Nul
Video: Google lancerer sin egen sikkerhed-tasten.
Samsung er aldeles forvirrende sårbarhed rapportering hjemmeside har bedt om en af Googles top sikkerhed forskere til at forklare, hvordan virksomheder skal hjælpe forskerne med at rapportere fejl og fjerne hackable fejl i produkter hurtigt.
Google ‘ s Project Zero bug hunter, Natalie Silvanovich, der har Microsoft anerkendt som en top 10 forsker i verden, har et par tips til leverandører af alle typer om, hvordan til at håndtere indberetninger fra sikkerhedseksperter.
Det er en af de mange problemer white hat hackere ansigt i forbindelse med undersøgelse og rapportering af sårbarheder til virksomheder, der ofte sagsøge sikkerhed forskere for at fortælle dem om en fejl, og nogle gange endda sagsøge endda sikkerhed nyheder journalister for at fortælle offentligheden om fejl.
Sikkerhed virksomheder gør det, finansiering af virksomheder, der har ringet til politiet på forskere, globale revisionsfirma PwC truet med at sagsøge en sikkerhedsekspert, der forsøger at hjælpe, mens lovgiverne ofte foreslå regninger, der har til hensigt at straffe dårlige hackere, men i virkeligheden kriminalisere forskning i sikkerhed.
Det er så farlige for sikkerhed forskere, at Center for Democracy & Technology, en Washington DC-baseret non-profit for nylig udgivet en rapport, at kaste lys på de risici, de står over for i USA, så de begiver sig ud i det grå område af pre-internet love som Computer Fraud and Abuse Act (CFAA).
På den anden side, takket være Mozilla, Google, Microsoft og andre, sårbarhed rapportering programmer, der belønner forskere til indberetning af fejl og mangler er blevet mere almindelige.
Men hvordan disse programmer er gennemført på, har en vigtig indflydelse på, hvorvidt fejlrapporter nå ud til modtagerne, og i sidste ende, hvor hurtigt en fejl bliver rettet.
For en person, som Silvanovich, der er i stand til at finde flere kritiske kodning fejl i komplekse Microsoft-software, regne ud, hvordan at rapportere fejlen burde ikke være så svært.
Men det er ofte fordi forhandlere-endda store virksomheder som Samsung, som har vedtaget Google ‘ s månedlige Android security patch til system — ikke dokumentere rapportering proces eller undlader at opdatere forældede instruktioner.
Hendes første tip: “Effektiv sårbarhed rapportering processer, der er klart dokumenteret, og dokumentationen er let at finde.”
Den anden er at designe en proces, der er kort og ligetil, hvilket kan være praktisk, når du rapportering bogstaveligt talt snesevis af fejl.
Ikke alle forskere, der har den luksus af en Google-løn til at bruge tid på at finde ud af, hvordan du anmelder en fejl, og måske bare give op, forlader produkt fejl — og dets brugere — udsat for hackere.
“Rapportering processer, der bruger e-mail eller bug trackers er som regel den nemmeste, selvom webforms kan være let, hvis de ikke er for lange. Mens Project Zero vil altid rapportere en sårbarhed, selv om rapportering det er meget tidskrævende, er dette ikke nødvendigvis tilfældet for andre fejl journalister.”
Tip tre: test rapporteringsproces. “Selvom de fleste, vi møder, er testet], vi har lejlighedsvis haft bug-rapportering e-mail-adresser hoppe, webforms afvise nødvendige oplysninger (ligesom journalistens navn) og sikkerhedsspørgsmål gå ubemærket hen i bug trackers for måneder på trods af at følge den dokumenterede proces.”
Juridiske aftaler, er et andet problem, især med fremkomsten af bug-rapportering belønning programmer.
Project Zero ‘ s berømte og, for det meste, streng 90-dages offentliggørelse frist kan sætte pålægge juridiske risici på sine forskere. Ikke alle er enige med 90-dages frist, og især Microsoft, som understøtter en koordineret offentliggørelse.
Enten måde, som virksomheden debatter fordele og ulemper ved aftalens indgåelse, fejlrapporter, der er forsinket.
Hvilket fører til tip fire: “Mens juridiske aftaler, er nogle gange nødvendigt for belønninger programmer og kode bidrag, god sårbarhed rapportering processer tillade fejl journalister at rapportere fejl uden dem.”
Leverandører skal også huske at bekræfte, at den journalist, at de har modtaget rapporten for at sikre, at den rapport ikke er forsvundet ud i den blå luft. Igen, dette trin sparer tid for alle, der er involveret i fastsættelse af sikkerhedshuller.
Endelig, hun anbefaler, at virksomheder, der giver forskere en måde at give feedback på processen. I det væsentlige, software leverandører bør stræbe efter noget som Googles egen belønning programmer.
Men det var Samsung bug reporting side og en bug der kan udnyttes ved blot at sende en SMS til en Samsung S7 Kant, der inspirerede Silvanovich ‘ s indlæg.
Efter at ramme den engelske “Opret rapport” – knappen, Samsung sign-up side antaget, at hele verden forstået, Hangul, den koreanske alfabet, der tilbyder knapper, som hun havde ingen idé om, hvordan man skal reagere på.
Havde hun først ramte log-in knap, hun ville have nået en engelsk-sproget sign-up side. Men alt efter det var dybest set en tidsrøver.
“At klikke på de links, der førte til over 20 separate aftaler, som intet havde at gøre med sårbarhed rapportering,” tilføjede hun.
Efter påfyldning i forskellige former og accepterer at alt, Samsung ‘ s sider, der vendte tilbage til en Hangul-kun verden.
To begreber, ærgrede hende, og simpelthen stødte sammen med Projekt Zero ‘ s praksis. “Du MÅ holde ud at afsløre en svaghed i rimelig tid, og du SKAL få Samsung’ s samtykke eller informere Samsung om den dato, før afsløre den sårbarhed,” siger Samsung.
“I nogle tilfælde, kan Samsung anmodning om ikke at offentliggøre sårbarhed.” Igen, dette sammenstød med Project Zero ‘ s insisteren på offentliggørelse.
Regelmæssige udseende koreansk tekst i hele processen foreslog, at Samsung ikke havde prøvet sine processer for et internationalt publikum, og det var heller betragtes som den indsats, det kræves af forskeren.
Efter alt, leverandører formodes at være interesserede i at sikre deres produkter. Og mens mange virksomheder måske ikke størrelsen af Google eller Microsoft, Samsung, så det skal have ressourcer til at gøre forsøg.
Hun tager også et skud på HackerOne, den tredje-parts-bug-rapportering platform, der bruges af Uber, General Motors, og det AMERIKANSKE forsvarsministerium.
HackerOne har en 180-dages frist, og dette sammenstød dukkede op, når stipendiat Project Zero forsker Tavis Ormandy rapporterede CloudBleed, en farlig fejl, der påvirker Cloudflare, som bruger HackerOne.
“Denne sårbarhed blev også meget presserende, da det var aktivt utæt bruger data på internettet, og vi havde ikke lyst til at udsætte rapportering af problemet, mens vi læser gennem HackerOne’ s betingelser for at afgøre, om de var i overensstemmelse med vores politik for oplysningspligt,” skriver hun.
“Vi finder, at leverandører generelt ikke har til hensigt at forhindre fejl i rapporter fra nogen, der ikke vil acceptere deres regler for offentliggørelse, men dette var det endelige resultat af Samsung og Cloudflare udskiftning deres bug-rapportering processen med belønninger program.”
Hendes sidste råd:
Sælgere bør regelmæssigt afprøve deres sårbarhed rapportering grænseflader på alle understøttede sprog.Leverandører skal strømline deres sårbarhed rapportering behandlingen så meget som muligt, og fjerne store klik og juridiske aftaler,.Sælgere bør med jævne mellemrum anmode om feedback på deres sårbarhed rapporteringsmekanismer fra sårbarhed journalister og folk de tror er tilbøjelige til at rapportere sårbarheder.
Tidligere og relaterede dækning
Afsløre.io: En sikker havn for hackere afslører sikkerhedshuller
De love, der er mørke, når det kommer til ansvarlig offentliggørelse af bugs, men Afsløre.io har til hensigt at gøre tingene mere klart.
Windows-10 sikkerhed: Google Project Zero makulerer Microsoft ‘ s unikke Edge-forsvar
Google Project Zero siger Microsofts Vilkårlig Kode Vagt i Kanten fejler hvor Chrome ‘ s hjemmeside isolation lykkes.
Windows-10 fejl: Google igen afslører koden for ‘vigtige’ unpatched fejl
For anden gang på en uge, Google afslører en anden unpatched Windows 10 sårbarhed.
Windows-10 sikkerhed: Google afslører, hvordan ondsindede websteder kan udnytte Microsoft Kant
Microsoft savner Google ‘ s 90-dages frist, så har Google offentliggjort oplysninger om en udnyttelse, afhjælpning bypass.
Zero Day Initiative bug bounty ramper op belønninger for server-side sårbarheder
Særlige mål vil nu tjene særlige belønninger.
Windows 10 buggy opdateringer tvinge dig til at vælge mellem sikkerhed og stabilitet, siger brugergruppe TechRepublic
Systemadministratorer ikke er tilfreds med kvaliteten af Windows 10 opdateringer.
HP vil betale hackere op til $10.000 til at bryde sit printere CNET
Dette er for, hver gang printeren har fortalt dig, at det er løbet tør for toner.
Relaterede Emner:
Virksomhedens Software
Sikkerhed-TV
Data Management
CXO
Datacentre
0