom]的第一反應(yīng)是,這并不是一個漏洞。在媒體對其施加壓力24小時之后,他們承認,好吧,這是一個漏洞。”雷斯楚如今認為,漏洞賞金中的保密條款相當于“研究人員的封口費”。Zoom拒絕對此事置評。

Bugcrowd聯(lián)合創(chuàng)始人兼首席技術(shù)官凱西?埃利斯稱,他的公司鼓勵其客戶放寬其披露條款,并敦促其客戶盡可能地減少限制。HackerOne的萊斯說,他對很多案例的披露表示支持,但現(xiàn)有的披露標準可能并非是它們所標榜的那么完美。他承認,在Zoom案例中,“披露有著明顯的益處”,但他還表示,公眾和媒體通常對披露存在誤解。

萊斯向《財富》透露:“我無法確定公開發(fā)布一系列未經(jīng)驗證的安全漏洞能為用戶帶來什么好處?!?/p>

保密游戲

即便某個漏洞屬于“超出范圍之外”的漏洞(也就是一般來講不被看作是威脅,因此無需修復),漏洞賞金項目中的保密條款通常似乎依然有效。但什么才算是“有效”的漏洞這個根本問題則涉及毛蘇利斯最痛恨的一個現(xiàn)象。

例如,PayPal和 Netflix近期漏洞被評估漏洞賞金申報的員工判定為“超出范圍之外”。但賞金項目的條款(PayPal通過HackerOne發(fā)布,奈飛則通過Bugcrowd發(fā)布)均限制研究人員公開討論他們發(fā)現(xiàn)的漏洞。

發(fā)現(xiàn)的這兩個漏洞最終在未經(jīng)許可的情況下公之于眾。盡管萊斯稱HackerOne允許研究人員通過索取許可來發(fā)布這類漏洞,但報告PayPal漏洞的研究人員并未獲得披露許可。

在奈飛的漏洞案例中,一位Bugcrowd員工警告研究人員違反了平臺的條款,因為研究人員在這些漏洞被判定為沒有資格獲得賞金后,于推特上發(fā)布了漏洞消息。Bugcrowd在一份聲明中表示,“重要的一點在于,只有在研究人員與客戶的項目所有者進行討論,并就披露時限達成一致意見之后,才能進行披露?!痹谘芯咳藛T違反披露限制的案例中,Bugcrowd會與“研究人員溝通,從公共論壇中刪除這一信息,來保護研究人員和客戶?!?/p>

然而,Voatz案例則生動地展現(xiàn)了根植于眾多漏洞賞金項目的不透明性所帶來的風險。由于Voatz被視為一個重要的選舉軟件,麻省理工大學團隊最終通過美國政府的網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局通報了自己的發(fā)現(xiàn),而不是通過HackerOne。

Voatz并不贊同該團隊的發(fā)現(xiàn),并控訴研究人員的行為屬于背信棄義。Voatz首席執(zhí)行官尼米特?蘇尼認為,麻省理工大學研究人員的動機在于“制作丑聞”,是一個“有組織的運動”的一部分,后者的“主要目的是阻止所有互聯(lián)網(wǎng)投票活動?!彼古蹇颂貏t贊同其團隊向媒體披露這一事件的行為,“因為在向公眾清晰、準確地傳播信息方面,媒體往往是最合適的機構(gòu)?!?/p>

3月初,西弗吉尼亞州發(fā)現(xiàn),麻省理工大學研究人員的主張有足夠的依據(jù),因此州政府決定在5月的大選中使用另一個系統(tǒng)。在3月13日,一家獨立研究團體發(fā)表了第二篇報告,證實了麻省理工大學團隊的諸多主張,并發(fā)現(xiàn)了新的問題。Cyberscoop稱,該報告提到了通過Voatz的HackerOne賞金項目提交的重大漏洞,但被該選舉應(yīng)用劃分為非重大漏洞。

然后在3月30日周一,HackerOne宣布把Voatz踢出平臺,這是公司第一次采取這一激進舉措。此舉明顯是針對Voatz對麻省理工大學研究人員響應(yīng)的回應(yīng),包括一些后續(xù)調(diào)整,以取消禁止黑客測試其應(yīng)用的法律保護傘。

Voatz首席執(zhí)行官蘇尼將HackerOne的舉措定性為“共同決定”,但這家對漏洞進行懸賞的公司拒絕接受這一定性?!拔覀円恢痹谧巫尾痪氲嘏囵B(yǎng)安全團隊與研究人員團體之間互利互惠的關(guān)系。[Voat賞金項目]最終并沒有遵守我們的合作,而且對于任何一方來說都沒有什么成效?!?/p>

所有這一切頗具諷刺意味,如果麻省理工大學團隊并未繞過HackerOne的保密條款,也沒有將其發(fā)現(xiàn)報告給聯(lián)邦政府,那么Voatz應(yīng)用的漏洞可能永遠都無法為人所知。

“每一次都亂得要命”

HackerOne和Bugcrowd都會從推銷賞金項目中獲得收益,同時還能減少客戶的麻煩。HackerOne自2012年成立以來已經(jīng)籌集1.1億美元的風投資本,其服務(wù)的賞金項目客戶包括任天堂、星巴克和Slack。提供類似服務(wù)的Bugcrowd則籌集了略高于5000萬美元的資金,其客戶包括Fitbit,惠普和摩托羅拉。

但安全資深人士擔心,在大行其道的賞金項目之前,更為有效的軟件安全改善途徑會變得黯淡無光。

大衛(wèi)?歐騰海默曾在MongoDB和EMC公司擔任安全高管職務(wù),如今負責戴爾的安全業(yè)務(wù)。他認為賞金項目對于嚴重的網(wǎng)絡(luò)安全來說沒有必要,而且他稱自己在公司沒有經(jīng)營賞金項目的情況下一直從獨立研究人員那里獲得高質(zhì)量的漏洞報告。歐騰海默說:“要啟用最好的研究人員確實需要花錢,但他們的主要目的都是為了讓這個世界變得更加美好?!?/p>

Veracode開展的一項調(diào)查證實了這一觀點。在反饋的機構(gòu)中,有47%稱自己設(shè)立了賞金項目,但平均來看,僅有19%的漏洞通報來自于這些項目。同時,在通報過漏洞的受調(diào)對象中,有57%稱自己希望能夠就報告與對方溝通,僅有18%希望對方付錢。

發(fā)現(xiàn)Voatz漏洞的麻省理工大學研究人員對這一觀點表示贊同。斯佩克特說:“我們感興趣的是,他們會對我們找到的漏洞作何反應(yīng)。我們對錢完全不感興趣。”

Veracode的威索帕爾認為,賞金項目平臺所傳達的信息為人們帶來了困惑。他說:“他們崇尚的[理念]在于,在鞏固軟件安全性方面,眾包是最好、最高效的方式。但如果你算一算經(jīng)濟賬,像谷歌和Facebook這樣的公司會將賞金項目看作是一種補充、后備或錦上添花的舉措?!?/p>

他說:“關(guān)鍵在于,讓那些訓練有素的開發(fā)員獲得打造安全軟件的正確工具?!?/p>

萊斯認為,HackerOne的使命就是宣傳賞金項目的益處,哪怕在透明度和披露這類原則性問題上做出些許讓步也無關(guān)緊要。

萊斯說:“對于一個機構(gòu)和一個傳播團隊來說,[披露]工作量有多大,這一點我不能去夸大。每一次都亂得要命……有的客戶簽署了公眾監(jiān)察協(xié)議,也有客戶不愿簽。”

但歐騰海默稱,這正是問題的結(jié)癥所在:各大公司希望賞金項目得到好評,但對項目本應(yīng)具有的透明度視而不見。他說,“這是選擇性的失明?!?/p>

歐騰海默指出,賞金項目未能發(fā)現(xiàn)漏洞,但該漏洞卻直接成了新聞頭條,這可謂網(wǎng)絡(luò)安全史上最嚴重的災難。他說:“他們讓雅虎在預算中增加了200萬美元的賞金,但[當年晚些時候]有30億客戶的數(shù)據(jù)遭到了泄露?!?/p>

“新聞稱,‘看看他們的作用,花了200萬美元’,但對安全性一點幫助都沒有?!保ㄘ敻恢形木W(wǎng))

譯者:Feb

2月,三位麻省理工大學網(wǎng)絡(luò)安全研究員稱,他們發(fā)現(xiàn)在線投票應(yīng)用Voatz存在重大安全漏洞。Voatz提供了“漏洞賞金”,這筆獎金用于獎勵任何發(fā)現(xiàn)并報告其軟件安全漏洞的人士。Voatz希望借此鼓勵獨立“白帽黑客”來鞏固其服務(wù)的安全性。(注:白帽黑客指用自己的黑客技術(shù)來維護網(wǎng)絡(luò)關(guān)系公平正義的網(wǎng)絡(luò)安全研究人員,通過測試網(wǎng)絡(luò)和系統(tǒng)的性能來判定它們能夠承受入侵的強弱程度。)

但麻省理工大學團隊迅速發(fā)現(xiàn),獎金的設(shè)置本身就存在漏洞。Voatz的漏洞賞金條款由Voatz制定,由漏洞報告平臺HackerOne管理。該條款稱,安全研究人員不能測試Voatz應(yīng)用自身,而是必須使用應(yīng)用的副本,但據(jù)稱該副本無法正常運行。麻省理工大學團隊成員邁克·斯佩克特稱,該條款會威脅到研究的有效性。此外,該獎金還不適用于報告某種類型的攻擊,安全研究人員稱這項限制并未反映真實世界的狀況。

盡管漏洞賞金在近些年來已成為公司網(wǎng)絡(luò)安全工具包中越發(fā)流行的一個組件,但其構(gòu)建和管理方式為安全研究人員帶來了一系列問題。評論人士稱,這些項目,尤其是通過HackerOne與Bugcrowd這樣中間平臺運營的項目,通常會限制安全研究人員的研究范圍及分享成果的能力。他們稱,這些缺陷最終可能讓重要軟件更容易受到“黑帽黑客”,即惡意黑客的襲擊。

HackerOne前任高管凱蒂·毛蘇利斯曾幫助微軟創(chuàng)建了一個賞金項目,并在公共場合呼吁關(guān)注上述問題。在2月RSA安全會議的主旨演講中,持有HackerOne大量股票的毛蘇利斯表示,以其當前的形式來看,很多漏洞賞金項目都是膚淺的“安全作秀”,這意味著它們的主要目的是幫助美化公司形象,而不是讓軟件變得更安全。

漏洞賞金服務(wù)提供商的領(lǐng)導者并不贊同這一看法,在賞金項目方面設(shè)限,至少是暫時性的限制,是為了實現(xiàn)一個更宏大的目標:安全研究人員的理想信念是追求完全的透明,但處于資源和聲譽危機中的公司有自己的苦衷,兩者之間需要找到一個平衡點。

HackerOne首席技術(shù)官亞里克斯·萊斯說:“漏洞賞金項目在發(fā)現(xiàn)漏洞方面異常成功。讓公司與[外部]安全研究人員合作是最為重要的一步?!?/p>

“封口費”

有關(guān)Voatz漏洞賞金的爭議并非是個例。在近期涉及PayPal、流媒體平臺奈飛、無人機制造商大疆和視頻會議軟件Zoom的安全漏洞中,通過賞金項目報告漏洞的安全研究人員發(fā)現(xiàn)自己陷入了程序性或合約迷局,其中的一些簡直就是卡夫卡風格的再現(xiàn)。

特別值得一提的是,限制研究人員的保密條款通常來自于由HackerOne和 Bugcrowd運營的獎金項目。為了向一些公共獎金項目提交報告,研究人員必須同意限制公開討論其發(fā)現(xiàn)的協(xié)議。評論人士稱,通過限制公眾了解可能的安全漏洞,保密條款會讓單個公司受益,但卻限制了網(wǎng)絡(luò)安全更全面的進步。

評論人士指出,當安全性能研究員根據(jù)合約進行“滲透測試”時,保密條款是合理的。但如果將其用于公共報告,這些條款似乎破壞了一條廣為認可的實踐準則,也就是網(wǎng)絡(luò)安全研究人員所稱的“漏洞協(xié)同披露”準則。

協(xié)同披露理念的核心在于時限。如果某個漏洞得到了報告,但沒有在合理的時間框架內(nèi)(通常30-90天)被修復,那么黑客公開披露這一漏洞的行為通常被認為是道德的。這一準則源于上個世紀90年代,當時,獨立安全研究員發(fā)現(xiàn)一些公司甚至不愿承認他們所報出的危險漏洞。公開發(fā)布漏洞將促使各大企業(yè)迅速修復其漏洞。

在漏洞得到修復后,對漏洞的公開討論有助于編程人員修復或預防其他領(lǐng)域的類似漏洞。正如網(wǎng)絡(luò)安全分析師凱倫?伊拉扎利所說的那樣,這種公開對話有助于讓白帽黑客成為“互聯(lián)網(wǎng)免疫系統(tǒng)”。安全公司Veracode對網(wǎng)絡(luò)安全專業(yè)人士的近期調(diào)查顯示,90%的受調(diào)對象認為公開披露漏洞是一項可以改善整體網(wǎng)絡(luò)安全的“公益事業(yè)”。

Veracode首席技術(shù)官、協(xié)同披露的先驅(qū)克里斯?威索帕爾擔心,漏洞賞金的出現(xiàn)正在影響安全研究員之間的知識共享。近期發(fā)生的案例便成為了這一擔憂的真實寫照。

例如,當約翰遜?雷斯楚去年發(fā)現(xiàn)視頻會議軟件Zoom的一個嚴重漏洞時,他想到了協(xié)同披露準則。最終,雷斯楚并未選擇Zoom通過Bugcrowd提供的漏洞賞金,因為保密條款會禁止他討論其發(fā)現(xiàn)。他說,這個漏洞能夠得以修復的唯一原因在于,他最終能夠公開發(fā)布這個漏洞。

雷斯楚表示:“[Zoom]的第一反應(yīng)是,這并不是一個漏洞。在媒體對其施加壓力24小時之后,他們承認,好吧,這是一個漏洞?!崩姿钩缃裾J為,漏洞賞金中的保密條款相當于“研究人員的封口費”。Zoom拒絕對此事置評。

Bugcrowd聯(lián)合創(chuàng)始人兼首席技術(shù)官凱西?埃利斯稱,他的公司鼓勵其客戶放寬其披露條款,并敦促其客戶盡可能地減少限制。HackerOne的萊斯說,他對很多案例的披露表示支持,但現(xiàn)有的披露標準可能并非是它們所標榜的那么完美。他承認,在Zoom案例中,“披露有著明顯的益處”,但他還表示,公眾和媒體通常對披露存在誤解。

萊斯向《財富》透露:“我無法確定公開發(fā)布一系列未經(jīng)驗證的安全漏洞能為用戶帶來什么好處?!?/p>

保密游戲

即便某個漏洞屬于“超出范圍之外”的漏洞(也就是一般來講不被看作是威脅,因此無需修復),漏洞賞金項目中的保密條款通常似乎依然有效。但什么才算是“有效”的漏洞這個根本問題則涉及毛蘇利斯最痛恨的一個現(xiàn)象。

例如,PayPal和 Netflix近期漏洞被評估漏洞賞金申報的員工判定為“超出范圍之外”。但賞金項目的條款(PayPal通過HackerOne發(fā)布,奈飛則通過Bugcrowd發(fā)布)均限制研究人員公開討論他們發(fā)現(xiàn)的漏洞。

發(fā)現(xiàn)的這兩個漏洞最終在未經(jīng)許可的情況下公之于眾。盡管萊斯稱HackerOne允許研究人員通過索取許可來發(fā)布這類漏洞,但報告PayPal漏洞的研究人員并未獲得披露許可。

在奈飛的漏洞案例中,一位Bugcrowd員工警告研究人員違反了平臺的條款,因為研究人員在這些漏洞被判定為沒有資格獲得賞金后,于推特上發(fā)布了漏洞消息。Bugcrowd在一份聲明中表示,“重要的一點在于,只有在研究人員與客戶的項目所有者進行討論,并就披露時限達成一致意見之后,才能進行披露?!痹谘芯咳藛T違反披露限制的案例中,Bugcrowd會與“研究人員溝通,從公共論壇中刪除這一信息,來保護研究人員和客戶。”

然而,Voatz案例則生動地展現(xiàn)了根植于眾多漏洞賞金項目的不透明性所帶來的風險。由于Voatz被視為一個重要的選舉軟件,麻省理工大學團隊最終通過美國政府的網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局通報了自己的發(fā)現(xiàn),而不是通過HackerOne。

Voatz并不贊同該團隊的發(fā)現(xiàn),并控訴研究人員的行為屬于背信棄義。Voatz首席執(zhí)行官尼米特?蘇尼認為,麻省理工大學研究人員的動機在于“制作丑聞”,是一個“有組織的運動”的一部分,后者的“主要目的是阻止所有互聯(lián)網(wǎng)投票活動?!彼古蹇颂貏t贊同其團隊向媒體披露這一事件的行為,“因為在向公眾清晰、準確地傳播信息方面,媒體往往是最合適的機構(gòu)?!?/p>

3月初,西弗吉尼亞州發(fā)現(xiàn),麻省理工大學研究人員的主張有足夠的依據(jù),因此州政府決定在5月的大選中使用另一個系統(tǒng)。在3月13日,一家獨立研究團體發(fā)表了第二篇報告,證實了麻省理工大學團隊的諸多主張,并發(fā)現(xiàn)了新的問題。Cyberscoop稱,該報告提到了通過Voatz的HackerOne賞金項目提交的重大漏洞,但被該選舉應(yīng)用劃分為非重大漏洞。

然后在3月30日周一,HackerOne宣布把Voatz踢出平臺,這是公司第一次采取這一激進舉措。此舉明顯是針對Voatz對麻省理工大學研究人員響應(yīng)的回應(yīng),包括一些后續(xù)調(diào)整,以取消禁止黑客測試其應(yīng)用的法律保護傘。

Voatz首席執(zhí)行官蘇尼將HackerOne的舉措定性為“共同決定”,但這家對漏洞進行懸賞的公司拒絕接受這一定性?!拔覀円恢痹谧巫尾痪氲嘏囵B(yǎng)安全團隊與研究人員團體之間互利互惠的關(guān)系。[Voat賞金項目]最終并沒有遵守我們的合作,而且對于任何一方來說都沒有什么成效?!?/p>

所有這一切頗具諷刺意味,如果麻省理工大學團隊并未繞過HackerOne的保密條款,也沒有將其發(fā)現(xiàn)報告給聯(lián)邦政府,那么Voatz應(yīng)用的漏洞可能永遠都無法為人所知。

“每一次都亂得要命”

HackerOne和Bugcrowd都會從推銷賞金項目中獲得收益,同時還能減少客戶的麻煩。HackerOne自2012年成立以來已經(jīng)籌集1.1億美元的風投資本,其服務(wù)的賞金項目客戶包括任天堂、星巴克和Slack。提供類似服務(wù)的Bugcrowd則籌集了略高于5000萬美元的資金,其客戶包括Fitbit,惠普和摩托羅拉。

但安全資深人士擔心,在大行其道的賞金項目之前,更為有效的軟件安全改善途徑會變得黯淡無光。

大衛(wèi)?歐騰海默曾在MongoDB和EMC公司擔任安全高管職務(wù),如今負責戴爾的安全業(yè)務(wù)。他認為賞金項目對于嚴重的網(wǎng)絡(luò)安全來說沒有必要,而且他稱自己在公司沒有經(jīng)營賞金項目的情況下一直從獨立研究人員那里獲得高質(zhì)量的漏洞報告。歐騰海默說:“要啟用最好的研究人員確實需要花錢,但他們的主要目的都是為了讓這個世界變得更加美好?!?/p>

Veracode開展的一項調(diào)查證實了這一觀點。在反饋的機構(gòu)中,有47%稱自己設(shè)立了賞金項目,但平均來看,僅有19%的漏洞通報來自于這些項目。同時,在通報過漏洞的受調(diào)對象中,有57%稱自己希望能夠就報告與對方溝通,僅有18%希望對方付錢。

發(fā)現(xiàn)Voatz漏洞的麻省理工大學研究人員對這一觀點表示贊同。斯佩克特說:“我們感興趣的是,他們會對我們找到的漏洞作何反應(yīng)。我們對錢完全不感興趣。”

Veracode的威索帕爾認為,賞金項目平臺所傳達的信息為人們帶來了困惑。他說:“他們崇尚的[理念]在于,在鞏固軟件安全性方面,眾包是最好、最高效的方式。但如果你算一算經(jīng)濟賬,像谷歌和Facebook這樣的公司會將賞金項目看作是一種補充、后備或錦上添花的舉措?!?/p>

他說:“關(guān)鍵在于,讓那些訓練有素的開發(fā)員獲得打造安全軟件的正確工具?!?/p>

萊斯認為,HackerOne的使命就是宣傳賞金項目的益處,哪怕在透明度和披露這類原則性問題上做出些許讓步也無關(guān)緊要。

萊斯說:“對于一個機構(gòu)和一個傳播團隊來說,[披露]工作量有多大,這一點我不能去夸大。每一次都亂得要命……有的客戶簽署了公眾監(jiān)察協(xié)議,也有客戶不愿簽?!?/p>

但歐騰海默稱,這正是問題的結(jié)癥所在:各大公司希望賞金項目得到好評,但對項目本應(yīng)具有的透明度視而不見。他說,“這是選擇性的失明?!?/p>

歐騰海默指出,賞金項目未能發(fā)現(xiàn)漏洞,但該漏洞卻直接成了新聞頭條,這可謂網(wǎng)絡(luò)安全史上最嚴重的災難。他說:“他們讓雅虎在預算中增加了200萬美元的賞金,但[當年晚些時候]有30億客戶的數(shù)據(jù)遭到了泄露。”

“新聞稱,‘看看他們的作用,花了200萬美元’,但對安全性一點幫助都沒有。”(財富中文網(wǎng))

譯者:Feb

In February, three MIT cybersecurity researchers reported that they had found major security flaws in the online voting application Voatz. Offering what’s known as a “bug bounty”—a payment for anyone who discovers and reports a security hole in software—Voatz sought to encourage independent “white hat” hackers to shore up the security of its service.

But the MIT team quickly found the reward was an even bigger problem than the bug. The terms of the Voatz bug bounty, set by the company and administered through the bug reporting platform HackerOne, said researchers couldn’t test Voatz’s app itself. Instead they’d have to use a copy of the app, which the researchers said didn’t work properly. According to MIT team member Michael Specter, that would have been a threat to the validity of the research. The bounty also didn’t allow for reporting of certain kinds of attacks, a restriction the researchers argued didn’t reflect real-world conditions.

While bug bounties have become an increasingly popular part of companies’ cybersecurity toolkit in recent years, researchers have run into an array of problems with the way they are structured and managed. Critics say the programs, particularly those run with intermediaries like HackerOne and Bugcrowd, often limit the scope of researchers’ work and their ability to share findings. These shortcomings, they say, could ultimately leave important software more vulnerable to “black hats,” or malicious hackers.

Katie Moussouris, a former HackerOne executive who has also helped Microsoft start a bounty program, has publicly called attention to these issues. In a keynote address at the RSA security conference in February, Moussouris, who holds significant stock in HackerOne, said that in their current form many bug bounty programs are superficial “security Botox,” meaning they're better for helping companies to look good than they are for actually securing software.

The leaders of bug bounty services counter that putting guardrails around bounty programs, at least temporarily, serves the larger goal of balancing white-hat ideals of total transparency with the needs of companies whose resources and reputations are on the line.

“Bug bounty programs are amazingly successful at identifying vulnerabilities,” says HackerOne CTO Alex Rice. "Getting companies working with [external] security researchers is the most important step.”

“Buying researchers’ silence”

The controversy surrounding the Voatz bug bounty isn’t an isolated case. In recent incidents involving PayPal, streaming platform Netflix, drone maker DJI, and videoconferencing software Zoom, security researchers reporting bugs through bounty programs found themselves tangled in procedural or contractual runarounds—some of them downright Kafkaesque.

In particular, researchers have been galled by nondisclosure clauses that are often part of bounties run through HackerOne and Bugcrowd. In order to submit a report to some public bounties, researchers must agree to restrictions on discussing their findings publicly. In limiting public knowledge about possible security vulnerabilities, nondisclosure clauses benefit individual companies, critics say, at the expense of broader advances in cybersecurity.

Nondisclosure clauses can be appropriate when security researchers are hired to conduct “penetration testing” under contract, critics grant. But when applied to incoming reports from the public, the clauses appear to undermine a widely accepted practice among cybersecurity researchers known as “coordinated vulnerability disclosure.”

A ticking clock sits at the core of the concept of coordinated disclosure. If a bug has been reported but not fixed within a reasonable time frame—generally, between 30 and 90 days—it is generally considered ethical for a hacker to disclose a bug publicly. That norm originated in the 1990s, when independent security researchers found some companies wouldn’t even acknowledge their reports of dangerous bugs. The threat of releasing a hacking method publicly encouraged businesses to fix their vulnerabilities quickly.

After a bug is patched, publicly discussing it can help programmers to fix or prevent similar vulnerabilities elsewhere. As cybersecurity analyst Keren Elazari has put it, this public dialogue helps make white-hat hackers “the Internet’s immune system.” A recent survey of cybersecurity professionals by the security firm Veracode found that 90% regard public disclosure of vulnerabilities as a “public good” that improves cybersecurity overall.

Chris Wysopal, Veracode’s CTO and one of the pioneers of coordinated disclosure, worries that the rise of bug bounties is weakening that knowledge sharing among security researchers. Recent cases illustrate exactly how that is happening.

For example, when Jonathan Leitschuh discovered a serious vulnerability in the videoconferencing software Zoom last year, he had coordinated-disclosure norms in mind. Ultimately, Leitschuh chose not to pursue a bug bounty Zoom offered through Bugcrowd, because nondisclosure terms would have prevented him from talking about his findings. The bug was fixed only because he was eventually able to go public, he says.

“[Zoom’s] first response was, This is not a vulnerability,” Leitschuh says. “After 24 hours of having the media holding their feet to the fire, they admitted, Okay, it’s a vulnerability.” Leitschuh now thinks that nondisclosure clauses in bug bounties are equivalent to “buying researchers’ silence.” Zoom declined to comment for this story.

Casey Ellis, cofounder and CTO of Bugcrowd, says his company encourages its customers to be generous in their disclosure terms and pushes clients to minimize restrictions. Rice at HackerOne says he also supports disclosure in many cases, but also that existing disclosure standards may not be all they’re cracked up to be. He admits that in the Zoom case, there were “clear benefits to disclosure,” but says that the public and the press often misinterpret disclosures.

“I’m not sure what benefit users get from publishing a bunch of unvalidated security vulnerabilities,” Rice tells Fortune.

The nondisclosure dance

The nondisclosure terms of bug bounty programs often appear to remain in force even if a bug is deemed “out of scope”—broadly, something that’s not considered a threat and therefore won’t be fixed. But the fundamental question of what constitutes a “valid” bug speaks to one of Moussouris’s biggest critiques.

For instance, recent vulnerabilities at PayPal and Netflix were deemed “out of scope” by workers who reviewed bug bounty submissions. But the terms of the bounty programs—PayPal’s through HackerOne, Netflix’s via Bugcrowd—nonetheless restricted the researchers from publicly discussing the exploits they found.

Both findings were ultimately published without permission. Though Rice says HackerOne allows researchers to request permission to publish in such cases, the researchers who reported the PayPal vulnerability did not receive clearance to disclose.

With Netflix’s vulnerability, a Bugcrowd worker warned the researcher that he had violated the platform’s terms by tweeting about his findings after they were deemed out of scope for the bounty. In a statement, Bugcrowd said in part that “it’s important that the disclosure comes only after a discussion between the researcher and customer’s program owners so that both parties reach a mutually agreeable disclosure timeline.” In cases in which a researcher violates disclosure restrictions, Bugcrowd “work(s) with the researcher to remove this information from public forums to protect the researcher and customer.”

The Voatz case, however, has become a dramatic example of the risks of the opacity built into many bug bounties. Because Voatz is considered critical election software, the MIT team ultimately was able to report their discoveries through the U.S. government’s Cybersecurity and Infrastructure Security Agency, instead of through HackerOne.

Voatz disputed their findings and accused the researchers of acting in “bad faith.” Voatz CEO Nimit Sawhney alleges that the MIT researchers were motivated by an “urge to make a scandal” as part of a “coordinated campaign” whose “main goal is to stop any and all Internet voting.” Specter defends his group’s turning to the media “because they would be best situated to clearly and accurately communicate information to the public at large.”

By early March, West Virginia found the MIT researchers’ claims credible enough that the state decided that it will use a different system for its May primary. On March 13, an independent research group released a second report confirming many of the MIT group’s claims and finding additional issues. According to reporting by Cyberscoop, the report included critical vulnerabilities that had been submitted through Voatz’s HackerOne bounty but were classified as noncritical by the election app.

Then on Monday, March 30, HackerOne announced that it was removing Voatz from the platform, the first time it has taken that drastic action. The move was apparently a response to Voatz’s response to the MIT researchers, including subsequent changes to strip legal protections from hackers testing its app.

Voatz CEO Sawhney characterized HackerOne’s move as a “mutual decision,” but the bug bounty company declined to confirm this characterization. “We work tirelessly to foster a mutually beneficial relationship between security teams and the researcher community,” HackerOne said in a statement to Fortune. “[The Voatz bounty program] ultimately did not adhere to our partnership standards and was no longer productive for either party.”

The irony of all this is that if the MIT group hadn’t skirted HackerOne’s nondisclosure terms and reported its findings to the federal government, the flaws in Voatz’s app may never have come to light at all.

“Chaos, every single time”

Both HackerOne and Bugcrowd have a financial interest in touting the benefits of bounties, while making things easy on their customers. HackerOne, which administers programs for the likes of Nintendo, Starbucks, and Slack, has raised $110 million in venture capital since its 2012 founding. Bugcrowd, a similar service, has raised just over $50 million, and its clients include Fitbit, HP, and Motorola.

But security veterans worry that the fashion for bug bounties, including among major firms, is eclipsing more effective approaches to software security.

Davi Ottenheimer has held executive security roles at MongoDB and EMC, now part of Dell. He considers bug bounties unnecessary to serious cybersecurity, and he says he has consistently gotten good-quality bug reports from independent researchers without running formal bounty programs. “The best researchers, sure, they’ll take some money,” Ottenheimer says. “But mostly what they want is a better world.”

A survey by Veracode confirms that. While 47% of responding organizations said they had a bug bounty program, on average only 19% of their bug reports came through those programs. And while 57% of respondents who had reported a bug said they expected communication about their report, only 18% expected payment.

The MIT researchers who uncovered the Voatz bugs echo that sentiment. “We were interested in figuring out how well they’d respond to the bugs we found,” says Specter. “We weren’t interested in the money at all.”

Veracode’s Wysopal feels messaging from bug bounty platforms has contributed to confusion. “They lead with [the idea that] the crowdsourced way is the best and most efficient way to secure your software,” he says. “But if you look at the economics of it, firms like Google and Facebook look at bug bounties as an add-on, a backstop, icing on the cake.

“The cake is, Let’s have trained developers with the right tools building secure software,” he adds.

Rice considers it HackerOne’s mission to advocate for the benefits of bug bounties, even if that means being flexible on ideals like transparency and disclosure.

“I cannot overstate how much work [disclosure] is for an organization and a communications team,” he says. "It’s chaos every single time...We have customers who sign up for the public scrutiny,” Rice adds, “and those who would rather not.”

But Ottenheimer says that’s exactly the problem: Companies want the good press that comes with bug bounties but without the transparency these programs should entail. “It’s about optics,” he says.

Ottenheimer points out that headline-generating bug bounties failed to prevent one of the biggest disasters in cybersecurity history. “They added a $2 million bounty to the Yahoo budget,” he says. “Yet 3 billion accounts were compromised [later that year].

“The news said, ‘Look how great they are—they spent $2 million.’ But that doesn’t map to safety at all.”

財富中文網(wǎng)所刊載內(nèi)容之知識產(chǎn)權(quán)為財富媒體知識產(chǎn)權(quán)有限公司及/或相關(guān)權(quán)利人專屬所有或持有。未經(jīng)許可,禁止進行轉(zhuǎn)載、摘編、復制及建立鏡像等任何使用。
0條Plus
精彩評論
評論

撰寫或查看更多評論

請打開財富Plus APP

前往打開
熱讀文章
女人五月天激情四射AV| 亚洲AV无码专区在线观看成人| 国产成人一区二区三区| 高清中文字幕男人的天堂| 国产h肉在线视频免费观看| 国产精品亚洲а∨无码播放不卡| 久久精品国产亚洲av电影| 国产一区二区不卡老阿姨| 久久夜色精品国产网站| 免费能直接看黄的网站在线观看| jlzz日本人年轻护士出水视频| 高潮呻吟久久av无码午夜鲁丝片| 在线亚洲精品国产一区麻豆| 亚洲日韩中文在线精品第一| 久久人人爽人人爽人人片AV麻烦| 久久国产V一级毛多内射| 久久久国产一区二区三区| 人人揉揉香蕉大免费软软| 国产高清无码免费| 97超级碰碰碰人妻中文| 荡公乱妇HD在线播放BD| 麻豆成人精品国产免费| 精品人妻aⅴ区乱码久久蜜臀| 成人AV鲁丝片一区二区免费| 伊人久久大香线蕉av五月天| 久久中文字幕人妻丝袜| 国产精品永久久久久久久久久| 人妻综合专区第一页| 美女视频一区二区三区在线教室内污辱女教师在线播放| 97亚洲精品国偷自产在线| 一本热久久sm色国产| 亚洲欧美日本国产综合| 亚洲一区二区三区成人网站| 夜夜高潮夜夜爽35高清视频一| a毛片视频/国产精品第1页| 2016年毛片无码免费| 日本中文字幕一区高清在线 | 亚洲中文字幕精品久久久久久直播| 国产无套内射久久久国产| 亚洲伊人久久精品影院| 人妻 日韩 欧美 综合 制服国产|