Scritto da: Haotian

Infatti, prima che vengano definite chiare responsabilità legali, ci saranno voci da diverse angolazioni che metteranno in discussione l’etica professionale dei “cappelli bianchi” e il meccanismo di divulgazione delle vulnerabilità e il meccanismo di ricompensa delle vulnerabilità degli scambi centralizzati. Tuttavia, questo problema non è affatto “nuovo” nel circolo della sicurezza:

1) Un meccanismo standardizzato di divulgazione delle vulnerabilità è in realtà un processo in cui la società di sicurezza Parte B e il cliente Parte A si coordinano su questioni come la scoperta delle vulnerabilità, la riparazione delle vulnerabilità, la ricompensa delle vulnerabilità, ecc. Dopodiché, tutti sono felici di vedere che la vulnerabilità viene riparato e poi divulgato, Certik C'è ovviamente un problema con il processo di coordinamento con Kraken:

1. Scoprire le vulnerabilità e segnalarle tempestivamente ai clienti, descrivendo il tipo di vulnerabilità, il grado di danno e come riprodurlo; se un "cappello bianco" scopre una vulnerabilità e non la rivela, diventerà direttamente un hacker Dal momento che ha scelto di rivelarlo ai clienti, significa che l'intenzione soggettiva non è un attacco;

2. Confermare la vulnerabilità e valutare il rischio. La società di sicurezza e il cliente confermano l'esistenza della vulnerabilità, nonché la gravità della vulnerabilità, l'entità dell'impatto e la progettazione del piano di riparazione su cui si concorderà come dividersi e collaborare sulle riparazioni delle vulnerabilità, come formulare i bug bounty, ecc. Altrimenti, sembra che il cliente si rifiuti di pagare il bug bounty corrispondente sulla base del fatto che la vulnerabilità è una vulnerabilità "segnalata", il che. potrebbe rendere impegnati i cappelli bianchi.

3. Sviluppare un piano di riparazione e ripetere il test per garantire che la vulnerabilità venga riparata con successo; questo processo viene generalmente negoziato dal team di sviluppo del cliente e dal personale tecnico della società di sicurezza e le riparazioni del codice vengono implementate in modo uniforme. In genere, passare a questo passaggio significa che entrambi le parti hanno concordato il "livello di rischio di vulnerabilità e le misure di risposta". Pertanto, l'obiettivo unanime di entrambe le parti è risolvere la vulnerabilità in modo tempestivo, quindi rilasciare un comunicato stampa per annunciare e divulgare la vulnerabilità e divulgare l'intero processo. di scoprire la vulnerabilità e ripararla congiuntamente.

2) Che Certik, una società di sicurezza, sia ben accolta o calunniata, è difficile ottenere risultati semplicemente criticandola moralmente, quindi non commenterò qui. L'unico punto è che se una società di sicurezza spesso crea problemi, è perché i rapporti di interesse coinvolti sono troppo complicati e non gestiti correttamente.

Ho comunicato con diversi amici di società di sicurezza e ho pensato che il processo potrebbe essere:

1. Certik ha scoperto e segnalato la vulnerabilità di Kraken, il che dimostra che l'idea non è un comportamento da "hacker", ma è diventata un grave scandalo nel settore della sicurezza e le cause e le conseguenze dietro di esso devono essere chiarite;

2. L'account contrassegnato come KYC dello staff di Certik ha aggiunto solo $ 4, il che dimostra che il test di vulnerabilità era entro limiti ragionevoli all'inizio, e quindi le prove di entrambe le parti prevarranno per qualsiasi motivo. Tuttavia, al momento, supera i limiti dell'etica professionale;

3. Si stima che le due parti non abbiano raggiunto un accordo sulla ricompensa dei bug e sulla divisione del lavoro per la correzione dei bug. È possibile che Kraken Exchange si sia rifiutato di pagare la ricompensa corrispondente perché il bug è stato segnalato. Pertanto, Certik era in "personale". " vendetta durante il periodo di riparazione. Si è trattato di un atto deliberato da parte dell'azienda. In ogni caso, è stato condotto un "test" su scala più ampia;

Ci sono molte possibilità di conflitto in questo processo, ma è essenzialmente una questione di coinvolgimento di interessi. La divulgazione delle vulnerabilità dello scambio centralizzato Kraken è inefficiente e opaca e il livello di intervento sulle vulnerabilità della sicurezza di Certik manca di norme e standard.

Riepilogo: quanto sopra è solo una ragionevole speculazione e i dettagli saranno soggetti a ulteriore divulgazione dei risultati. Tuttavia, i cappelli bianchi della sicurezza hanno riscontrato la "lenta attesa" dell'organizzazione centralizzata della Parte A durante l'invio di bug e l'opacità dell'organizzazione centralizzata. il processo di divulgazione e riparazione delle vulnerabilità è la chiave delle "controversie e attriti" tra le due parti. Questo è il tema centrale a cui tutti dovrebbero prestare attenzione.

Questo è anche il motivo fondamentale per cui in precedenza ho pubblicato un post in cui elogiavo @GoPlusSecurity per aver creato un livello di sicurezza modulare aperto, trustless e guidato dall'utente. Le controversie sulla sicurezza puramente centralizzate hanno varie possibilità di scatola nera. Solo un insieme di soluzioni di servizi di sicurezza decentralizzati può svolgere un ruolo nell'intero ciclo di vita della protezione della sicurezza (in particolare fattori incontrollabili causati da fattori umani). Sebbene questa strada sia lunga e difficile, è imperativa.

Negli ultimi anni, i servizi di audit di sicurezza si sono evoluti da un modello di cooperazione aziendale individuale. La controversia sull'approvazione emersa durante questo processo, lo scandalo Rug post-audit e la rivalità tra il Partito A e il Partito B fino ai giorni nostri. derivano tutti dall'esistenza di servizi di sicurezza. L'opacità delle informazioni è strettamente correlata alla complessità dell'attività di audit stessa in termini di interessi sensibili alle informazioni. Si spera che il settore della sicurezza svilupperà ulteriormente standard più standardizzati, processi più ottimizzati e servizi più professionali man mano che i problemi verranno evidenziati.

In ogni caso, lo status di alcune società di sicurezza può essere sostituito, ma la sacra immagine dei guardiani della sicurezza non può essere distrutta. Allo stesso tempo, anche il contributo dei cappelli bianchi alla sicurezza dovrebbe essere rispettato dal mercato.