Zero
Video: Google lancia la sua chiave di sicurezza.
Samsung assolutamente confondere la segnalazione di vulnerabilità del sito ha richiesto di Google in alto i ricercatori di sicurezza di spiegare come le aziende dovrebbero aiutare i ricercatori a segnalare bug ed eliminare hackable difetti nei prodotti rapidamente.
Google Project Zero bug hunter, Natalie Silvanovich, che Microsoft ha riconosciuto come una top 10 ricercatore nel mondo, ha un paio di consigli per i fornitori di tutti i tipi su come gestire i rapporti da ricercatori di sicurezza.
E ‘ uno dei tanti problemi white-hat hacker faccia quando analisi e reporting delle vulnerabilità per le aziende che spesso citare in giudizio i ricercatori di sicurezza per raccontare loro un difetto, e a volte anche citare in giudizio anche la sicurezza i giornalisti per raccontare al pubblico il bug.
La sicurezza delle aziende, finanziarie hanno chiamato i poliziotti su di ricercatori, globale ditta di contabilità PwC ha minacciato di citare in giudizio un ricercatore di sicurezza cercando di aiutare, mentre i legislatori spesso proporre progetti di legge che intende punire i cattivi hacker, ma in realtà la penalizzazione di ricerca per la sicurezza.
È così pericoloso per i ricercatori di sicurezza che il Center for Democracy & Technology, una sede a Washington, DC non-profit ha pubblicato di recente un rapporto a brillare di una luce sui rischi cui sono esposti in italia, si avventurano in zone di grigio pre-internet, leggi come il Computer Fraud and Abuse Act (CFAA).
D’altra parte, grazie a Mozilla, Google, Microsoft e altri, per la segnalazione di vulnerabilità programmi che premiano i ricercatori per la segnalazione di difetti sono diventati più comuni.
Ma come questi programmi sono attuati ha un impatto importante su di se le segnalazioni di bug raggiungere i destinatari, e, infine, come rapidamente un bug viene risolto.
Per una persona come Silvanovich, che è in grado di trovare più critici per gli errori di codifica, in complesso software Microsoft, per capire come segnalare il bug non dovrebbe essere così difficile.
Ma è spesso perché i fornitori, anche quelli più grandi come Samsung, che ha adottato mensile di Google Android security patch di sistema — non documentare il processo di rendicontazione o mancato aggiornamento obsoleto istruzioni.
Il suo primo suggerimento: “Efficace per la segnalazione di vulnerabilità processi sono chiaramente documentate, e la documentazione è facile da trovare.”
Il secondo è quello di progettare un processo breve e semplice, che può essere utile quando reporting letteralmente decine di difetti.
Non tutti i ricercatori hanno il lusso di un Google salario di trascorrere del tempo a cercare di capire come segnalare un difetto, e potrebbe solo dare, lasciando il difetto del prodotto — e i suoi utenti — esposto agli attaccanti.
“Processi di comunicazione che utilizzano la posta elettronica o i bug tracker sono di solito il più facile, anche se webforms può essere facile, se non sono eccessivamente lunghi. Mentre il Progetto Zero sempre segnalare una vulnerabilità, anche se la segnalazione è molto tempo, questo non è necessariamente il caso per altri bug reporter.”
Suggerimento tre: prova il processo di reporting. “Mentre la maggior parte incontriamo sono [testato], abbiamo avuto, occasionalmente, di segnalazione indirizzi e-mail di rimbalzo, webforms rifiutare le informazioni necessarie (come il giornalista nome) problemi di sicurezza e di passare inosservato nel bug tracker per mesi, nonostante seguenti il processo documentato.”
Accordi legali sono un altro problema, soprattutto con l’aumento di segnalazione dei programmi di ricompensa.
Project Zero è famoso e, per la maggior parte, stretta di 90 giorni del termine può mettere imporre rischi legali sui suoi ricercatori. Non tutti sono d’accordo con il termine di 90 giorni dalla scadenza, più in particolare Microsoft, che supporta coordinato divulgazione.
In entrambi i casi, la società dibattiti pro e contro della sottoscrizione del presente contratto, le segnalazioni di bug sono in ritardo.
Il che porta a quattro suggerimento: “Mentre gli accordi legali sono a volte necessarie per programmi a premi e contributi di codice, buona la segnalazione di vulnerabilità processi consentono di bug che i giornalisti di report bug senza di loro.”
I rivenditori devono anche ricordarsi di confermare ai reporter che hanno ricevuto il rapporto, per garantire il rapporto non è scomparso nell’etere. Di nuovo, questo passaggio consente di risparmiare tempo per tutti i soggetti coinvolti nella risoluzione dei problemi di sicurezza.
Infine, si raccomanda alle aziende di fornire ai ricercatori un modo per fornire un feedback circa il processo. Essenzialmente, i fornitori di software dovrebbe essere l’obiettivo per qualcosa di simile a Google programmi di ricompensa.
Ma è stato di Samsung di segnalazione dei bug di pagina e un bug che potrebbe essere sfruttato con il semplice invio di un SMS ad un Samsung S7 Bordo che ha ispirato Silvanovich post.
Dopo aver colpito l’inglese pulsante “Crea report” di Samsung, pagina di registrazione è assunta il mondo intero capito Hangul, l’alfabeto coreano, dotato di pulsanti che lei non aveva idea di come rispondere.
Aveva prima colpito il pulsante di accesso, avrebbe raggiunto una lingua inglese pagina di registrazione. Ma dopo tutto questo è stato fondamentalmente un time-waster.
“Facendo clic sui collegamenti portato a oltre 20 accordi separati, la maggior parte dei quali non aveva nulla a che fare con la segnalazione di vulnerabilità”, ha commentato.
Dopo aver compilato i vari moduli e accetta tutto ciò, Samsung pagine restituite per un Hangul solo mondo.
Due termini ha infastidita e, semplicemente, si sono scontrati con Project Zero pratiche. “Si DEVE tenere a bada rivelare la vulnerabilità in un tempo ragionevole, e si DEVE ottenere di Samsung consenso o informare Samsung circa la data prima di divulgare la vulnerabilità”, ha detto Samsung.
“In alcuni casi, Samsung richiesta di non divulgare la vulnerabilità a tutti.” Di nuovo, questo si scontra con il Progetto Zero l’insistenza di divulgazione.
L’aspetto regolare di testo coreano durante tutto il processo ha suggerito Samsung non aveva testato i suoi processi per un pubblico internazionale, né aveva considerato lo sforzo del ricercatore.
Dopo tutto, i fornitori dovrebbero essere interessati a proteggere i loro prodotti. E mentre molte aziende potrebbero non essere le dimensioni di Google o Microsoft, Samsung, quindi dovrebbe avere le risorse per fare il test.
Prende anche un colpo a HackerOne, le terze parti bug-reporting piattaforma utilizzata da Uber, General Motors, e il Dipartimento della Difesa.
HackerOne ha 180 giorni dalla scadenza, e questo scontro spuntato quando i compagni di Project Zero ricercatore Tavis Ormandy ha riferito CloudBleed, un pericoloso bug che interessa Cloudflare, che utilizza HackerOne.
“Questa vulnerabilità è stata anche molto urgente, in quanto è stato attivamente perdite di dati dell’utente su internet, e noi non vogliamo ritardare la segnalazione del problema, mentre leggiamo attraverso HackerOne termini per determinare se essi sono compatibili con la nostra politica di divulgazione,” scrive.
“Troviamo che in genere, i produttori non intendono evitare segnalazioni di bug da parte di chiunque non accetti le loro regole di trasparenza, ma questo è stato il risultato finale di Samsung e Cloudflare sostituzione di bug-reporting processo con un programma di ricompense.”
Il suo consiglio finale:
I produttori devono misurare regolarmente la loro vulnerabilità interfacce di reporting in tutte le lingue supportate.I produttori devono razionalizzare il loro vulnerabilità reporting elaborazione, per quanto possibile, e rimuovere l’eccesso di click e accordi legali.I produttori devono regolarmente sollecitare il feedback sulla loro vulnerabilità e meccanismi di segnalazione da vulnerabilità e i giornalisti e le persone pensano che sono propensi a segnalare vulnerabilità.
Precedente e relativa copertura
Divulgare.io: Un porto sicuro per gli hacker di divulgare le vulnerabilità di sicurezza
Le leggi sono torbide, quando si tratta di divulgazione responsabile di bug, ma di Rivelare.io intende rendere le cose più chiare.
Windows 10 sicurezza: Google Project Zero brandelli di Microsoft unico Bordo di difesa
Google Project Zero dice Microsoft Codice Arbitrario di Guardia a Bordo non riesce in cui Chrome isolamento del sito riesce.
Windows 10 bug: Google rivela ancora il codice per ‘importante e’ che senza patch difetto
Per la seconda volta in una settimana, Google rivela un’altra patch di Windows 10 vulnerabilità.
Windows 10 sicurezza: Google espone come siti dannosi possono sfruttare Microsoft Bordo
Microsoft perde di Google di 90 giorni dalla scadenza, in modo che Google ha pubblicato i dettagli di un exploit di mitigazione del bypass.
Zero Day Initiative di bug bounty le rampe a premi per il lato server vulnerabilità
Obiettivi speciali guadagna ricompense speciali.
Windows 10 buggy aggiornamenti forza di scegliere tra la sicurezza e la stabilità, dice il gruppo di utenti TechRepublic
Gli amministratori di sistema non sono soddisfatti con la qualità di Windows 10 aggiornamenti.
HP pagare gli hacker fino a $10.000 per rompere le stampanti CNET
Questo è per ogni volta che la stampante ha detto che si è esaurito.
Argomenti Correlati:
Enterprise Software
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati
0