Noll
Bugcrowd har lanserat Avslöja.io, en “safe harbor” – ram som är avsedd att hjälpa säkerhet forskare fångad i viken mellan laglighet och ansvarig utlämnande.
Lagarna kring sårbarhet rapporter är grå i bästa fall. Vissa leverantörer har särskild bug bounty program som ger hackare en väg att rapportera säkerhetsproblem direkt, inte bara för att ge berörda företag en chans att korrigera problemet innan hotet aktörer lära sig av dem, men även för att säkra kreditinstitut och finansiella belöningar.
Ibland, dock, företag är inte glad över att få sådana rapporter. Detta år, en säkerhetsforskare och två reportrar hamnade inför eg-domstolen för att den utlämnande av sårbarheter och hot om sådana stämningar kan ha en dämpande effekt på säkerheten i samhället i stort.
Censur och hot om rättsfall är bara några av de problem som white hat hacker ansikte.
Föreslagna ändringar som gjorts i Wassenaar-Arrangemanget och exportkontroll ursprungligen hotade att göra rättslig sårbarhet utlämnande nästan omöjligt, men tack och lov, förändringar är nu förhoppningsvis att göras som kommer att hålla it-säkerhet forskare i klartext.
Trots det arbete som av många experter på säkerhet och långa diskussioner vilket resulterar i en seger när det kommer till Wassenaar-Arrangemanget, sårbarhet utlämnande kan fortfarande vara ett juridiskt minfält.
Den AMERIKANSKA Computer Fraud and Abuse Act (CFAA) och Digital Millennium Copyright Act (DMCA) har också visat sig vara oklar och ibland smärtsamt för cybersäkerhet. I ett enskilt fall, till exempel en forskare som påstås ha upptäckt att en leverantör hade lämnat egna meriter utan säkerhet på GitHub.
När frågan var rapporterade, företaget i fråga försökt att tysta forskare genom att hota att åtala dem under CFAA.
TechRepublic: Topp 5: Orsaker till att du behöver en bug bounty program
Det är en bekymmersam tid, tillsammans med den snabbare takt i vilken it-angrepp som sträcker sig från dataintrång till attacker på viktig infrastruktur tycks ta plats.
Men Bugcrowd hoppas att ett nytt regelverk kan minska den hotande skugga av stämningar och få alla på samma sida.
Se även: Bugg i arv: “Köp vad du vill
Avslöja.io är faktureras som ett “samarbete och säljaren-agnostiker projekt för att standardisera bästa praxis runt trygg hamn för god tro säkerhet forskning.”
I samarbete med säkerhet forskare Amit Elazari den nya ordningen syftar till att ge både forskare och leverantörer tydligt utrymme när det kommer till utsatthet utlämnande, antingen privat eller genom bug bounty program.
Avslöja.io bygger på CipherLaw är Öppen Källkod Sårbarhet Utlämnande Ram, arbete som utförs av Bugcrowd, Elazari #legalbugbounty safe harbor-projektet och Dropbox har åtagit sig att skydda säkerheten forskare.
Den rättsliga ramen försök att balansera klart, koncist språk, rättsliga krav, safe harbor-element för både program ägare och forskare, samt läsbarhet för dem som inte har en juridisk bakgrund.
CNET: Facebook lanserar bug bounty program för att rapportera data tjuvar
Företag som väljer att visa ram: s logotyp kommer att förbinda sig till en uppsättning villkor som skapar en trygg hamn för forskning som utförs i god tro.
De måste också ge tydliga definitioner om forskning omfattning, officiella kommunikationskanaler för ansvarsfullt utlämnande, liksom en formell informationspolicy.
“Vi är i branschen för att hitta sårbarheter genom att införa och främja intelligens och kreativitet i den vita hatten hacker community”, sa Casey Ellis, Bugcrowd grundare och CTO. “Detta kan vara ett skrämmande begrepp för personer som bygga, köra och skydda programvara, men det är nödvändigt för att konkurrera mot den intelligens de motståndare som finns där ute. Standardisering är det bästa sättet att motverka eventuella rättsliga eller anseende blowback medan den fortfarande locka till sig de bästa jägarna till ditt program.”
Samtidigt som lanseringen av Avslöja.io, Bugcrowd meddelade också ett samarbete med California Cybersäkerhet Institute (CCI) på Cal Poly för att köra ett två-årigt forskningsprogram som syftar till att utbilda nästa generation av it-säkerhet forskare.
Tidigare och relaterade täckning
Zero Day Initiative bug bounty ramper upp belöningar för server-side sårbarheter Hyperledger bug bounty programmet går allmänheten Netflix uppmanar dig att börja hacka, bug bounty programmet är nu offentlig
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0