Комментарии 36
В частности, рекомендуется не указывать срок, после которого исследователям позволено публично сообщать о своей работе
Это не совсем так. Именно в фрагменте на вашем screenshot-е предлагается указать сроки, если хотите, но далее описывается, как объяснить, почему вы не хотите заранее указывать сроки, будете договариваться по каждому случаю отдельно и приводится пример такого «бессрочного» предложения от AWS.
Не понимаю, почему такая ситуация может быть равновесной.
Если хакеру Васе дали 30к, чтобы он закрыл рот, но при этом ничего не пофиксили, то что ему мешает поведать своему другу (тоже хакеру) Пете об уязвимости, чтобы тот ещё раз отрепортил баг без упоминания Васи, а утверждая, что нашёл его самостоятельно?
Тогда Петя сможет или взять себе очередные 30к (и поделиться кусочком с Васей), или выступить на конфе, пофармив свое cv (и отблагодарив Васю как-то, разумеется).
Такая схема ведь позволяет доить уродов до бесконечности, ведь юридически доказать слив уязвимости невозможно. Или я чего-то не учел?
Если рассуждать как вы то вообще DNA не имеет смысла, потому что всегда можно придумать способ и рассказать. Но реальность такова что обычно, если на западе человек что-то говорит, а тем более подписывает, он не считает себя в праве нарушать слово. Он ЗАКОНОПОСЛУШНЫЙ гражданин. И если кто-то с чем-то не согласен он не ищет способ нарушить DNA или любой другой подписанный документ. А ищет способ изменить систему, изменить законы или не подписывать неудобные для него и ограничивающие его свободу бумажки.
В этом вся суть разделения белых и черных шляп. Белые — они законопослушные, но все же честолюбивые, и часто в свободное время все же черные :-) ну или серые.
Естественно, в таком случае проще не подписывать DNA (учитывая мотивы специалиста по безопасности).
Потому что сторон-то три: кроме хакера и сервиса есть ещё и пользователи того самого сервиса, которые имеют право знать насколько ответственно сервис относится к хранению их данных.
Во-вторых, наличие уязвимостей не говорит о безответственности сервиса (разве что их ну слишком много). Ошибки совершают все, и ответственные, и не очень.
В-третьих, мы говорим о договоре о неразглашении. Даже если кто-то имеет право что-то знать — человек, подписавший такой договор, обязан молчать.
А он и молчит. А уязвимость не исправляется годами и эксплуатируется тёмными коллегами, которые самостоятельно её нашли. Безопасность через сокрытие в публичных сервисах не работает.
Разглашение неисправленных уязвимостей — это акт вандализма, вне зависимости от причин. Плакаться о том, что после этого тебе не заплатили, пока у других за нарушение NDA требуют деньги, которые им никогда не заработать — ИМХО слегка лицемерно.
Еще для полной аналогии нужно, что бы протестующие подписали полностью законный договор, по которому они обязуются не протестовать, получив при этом солидную компенсацию, а потом все равно вышли на протест.
Они публично получают зарплату от правительства данной страны, и состоят в политическом движении узурпатора.
1) Является ли их поступок аморальным?
2) Является ли их поступок незаконным?
Вы специально от темы уходите? Я вроде как объяснил почему Ваша аналогия некорректна. Вы все равно считаете, что компании с уязвимостями — это злобные диктаторы, а хакеры — это народные герои?
1) Я согласен, что разглашение информации после подписания nda — нарушение договора.
2) Я считаю, что nda на уязвимость со сроком более n дней (срок обсуждаем) вреден обществу, и должен быть признан ничтожным по суду.
3) Я считаю, что разглашение уязвимости спустя n дней (где n должен быть минимально необходимым для починки данного типа уязвимости) не является актом вандализма, т.к. мы не в состоянии оценить ни вред от продолжения сокрытия, ни вред от разглашения.
Моё мнение — данный вопрос нуждается в мягком законодательном регулировании (достаточно судебного прецедента ), в вопросе того какие соглашения могут быть заключены, а какие нет.
P.s. тема токсичная, минусы вам не я ставил. Предлагаю закончить последним сообщением от вас.
3) Разглашение неисправленной уязвимости с инструкцией к ее эксплуатации (как это обычно бывает) — значит причинение вреда компании и ее пользователям. Пиар я не считаю объективной причиной, тезы вида «не хотел, но бездействие компании заставило» не катят — это обусловлено идеологией, за свою идеологию каждый отвечает сам. Таким образом да, такое разглашение подпадает под определение вандализма. При этом можно было бы, например, просто объявить о наличии уязвимости и раскрыть ее только парочке признанных экспертов, заручившись таким образом их поддержкой — никакой утечки и опасности для компании/пользователей, только нарушение NDA (если он был). Но так ведь никто не делает — нет, нужно опубликовать инструкцию по взлому, которой сможет воспользоваться любая домохозяйка.
Мое мнение — заплатив исследователю, компании вправе решать, хотят ли они оглашать информацию, касающуюся их продуктов. Соблюдать NDA — вполне нормальная практика, «простые смертные» тоже его подписывают, и благодаря этому общество не узнает очень много интересной информации.
По прежнему не понимаю, почему исследователи уязвимостей — это какая-то особенная каста людей, которых нельзя заставлять подписывать NDA.
Кто и где написал и сказал что есть какая-то каста и что какая-то категория людей (исследователи) требуют к себе особого отношения после подписания NDA?
Это ваша личная интерпретация. Поэтому вы и не можете понять суть «претензий».
А суть из сводится к тому что NDA вообще не нужен и вреден для отрасли и для общества. А соглашение о неразглашении на срок решает реальную проблему что дыру надо сначала залатать, и его наличие было легко объяснимо когда начинались все эти баунти программы.
И не понимаю, чем конкретно такой NDA вреден обществу. По такой логике любой NDA вреден обществу.
Вам кажется что это риторический вопрос. А вот моя позиция и позиция многих сторонников свободного ПО и многих ученых из других областей — да NDA вреден обществу вообще. Для развития науки и техники человечество должно абсолютно свободно обмениваться информацией об исследованиях, достижениях и разработках.
Давайте великодушно поделимся с парнями с востока чертежами ядерных боеголовок.
Вы снова исходите что это риторический вопрос. А как вы отреагируете если я отвечу — давайте? Я не верю что на планете есть страны или нации более достойные обладать какими-то технологиями. То что страны находят предлоги чтобы не делиться ими — не делает им на самом деле чести. Многие страны в мире хотели бы использовать атомную энергию в мирных целях, но им показывают кукиш, прикрываясь заботой о безопасности. А реальные террористы — им не нужна особо технология, они покупают сразу готовое «изделие» или партию и им этого достаточно чтобы посеять панику и навести ужас и страх. И это мы говорим только об атомной энергии. А вы считаете правильным что какие-то алгоритмы шифрования запрещены к раскрытию правительством Штатов? И еще тысячи и тысячи технологий просто заживо погребены под печатью секретности во всех странах мира в институтах и на предприятиях «закрытого типа»?
Разглашение неисправленной уязвимости с инструкцией к ее эксплуатации (как это обычно бывает) — значит причинение вреда компании и ее пользователям.
Что вы называете вредом?
Давайте представим гипотетическую ситуацию. Есть компания Груша. Она производит некое устройство для связи и рекламирует его как самое надежное и безопасное в мире. Люди и в том числе госоорганы разных стран покупают это средство связи. Компания говорит что их безопасность растет из года в год, потому что они проводят постоянный аудит третьими компаниями и независимыми экспертами и улучшают безопасность.
И тут какой-то исследователь обнаруживает, что на самом деле много уязвимостей обнаруженных в прошлом не устранены, что компания «симулирует» безопасность но их продукт имеет много дыр и они вяло реагируют на новую серьезную брешь которую он обнаружил.
Вы всерьез считаете что опубликовав это, он принесет вред пользователям компании? Или все же удар будет по репутации и финансам самой компании? А конечные пользователи все же скажут спасибо и будут сами решать стоит ли продолжать пользоваться этими средствами коммуникации или будут искать альтернативы?
Мое мнение — заплатив исследователю, компании вправе решать, хотят ли они оглашать информацию, касающуюся их продуктов.
Ваше мнение — ваше право. Юридически она вправе даже НЕ ЗАПЛАТИВ. Вы постоянно упускаете что NDA подписываетеся еще до того как что-то найдено, и именно против этого направлена данная статья. Что если я оцениваю уязвимость как критическую и стоящую 1 000 000 баксов, а мне пришел ответ: «спасибо мальчик, это не баг, а фича» или «вот тебе 5 баксов, заткнись и иди отсюда»?
Только что сам хотел написать подобный коммент.
Дело ведь касается не только хакера и компании, а еще и общества, как указал mayorovp.
Любопытно — вы назвали тему токсичной.
А почему тема токсичная? Потому что затрагивает этику, которая у каждого своя и уходит корнями в какие-то очень глубокие вещи о которых невозможно договориться. Для меня некое психологическое миниоткрытие.
А тут получается что многие компании просто платят за молчание. Ничего не исправляют. А если исправляют, то втихую или не вовремя. А рассказывать запрещают, даже когда все исправлено и мхом поросло. А это плохо для всех.
Вообще мое замечание больше относилось к раскрытию неисправленных уязвимостей. Срок в 90 дней может быть, а может и не быть достаточным для того, что бы все исправить. Если его не хватило — это не повод открыть дорогу тем хакерам, которые монетизируют уязвимости иным путем.
На счет того, что компании не хотят исправлять уязвимости — мне трудно представить, что они именно «не хотят», думаю обычно они все же «не могут». Но если уж так, то можно, например, вместо одной фиксированной выплаты хакеру ввести регулярные выплаты (размер которых, например, растет по экспоненте). HackerOne, конечно, вряд ли станет так напрягать своих клиентов, но возможно это можно зафиксировать на уровне законодательства.
мне трудно представить, что они именно не хотят
Это проще простого. Есть продакт менеджер, который имеет KPI на выпуск новых фич, которые, в свою очередь, должны поднять удержание и повысить конверсию. При их выполнении он получит бонус, да и вообще, будет красавчиком. Часто фичи ещё и привязаны к датам, например, выхода мощных рекламных кампаний. И тут к нему приходят и так надоевшие порядком зануды из безопасности, и говорят, мол, забей на приоритеты, свой бонус и KPI, останавливай разработку, и теперь мы будем ставить программистам задачи, пока не пофиксим. А то вон хакер 90 дней ждёт, а дальше жопа.
Любой опытный продакт сразу задаст вопрос "а сколько ваша так называемая жопа стоит, — может просто разовыми непредвиденными расходами вопрос решим, и забудем об этом?"
Первый тип правится за минуты-часы и разливается по серверам за часы-дни.
Вторые могут быть более трудно-исправляемы, но костылём затыкаются в относительно короткие сроки.
90 дней для нежелезнячных проблем, и проблем не связанных с внешними устройствами (где затруднительно обновление) — это целая вечность.
С точки зрения обывателя — обывателю пофиг будет оно опубликовано или нет.
С точки зрения конторы владельца бизнеса — они не хотят мочить свою репутацию и после 3х лет.
С точки зрения исследователя — это как научное открытие — через 3 года оно уже никому не интересно и уже всем известно. А если он хочет на этом примере студентов обучать? На конференциях как пример приводить? Книгу выпустить? Опять же опубликовав что-то интересное авторитет такого исследователя возрастает в сообществе. Это выгодно и ему самому и его потенциальным заказчикам, которые знают к кому стоит или не стоит обращаться с заказами. Это такое «портфолио» спеца. И ждать 3 года пока рак на горе свистнет ему не очень интересно.
С точки зрения инвесторов которые вложились в контору, они заинтересованы в реальном и качественном управлении, а не в симуляции такового. Краткосрочно акции может и просядут, но долгосрочно если контора правильно встроит систему реагирования на угрозы в свои процессы и обеспечит прозрачность, то останутся довольны и акционеры и конечные пользователи.
Так что в итоге дело не в 90 днях или 3х годах. Дело в отношении компании к безопасности и прозрачности как таковой.
С точки зрения конторы владельца бизнеса — они не хотят мочить свою репутацию и после 3х лет
Смотря как это преподнести, новость об обнаруженной дыре и новость о патче который затыкает обнаруженную дыру воспринимаются людьми по-разному. По моему разумению за 3 года вполне реально выкатить пачь не создавая на рынке нездоровый ажиотаж. Хотя конечно сидеть сложа руки и ничего не делать проще всего.
С точки зрения исследователя — это как научное открытие — через 3 года оно уже никому не интересно и уже всем известно.
Спектр и мелтдоун wiki
Уязвимость была найдена в середине 2017 года и несколько месяцев находилась на стадии закрытого обсуждения и исправления.
А если он хочет на этом примере студентов обучать?
Историки копаются в архивах спустя десятилетия после того как истекает срок действия грифа секретно и спокойно обучают своих студентов. Хотя конечно хайпануть на такой инфе не получается.
Меня в целом возмущает не то что производители не хотят публиковать информацию о дырах, а то что они не хотят выкатывать патчи.
У меня дома стоит стакан, на котором крупным шрифтом написано, в рамках какой приватной программы он получен. Ууупс, кажется они что-то не учли, когда решили раздавать такие 'swag'и :)
Не понимаю хакеров, которые в существующих условиях пытаются играть в благородство.
То есть я могу найти уязвимость, получить за нее деньги, рассказать своему другу, который сделает вид, что нашел ее сам и тоже получит деньги, и так до бесконечности?
Если вкратце, то вместо исправления багов компании ставят на первый план подкуп хакеров…
А дальше пишет, что правительство это требует. Ну, что требует, то и получает.
Фирмы используют баг-баунти, чтобы купить молчание хакеров