Nul
Bugcrowd har lanceret Afsløre.io, en “safe harbor” – rammer, der er beregnet til at hjælpe sikkerhed forskere, der er fanget i kløften mellem lovlighed og ansvarlig offentliggørelse.
Lovgivningen omkring sårbarhed rapporter er grå i bedste fald. Nogle leverandører har dedikeret bug bounty-programmer, som giver hackere som en vej til at rapportere sikkerhedsproblemer direkte, ikke kun for at give de berørte virksomheder en chance for at lappe på problemet, før trussel aktører lære af dem, men også for at sikre, at kreditinstitutter og finansielle belønninger.
Sommetider, dog, er virksomheder, der ikke er glade for at modtage sådanne rapporter. Dette år, en sikkerhedsekspert og to journalister endte op overfor retten over offentliggørelsen af sårbarheder og trusler om sådanne retssager kan have en afkølende effekt på sikkerheden i fællesskabet som helhed.
Censur og trusler om retssager er blot nogle af de problemer, der white hat hackere ansigt.
Foreslåede ændringer, der er foretaget til Wassenaar-Arrangementet, og eksportkontrol oprindeligt blev truet til at foretage juridisk sårbarhed offentliggørelse næsten umuligt, men heldigvis ændringer er nu forhåbentlig er lavet, der vil holde cybersecurity forskere i det klare.
På trods af det arbejde, der af mange sikkerhedseksperter og lange diskussioner, hvilket resulterer i en sejr, når det kommer til Wassenaar-Arrangementet, sårbarhed videregivelse kan stadig være en juridisk minefelt.
Den AMERIKANSKE Computer Fraud and Abuse Act (CFAA) og Digital Millennium Copyright Act (DMCA), har også vist sig at være tvetydig og til tider smertefuldt for cybersikkerhed. I en bestemt sag, for eksempel, en forsker, der angiveligt opdaget, at en sælger havde forladt private legitimationsoplysninger usikker på GitHub.
Når spørgsmålet blev rapporteret, at den pågældende virksomhed har forsøgt at lukke munden på den forsker, som truer med at retsforfølge dem under CFAA.
TechRepublic: Top 5: Grunde, du har brug for en bug bounty program
Det er en foruroligende tid, kombineret med den hastige vækst i cyberangreb, som spænder fra brud på datasikkerheden til angreb på kritisk infrastruktur, der synes at finde sted.
Men Bugcrowd håber, at et nyt retsgrundlag, der kan reducere den truende skygge af retssager og til at bringe alle på samme side.
Se også: Fejl dusører: “Køb, hvad du vil
Afsløre.io er faktureret som et “samarbejde og sælger-agnostiker projekt at standardisere bedste praksis omkring safe harbour for god tro security research.”
I samarbejde med sikkerhed forsker Amit Elazari, den nye ordning har til formål at give både forskere og leverandører klar rækkevidde, når det kommer til offentliggørelse af sårbarheder, enten privat eller gennem bug bounty-programmer.
Afsløre.io bygger på CipherLaw er Open Source Sårbarhed Disclosure Framework, arbejde, der udføres af Bugcrowd, Elazari #legalbugbounty safe harbor-projektet og Dropbox ‘ s løfte om at beskytte sikkerhedseksperter.
Den retlige ramme forsøg på at skabe balance klart, kortfattet sprog, juridiske krav, safe harbor-elementer for både program ejere og forskere, samt læsbarhed for personer uden juridisk baggrund.
CNET: Facebook lancerer bug bounty program til at indberette data tyvene
Virksomheder, der vælger at vise ramme ‘ s logo vil være villige til at forpligte sig til et sæt af begreber, der skaber en sikker havn for forskning, der er udført i god tro.
De skal også give klare definitioner vedrørende forskning omfang, officielle kommunikationskanaler for ansvarlig offentliggørelse, samt en formel offentliggørelse politik.
“Vi er i business for at finde sårbarheder ved at indføre og fremme intelligens og kreativitet af den hvide hat hacker-samfundet,” sagde Casey Ellis, Bugcrowd stifter og CTO. “Dette kan være et skræmmende koncept for folk, der bygge, drive og beskytte software, men det er nødvendigt at konkurrere mod intelligens af fjender, der er derude. Standardisering er den bedste måde at ophæve enhver juridisk eller omdømme, blowback og stadig tiltrække de bedste jægere til dit program.”
På samme tid som lanceringen af Afsløre.io, Bugcrowd også annonceret et partnerskab med California Cybersecurity Institute (CCI) på Cal Poly at køre en to-års forskningsprogram i, hvordan at uddanne den næste generation af cybersecurity forskere.
Tidligere og relaterede dækning
Zero Day Initiative bug bounty ramper op belønninger for server-side sårbarheder Hyperledger bug bounty program går offentligt Netflix beder dig om at begynde hacking, bug bounty program er nu forbudt
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre
0