研究人员说,安全供应商需要与社区进行互动
根据安全研究员Scott Helme的说法,安全供应商应避免对其产品进行关于他们的产品的未经证实的大胆索赔,特别是如果他们没有被社会审查。
“虽然一些较大的安全供应商通过Bug Bounty计划与安全研究社区进行交互,但许多人仍然是安全研究人员在其产品中报告漏洞,”他每周告诉计算机。
经典的例子是英国广播公司邀请Helme邀请Helme审查萨里大学计算机科学系的教授加密专家Alan Woodward的通信协议。
该协议与设备一起使用,以提供电子邮件服务,其供应商表示是“世界上最安全的”,并且当与使用同一设备的其他任何人在线沟通时,它确保了“绝对安全和隐私”。
“我们被要求证明它是如何安全的,但我们发现了多种漏洞,并且能够阅读我们不应该阅读的电子邮件。我们甚至能够远程完全控制设备并重新调用它,“Helme说。
“宣称某些东西是'不打包'是灾难的谱系,特别是如果你没有与安全社区一起获得一些反馈,”他说。“它只需要我们几天才能找到漏洞,有些是如此明显,很明显,很难相信在商业上获得妥善测试的产品。”
根据Cryptographer Auguste Kerckhoffs的第二个原则,任何系统都不需要保密,如果它落入敌人的手中,它不应该是一个问题。
“在技术上,我应该能够撕碎设备,看看它的操作的每个方面和它的每个功能,但不能能够因素来打破系统,”Helme说。
“这就像一个安全的。我可以给你一个蓝图我的安全,并告诉你它的工作方式,但只要我不给你钥匙,你就无法进入安全,加密系统应该是一样的。通过将设备分开翻转,我应该发现它是安全的,而是我发现可以利用的漏洞,“他说。
作为道德黑客,Helme和Woodward联系了供应商Nomx,以便制定他们发现的安全漏洞的负责任披露,但发现供应商并不接受。
“我感谢听到您的安全产品不安全并不是好消息,但我们正在提供他们所需的信息,以修复我们发现的漏洞,但据我们所知,从未发生过, “赫尔梅说。
当时,Nomx表示,由于它们是安全的,因此无法更新设备,并且不需要更新。“据我所知,他们无法更新在漏洞披露之前生产的野外存在的设备,”他说。
Helme表示,他和伍德沃德一直无法查看公司现在运输的任何设备,因为它拒绝提供任何用于测试。
在给予供应商来解决所确定的问题的时间过后,研究人员决定将他们的发现作为咨询。
随后,NOMX发布了一个回复,上市原因为什么赫尔默的概念攻击证明“在测试实验室之外无法在真实情况下发生”。
“Nomx基于博主[Helme]的行动,他的根源和特定代码用于我们的用户不存在威胁,”该公司表示。
响应继续说明:“没有NOMX设备,帐户或数据遭到损害,博主无法显示出这些操作的任何证据”,而NOMX不再基于Raspberry [PI]设备,我们仍然认为用户的数据是安全的“ 。
然而,随着Helme指出,他从未说过任何NOMX设备已被访问,只有某人可以访问它们。
“我们攻击的全部点是它是一个poc - 一个概念验证。当然,我们没有出去那里,实际上是骚扰人们,因为我们是道德的研究人员。我们只是证明它可以做到,并且存在需要解决的问题,“他说。
Nomx声称与其提供的设备无关,因此根据Helme,该公司无法备份其声明,未经授权的第三方无法访问所有设备并对每个设备进行分析其中一个。
如果我们要进行任何真正的进步,我们必须改变技术生产者对安全研究人员斯科特·赫尔默的漏洞披露报告,安全研究员“如果我们要做出任何真正的进步,我们必须改变技术生产者从安全研究人员响应漏洞披露报告的方式,”赫尔默说。
“理想情况下,技术生产者应该在商业发布之前与安全社区进行互动,尽管我明白一些供应商可能会发现这种令人生畏。但是,如果安全社区以开放和乐于助人的方式与他们自由和私下志愿者信息,供应商不应敌对并接受帮助提高其产品安全的提议,“他说。
根据Helme的说法,组织不应该判断某人的意图是否是好的或不好的,基于它们提供信息。“通常很容易识别一位正试图帮助的合法安全研究员,供应商应该相应地应对,”他说。
Helme认为,虽然安全行业正在取得出色的进展,但越来越需要独立的安全研究,以确保公司能够承诺安全和隐私,因为许多新兴的问题都可以被独立研究揭示。
NOMX未能回复计算机每周关于该公司是否在过去一年内已修复赫尔默和伍德沃德报告的漏洞,以及该公司是否推出漏洞报告过程或采取任何其他措施与安全研究界进行讨论。
“安全生态系统需要道德黑客并拒绝与他们进行搞 - 或者更糟糕的是,当他们遵循标准披露过程时试图沉默他们 - 只能长期反射,”伍德沃德说。
“太多没有区分道德黑客或研究人员和刑事黑客。喜欢撒谎,隐藏真相永远不会有效,最后回来咬你,“他说。
Helme是在6月6日在伦敦的InfoSecurity Europe of伦敦讨论其题为:黑客攻击世界最安全的通信协议。