因为我们经历过上世纪90年代和本世纪初安全社区报告漏洞时候的混乱现象,因此我们现在鼓励安全研究人员用负责任的方式向软件供应商提交漏洞,同时厂商也应当将提高安全性当做自己的义务。而如果厂商因为白帽子报告的漏洞而将他们当作罪犯走法律流程,也应当有人能够帮助他们。我也有部分甲方经验,现在,我作为一个安全团队的创始人,和我背后的研究团队一起,我们会帮助安全研究人员,作为他们面临民事或者刑事诉讼时候的无偿专家证人。
在2015年,安全氛围开始改善,我感到很开心,无论是个人角度还是专业角度。现在很多高科技公司开始实行自己的漏洞奖励计划,并且我们也可以看到很多早期建立的初步措施现在也逐渐完善,这些行为鼓励和奖励负责任的漏洞披露。例如Facebook的CSO,我感到非常自豪的是,我们运行着世界上最成功的漏洞奖励计划之一,在过去的几年里,我们向安全研究人员支付了超过430万美元的奖金。在我和其他组织的讨论交流中,我也一直鼓励他们去探索这些方案,并将这些方案作为全面安全计划的一部分。
这些早期步骤是令人鼓舞的,有利于安全研究人员和大公司未来的合作。但目前的形势还很错若,很容易就会回到研究者匿名发帖披露漏洞详情而被夸大后面临刑事指责的状况。也正是有回归这种状况的风险,我参与到了Wes Wineberg在他博客中描述的这件事中。
这里是一些事实:
Wes是报告人员之一,他们报告了一个问题, Instagram因为使用了基于Ruby的管理面板,存在已知的漏洞,可以被利用。
按照标准流程,我们感谢了Wes的报告,并回复他我们会进行调查。
尽管这并不是关于该问题的第一份报告,但我们仍然承诺Wes,我们会支付给他2500美元的奖金。到现在为止,Wes并没有做什么出格的事情,他所做的一切都是道德黑客的行为,属于我们漏洞奖励计划的范围。
Wes利用这个AWS实例的RCE漏洞获取到了权限,并开始四处翻找有用的信息。他发现了AWS API 密钥。然后,他使用这个密钥访问S3存储并且下载了 Instagram的技术文档和系统数据(没有用户数据)。利用API密钥访问S3是利用了S3的特性,这本身并不被认为是一个安全漏洞。而且故意获取数据也并没有获取到我们漏洞奖励计划的授权,这一行为对于证明和解决核心问题也并没有用处,这是Wes不道德的行为。
Wes不满意我们承诺的奖金金额,他回复了消息告诉我们他利用API密钥下载了数据,并且正在写报告,我们很惊讶,因为他之前并没有提到过他会这么做。
在这一点上,我们可以认为Wes代表了Synack,因为他在我们的门户网站提到过他加入了Synack,并且他和我们联系使用的电子邮箱地址也是Synack的,并且他所写的博客文章也都是为了Synack的市场营销。
我联系了Synack的CEO,Jay Kaplan,跟他解释说我们认为Wes的行为已经超出了我们漏洞奖励计划的范围,属于不道德的行为。我向Jay Kaplan表示道,我们会支付给Wes这次的RCE奖金,但我们需要知道他发现和利用该漏洞的细节。因为我们并不确定Wes对S3的访问和数据获取情况是否属实,这一点我们之后也向Wes作了解释。
我告诉Jay,我们不能让Wes成为先例,没有人可以违规获取不必要的数据。我也没有要求Synack因为Wes的不道德行为而解雇他。我也提到过,Wes的行为不道德,这不是重点,重点应该是合法的RCE报告,而不是对S3不必要的访问以及下载数据。
Jay告诉我,Wes的行为并没有Synack的授权,这是他个人的行为。
我们也表示到,Wes应该讲他未报告的RCE漏洞写出来,因为我们的工程师也参与到了这一事件的调查,并且发现它之后做了完整的报告,结束了这一漏洞,并且获得了一笔奖金,结束了这一事件。
现在这个漏洞已被修复,密钥也已经做了重置,但我们没有证据能够证明Wes或者其他人访问了我们的用户数据。
直到Wes发布了一篇博客文章(我们没有收到过警告,直到媒体告诉我们),我们认为之前已经做了很好的妥协了。
需要明确的是,这里是我们对于S3数据报告的最终响应:
2015年12月4日,18:06
你好,Wesley
再次感谢你的报告,我们正在跟进澄清你博客中的要求。我们的漏洞奖励计划工作人员觉得你以后应该负责任的披露,我们也会支付你相应的奖金。感谢你支持我们工作。
我们觉得你应该将你发现和利用sensu.instagram.com的RCE漏洞的过程写出来,而不是采取其它的行动。我们也希望你暂时将博客文章隐藏,给我们时间修复问题。
我们希望你能够接受这些,希望我们今后可以继续合作。
谢谢
Reginaldo
Facebook 安全部
在我们漏洞奖励计划的相关公告中表达得很清楚,我们也一直在按照流程处理这类问题,我们努力确保我们能够清楚了解每次事件的细节,这是我们认可的道德行为。
当然,对此持反对意见的人也存在。我尊重这类民间组织为安全研究人员和企业之间的平衡
做出的贡献。我坚信,安全研究人员应该有自由发现并报告漏洞的权利,并且我相信向他们这类行为提供奖励是正确的,毕竟这也是他们的辛勤劳动。我也知道,目前存在的临时和平是在研究人员不会利用这些漏洞进行恶意行为的前提下存在的。站在企业角度来说,当然需要限制范围,安全研究人员查找和解决关键问题可能会涉及到用户隐私,对于这种不道德行为,一旦有了奖励先例,这将会为未来埋下隐患。
发表评论
您还未登录,请先登录。
登录