Как стать автором
Обновить

Фирмы используют баг-баунти, чтобы купить молчание хакеров

Время на прочтение 7 мин
Количество просмотров 16K
Всего голосов 28: ↑26 и ↓2 +24
Комментарии 36

Комментарии 36

В частности, рекомендуется не указывать срок, после которого исследователям позволено публично сообщать о своей работе

Это не совсем так. Именно в фрагменте на вашем screenshot-е предлагается указать сроки, если хотите, но далее описывается, как объяснить, почему вы не хотите заранее указывать сроки, будете договариваться по каждому случаю отдельно и приводится пример такого «бессрочного» предложения от AWS.

Не понимаю, почему такая ситуация может быть равновесной.


Если хакеру Васе дали 30к, чтобы он закрыл рот, но при этом ничего не пофиксили, то что ему мешает поведать своему другу (тоже хакеру) Пете об уязвимости, чтобы тот ещё раз отрепортил баг без упоминания Васи, а утверждая, что нашёл его самостоятельно?


Тогда Петя сможет или взять себе очередные 30к (и поделиться кусочком с Васей), или выступить на конфе, пофармив свое cv (и отблагодарив Васю как-то, разумеется).


Такая схема ведь позволяет доить уродов до бесконечности, ведь юридически доказать слив уязвимости невозможно. Или я чего-то не учел?

Вы не учитываете во-первых менталитет. На западе менталитет и культура с обеих сторон другая чем на просторах СНГ.
Если рассуждать как вы то вообще DNA не имеет смысла, потому что всегда можно придумать способ и рассказать. Но реальность такова что обычно, если на западе человек что-то говорит, а тем более подписывает, он не считает себя в праве нарушать слово. Он ЗАКОНОПОСЛУШНЫЙ гражданин. И если кто-то с чем-то не согласен он не ищет способ нарушить DNA или любой другой подписанный документ. А ищет способ изменить систему, изменить законы или не подписывать неудобные для него и ограничивающие его свободу бумажки.
В этом вся суть разделения белых и черных шляп. Белые — они законопослушные, но все же честолюбивые, и часто в свободное время все же черные :-) ну или серые.
Тогда откуда появляются статьи об неэтичном и безнравственном поведении крупных компаний? Этическая сторона во имя общего блага перевешивает любые договорные отношения; тогда можно сослаться на недостаток информации перед заключение такого договора (например, специалист по безопасности заключая договор DNA полагал, что уязвимость будет устранена компанией, но вместо этого компания просто решила утаить информацию и оставить продукт уязвимым). Подобная практика была в США по другим вопросам: Ford Pinto или VAGoвские дизели.
Естественно, в таком случае проще не подписывать DNA (учитывая мотивы специалиста по безопасности).
Возможно сейчас я уличу себя самого в чудовищной некомпетентности, но может кто-нибудь объяснить почему требование неразглашения уязвимости за довольно внушительную сумму является подлостью, а разглашение уязвимости после заключения подобного договора — героизмом?

Потому что сторон-то три: кроме хакера и сервиса есть ещё и пользователи того самого сервиса, которые имеют право знать насколько ответственно сервис относится к хранению их данных.

Во-первых, сторон не три, а четыре — есть еще темные хакеры, которые, узнав об уязвимости, могут нанести серьезный урон сервису и его пользователям, ради которых хакер так старается.
Во-вторых, наличие уязвимостей не говорит о безответственности сервиса (разве что их ну слишком много). Ошибки совершают все, и ответственные, и не очень.
В-третьих, мы говорим о договоре о неразглашении. Даже если кто-то имеет право что-то знать — человек, подписавший такой договор, обязан молчать.

А он и молчит. А уязвимость не исправляется годами и эксплуатируется тёмными коллегами, которые самостоятельно её нашли. Безопасность через сокрытие в публичных сервисах не работает.

Как цивилизовано бороться с тем, что компании не исправляют уязвимости — я предложил ниже.
Разглашение неисправленных уязвимостей — это акт вандализма, вне зависимости от причин. Плакаться о том, что после этого тебе не заплатили, пока у других за нарушение NDA требуют деньги, которые им никогда не заработать — ИМХО слегка лицемерно.
Если суть протеста состоит не в мирном донесении информации, а в причинении реального вреда объекту протеста — то да, это акт вандализма. Намерения могут быть добрыми, но такими намерениями усеяна дорога известно куда.
Еще для полной аналогии нужно, что бы протестующие подписали полностью законный договор, по которому они обязуются не протестовать, получив при этом солидную компенсацию, а потом все равно вышли на протест.
Мифическая группа депутатов, протестуя против поправок в основной закон страны, назвала лидера оной узурпатором и публично бойкотирует законотворческую деятельность.
Они публично получают зарплату от правительства данной страны, и состоят в политическом движении узурпатора.
1) Является ли их поступок аморальным?
2) Является ли их поступок незаконным?
Первое субъективно, второе зависит от действующего закона и не очень важно на данной стадии.
Вы специально от темы уходите? Я вроде как объяснил почему Ваша аналогия некорректна. Вы все равно считаете, что компании с уязвимостями — это злобные диктаторы, а хакеры — это народные герои?
Тезисно
1) Я согласен, что разглашение информации после подписания nda — нарушение договора.
2) Я считаю, что nda на уязвимость со сроком более n дней (срок обсуждаем) вреден обществу, и должен быть признан ничтожным по суду.
3) Я считаю, что разглашение уязвимости спустя n дней (где n должен быть минимально необходимым для починки данного типа уязвимости) не является актом вандализма, т.к. мы не в состоянии оценить ни вред от продолжения сокрытия, ни вред от разглашения.

Моё мнение — данный вопрос нуждается в мягком законодательном регулировании (достаточно судебного прецедента ), в вопросе того какие соглашения могут быть заключены, а какие нет.

P.s. тема токсичная, минусы вам не я ставил. Предлагаю закончить последним сообщением от вас.
2) По прежнему не понимаю, почему исследователи уязвимостей — это какая-то особенная каста людей, которых нельзя заставлять подписывать NDA. И не понимаю, чем конкретно такой NDA вреден обществу. По такой логике любой NDA вреден обществу. Давайте великодушно поделимся с парнями с востока чертежами ядерных боеголовок.
3) Разглашение неисправленной уязвимости с инструкцией к ее эксплуатации (как это обычно бывает) — значит причинение вреда компании и ее пользователям. Пиар я не считаю объективной причиной, тезы вида «не хотел, но бездействие компании заставило» не катят — это обусловлено идеологией, за свою идеологию каждый отвечает сам. Таким образом да, такое разглашение подпадает под определение вандализма. При этом можно было бы, например, просто объявить о наличии уязвимости и раскрыть ее только парочке признанных экспертов, заручившись таким образом их поддержкой — никакой утечки и опасности для компании/пользователей, только нарушение NDA (если он был). Но так ведь никто не делает — нет, нужно опубликовать инструкцию по взлому, которой сможет воспользоваться любая домохозяйка.

Мое мнение — заплатив исследователю, компании вправе решать, хотят ли они оглашать информацию, касающуюся их продуктов. Соблюдать NDA — вполне нормальная практика, «простые смертные» тоже его подписывают, и благодаря этому общество не узнает очень много интересной информации.
По прежнему не понимаю, почему исследователи уязвимостей — это какая-то особенная каста людей, которых нельзя заставлять подписывать NDA.

Кто и где написал и сказал что есть какая-то каста и что какая-то категория людей (исследователи) требуют к себе особого отношения после подписания NDA?
Это ваша личная интерпретация. Поэтому вы и не можете понять суть «претензий».
А суть из сводится к тому что NDA вообще не нужен и вреден для отрасли и для общества. А соглашение о неразглашении на срок решает реальную проблему что дыру надо сначала залатать, и его наличие было легко объяснимо когда начинались все эти баунти программы.
И не понимаю, чем конкретно такой NDA вреден обществу. По такой логике любой NDA вреден обществу.

Вам кажется что это риторический вопрос. А вот моя позиция и позиция многих сторонников свободного ПО и многих ученых из других областей — да NDA вреден обществу вообще. Для развития науки и техники человечество должно абсолютно свободно обмениваться информацией об исследованиях, достижениях и разработках.
Давайте великодушно поделимся с парнями с востока чертежами ядерных боеголовок.

Вы снова исходите что это риторический вопрос. А как вы отреагируете если я отвечу — давайте? Я не верю что на планете есть страны или нации более достойные обладать какими-то технологиями. То что страны находят предлоги чтобы не делиться ими — не делает им на самом деле чести. Многие страны в мире хотели бы использовать атомную энергию в мирных целях, но им показывают кукиш, прикрываясь заботой о безопасности. А реальные террористы — им не нужна особо технология, они покупают сразу готовое «изделие» или партию и им этого достаточно чтобы посеять панику и навести ужас и страх. И это мы говорим только об атомной энергии. А вы считаете правильным что какие-то алгоритмы шифрования запрещены к раскрытию правительством Штатов? И еще тысячи и тысячи технологий просто заживо погребены под печатью секретности во всех странах мира в институтах и на предприятиях «закрытого типа»?

Разглашение неисправленной уязвимости с инструкцией к ее эксплуатации (как это обычно бывает) — значит причинение вреда компании и ее пользователям.

Что вы называете вредом?
Давайте представим гипотетическую ситуацию. Есть компания Груша. Она производит некое устройство для связи и рекламирует его как самое надежное и безопасное в мире. Люди и в том числе госоорганы разных стран покупают это средство связи. Компания говорит что их безопасность растет из года в год, потому что они проводят постоянный аудит третьими компаниями и независимыми экспертами и улучшают безопасность.
И тут какой-то исследователь обнаруживает, что на самом деле много уязвимостей обнаруженных в прошлом не устранены, что компания «симулирует» безопасность но их продукт имеет много дыр и они вяло реагируют на новую серьезную брешь которую он обнаружил.
Вы всерьез считаете что опубликовав это, он принесет вред пользователям компании? Или все же удар будет по репутации и финансам самой компании? А конечные пользователи все же скажут спасибо и будут сами решать стоит ли продолжать пользоваться этими средствами коммуникации или будут искать альтернативы?

Мое мнение — заплатив исследователю, компании вправе решать, хотят ли они оглашать информацию, касающуюся их продуктов.

Ваше мнение — ваше право. Юридически она вправе даже НЕ ЗАПЛАТИВ. Вы постоянно упускаете что NDA подписываетеся еще до того как что-то найдено, и именно против этого направлена данная статья. Что если я оцениваю уязвимость как критическую и стоящую 1 000 000 баксов, а мне пришел ответ: «спасибо мальчик, это не баг, а фича» или «вот тебе 5 баксов, заткнись и иди отсюда»?
данный вопрос нуждается в… законодательном регулировании
Только что сам хотел написать подобный коммент.
Дело ведь касается не только хакера и компании, а еще и общества, как указал mayorovp.
Любопытно — вы назвали тему токсичной.
А почему тема токсичная? Потому что затрагивает этику, которая у каждого своя и уходит корнями в какие-то очень глубокие вещи о которых невозможно договориться. Для меня некое психологическое миниоткрытие.
еще есть другие сайты с похожей уязвимостью, которые из-за сокрытия информации не смогут о ней узнать пока их самих не взломают
Пять. Еще пользователи, которые не ставят апдейты. В результате компания выпускает патч, его не ставят, информация об уязвимости раскрывается и пионерия от хакеров начинает использовать уязвимость
Потому что деньги платят не за молчание, а за проведенное исследование и сообщение об уязвимости. Изначально подразумевалось, что компания получит такой сигнал. заплатит исследователю, залатает дыру, сообщит в релиз ноутс, что такая-то уязвимость была закрыта. А после этого исследователь волен рассказывать о своем исследовании где угодно: в институтах, книгах, блогах, конференциях, на ТВ. Потому что это уже не опасно, но очень познавательно и полезно для сообщества.
А тут получается что многие компании просто платят за молчание. Ничего не исправляют. А если исправляют, то втихую или не вовремя. А рассказывать запрещают, даже когда все исправлено и мхом поросло. А это плохо для всех.
Я согласен, что сокрытие уже исправленных уязвимостей — по большому счету не имеет смысла. Но NDA есть NDA, он существует не только здесь, и никто особо не возмущается. В конце концов, речь идет не о подноготной исследователя, а о компании — и я считаю что она вправе решать что раскрывать, а что нет (особенно если она за это платит).
Вообще мое замечание больше относилось к раскрытию неисправленных уязвимостей. Срок в 90 дней может быть, а может и не быть достаточным для того, что бы все исправить. Если его не хватило — это не повод открыть дорогу тем хакерам, которые монетизируют уязвимости иным путем.
На счет того, что компании не хотят исправлять уязвимости — мне трудно представить, что они именно «не хотят», думаю обычно они все же «не могут». Но если уж так, то можно, например, вместо одной фиксированной выплаты хакеру ввести регулярные выплаты (размер которых, например, растет по экспоненте). HackerOne, конечно, вряд ли станет так напрягать своих клиентов, но возможно это можно зафиксировать на уровне законодательства.
мне трудно представить, что они именно не хотят

Это проще простого. Есть продакт менеджер, который имеет KPI на выпуск новых фич, которые, в свою очередь, должны поднять удержание и повысить конверсию. При их выполнении он получит бонус, да и вообще, будет красавчиком. Часто фичи ещё и привязаны к датам, например, выхода мощных рекламных кампаний. И тут к нему приходят и так надоевшие порядком зануды из безопасности, и говорят, мол, забей на приоритеты, свой бонус и KPI, останавливай разработку, и теперь мы будем ставить программистам задачи, пока не пофиксим. А то вон хакер 90 дней ждёт, а дальше жопа.
Любой опытный продакт сразу задаст вопрос "а сколько ваша так называемая жопа стоит, — может просто разовыми непредвиденными расходами вопрос решим, и забудем об этом?"

Типичная уязвимость, находимая хакерами в публичном сервисе, эксплуатирует либо недостаточную валидацию ввода (xss и подобные атаки), либо проблемы системы прав.
Первый тип правится за минуты-часы и разливается по серверам за часы-дни.
Вторые могут быть более трудно-исправляемы, но костылём затыкаются в относительно короткие сроки.
90 дней для нежелезнячных проблем, и проблем не связанных с внешними устройствами (где затруднительно обновление) — это целая вечность.
НЛО прилетело и опубликовало эту надпись здесь
А почему бы не разрешить белым хакерам публиковать отчёты о дырах спустя несколько лет например 3 года после обнаружения, чтобы это не сильно отражалось на текущих котировках акций?!
Вы это кому конкретно предлагаете?

С точки зрения обывателя — обывателю пофиг будет оно опубликовано или нет.
С точки зрения конторы владельца бизнеса — они не хотят мочить свою репутацию и после 3х лет.
С точки зрения исследователя — это как научное открытие — через 3 года оно уже никому не интересно и уже всем известно. А если он хочет на этом примере студентов обучать? На конференциях как пример приводить? Книгу выпустить? Опять же опубликовав что-то интересное авторитет такого исследователя возрастает в сообществе. Это выгодно и ему самому и его потенциальным заказчикам, которые знают к кому стоит или не стоит обращаться с заказами. Это такое «портфолио» спеца. И ждать 3 года пока рак на горе свистнет ему не очень интересно.
С точки зрения инвесторов которые вложились в контору, они заинтересованы в реальном и качественном управлении, а не в симуляции такового. Краткосрочно акции может и просядут, но долгосрочно если контора правильно встроит систему реагирования на угрозы в свои процессы и обеспечит прозрачность, то останутся довольны и акционеры и конечные пользователи.

Так что в итоге дело не в 90 днях или 3х годах. Дело в отношении компании к безопасности и прозрачности как таковой.
С точки зрения конторы владельца бизнеса — они не хотят мочить свою репутацию и после 3х лет


Смотря как это преподнести, новость об обнаруженной дыре и новость о патче который затыкает обнаруженную дыру воспринимаются людьми по-разному. По моему разумению за 3 года вполне реально выкатить пачь не создавая на рынке нездоровый ажиотаж. Хотя конечно сидеть сложа руки и ничего не делать проще всего.

С точки зрения исследователя — это как научное открытие — через 3 года оно уже никому не интересно и уже всем известно.


Спектр и мелтдоун wiki
Уязвимость была найдена в середине 2017 года и несколько месяцев находилась на стадии закрытого обсуждения и исправления.

А если он хочет на этом примере студентов обучать?


Историки копаются в архивах спустя десятилетия после того как истекает срок действия грифа секретно и спокойно обучают своих студентов. Хотя конечно хайпануть на такой инфе не получается.

Меня в целом возмущает не то что производители не хотят публиковать информацию о дырах, а то что они не хотят выкатывать патчи.

У меня дома стоит стакан, на котором крупным шрифтом написано, в рамках какой приватной программы он получен. Ууупс, кажется они что-то не учли, когда решили раздавать такие 'swag'и :)

А чем плохая идея? Похвастаетесь стаканом перед другими хакерами, и популярность программы пропиарите. А если стакан к журналистам попадет, всегда можно удивленный вид сделать, и сказать "сами изготовили"

Не понимаю хакеров, которые в существующих условиях пытаются играть в благородство.

То есть я могу найти уязвимость, получить за нее деньги, рассказать своему другу, который сделает вид, что нашел ее сам и тоже получит деньги, и так до бесконечности?

Нет же, ответят, что уже известный баг, спасибо, заходите еще.
Тогда хотя-бы опубликовать будет возможность
NDA подписывается в момент когда вы начинаете работать по проекту, а не в момент нахождения уязвимости. Нашли вы что-то или нет, не важно. Вас изначально обязывают молчать.

Если вкратце, то вместо исправления багов компании ставят на первый план подкуп хакеров…
А дальше пишет, что правительство это требует. Ну, что требует, то и получает.

Чего только не сделаешь, чтобы ализар помолчал.
Зарегистрируйтесь на Хабре , чтобы оставить комментарий