研究人员说,安全供应商需要与社区进行互动
Mozilla在四周内钉火萤火虫的NPAPI棺材
近30%的LGBT +年轻人选择避免茎职业
ICO补助计划推出第二轮资金
GreenPeace宣布其关于云环境影响的最新报告
安全专家在GDPR检查表上重量
澳大利亚能源部门陷入了安全捕获-22
Apple加入无线电力联盟,充电iPhone 8谣言
5G频谱蹲便器以1000万美元的价格结束
世界上最大的太阳能农场包含250万太阳能模块
英国金融电气行业担心Brexit诱导人才挤压
惠普召回101,000款用于火灾危险的笔记本电池
Win10更新KB 3213986,KB 3210721具有多用户问题
在系统中断后,美国约有150个三角洲航班
Apple,Microsoft和Amazon提供更公平的云存储交易
欧洲立法者辩论自动车辆的机器人权利
三星碎片覆盆子PI 3竞争对手,收缩ARIK线
旧网络可以蹒跚地努力
Dell EMC将HyperConvergecence,云结合在最新的VxRail产品中
APAC组织可能从网络攻击中减掉1.75TN
Tech Luminaries队以2700万美元的价格组成。伦理基金
在Ryzen之后,AMD没有立即计划清除其其他PC芯片
雅虎在违规后推动了Verizon交易的时间
NativeScript 3.0与Angular 4释放
法院否认美国政府在微软海外电子邮件案件上诉
探索选项卡在Twitter上发现了新的东西
White-Hat Hackers查找遗漏记录数量
M1,华为在5G活试验中传输VR含量
英特尔的最古金芯片有24个核心,以8,898美元的价格出售
LeakedSource的关机是对业余黑客的打击
艾不仅仅是做便宜和更快的事情
如何使PC安全警报更好?让他们转动,摇摇晃晃
供应商说,数十个iOS应用程序未能保护用户的数据
Unified Comms Bugbears可能很容易用AI解决
Oracle修补商业应用程序中的漏洞筏
三沟3G手机
Mac Malware,可能在伊朗制造,针对美国国防工业
再一次:LTE SmartWatch是一个愚蠢的想法
NHS数字签署三年网络安全合作伙伴关系与IBM
DigitaloCean释放其负载平衡器产品
DARPA:我们正处于合并人类和机器的尖端
挪威的国家安全局警告IT行业关于安全义务
1993年启动,这台服务器仍然运行 - 但不是要长得多
英国在人工智能和数据上与法国加入武力
S.韩国计划收紧电池规定张贴注7危机
政府赞助多样性网络学院
HPE以6.5亿美元的价格购买简单性,以提高超级折复器
公共云巨头的使用ODM DataCentre Kit继续飙升,Synergy研究表明
人工智能在实验室测试中识别皮肤癌比医生更有效地确定
优步任命第一个隐私和数据保护酋长
您的位置:首页 >科技 > 通信技术 >

研究人员说,安全供应商需要与社区进行互动

2021-08-06 08:44:16 [来源]:

根据安全研究员Scott Helme的说法,安全供应商应避免对其产品进行关于他们的产品的未经证实的大胆索赔,特别是如果他们没有被社会审查。

“虽然一些较大的安全供应商通过Bug Bounty计划与安全研究社区进行交互,但许多人仍然是安全研究人员在其产品中报告漏洞,”他每周告诉计算机。

经典的例子是英国广播公司邀请Helme邀请Helme审查萨里大学计算机科学系的教授加密专家Alan Woodward的通信协议。

该协议与设备一起使用,以提供电子邮件服务,其供应商表示是“世界上最安全的”,并且当与使用同一设备的其他任何人在线沟通时,它确保了“绝对安全和隐私”。

“我们被要求证明它是如何安全的,但我们发现了多种漏洞,并且能够阅读我们不应该阅读的电子邮件。我们甚至能够远程完全控制设备并重新调用它,“Helme说。

“宣称某些东西是'不打包'是灾难的谱系,特别是如果你没有与安全社区一起获得一些反馈,”他说。“它只需要我们几天才能找到漏洞,有些是如此明显,很明显,很难相信在商业上获得妥善测试的产品。”

根据Cryptographer Auguste Kerckhoffs的第二个原则,任何系统都不需要保密,如果它落入敌人的手中,它不应该是一个问题。

“在技术上,我应该能够撕碎设备,看看它的操作的每个方面和它的每个功能,但不能能够因素来打破系统,”Helme说。

“这就像一个安全的。我可以给你一个蓝图我的安全,并告诉你它的工作方式,但只要我不给你钥匙,你就无法进入安全,加密系统应该是一样的。通过将设备分开翻转,我应该发现它是安全的,而是我发现可以利用的漏洞,“他说。

作为道德黑客,Helme和Woodward联系了供应商Nomx,以便制定他们发现的安全漏洞的负责任披露,但发现供应商并不接受。

“我感谢听到您的安全产品不安全并不是好消息,但我们正在提供他们所需的信息,以修复我们发现的漏洞,但据我们所知,从未发生过, “赫尔梅说。

当时,Nomx表示,由于它们是安全的,因此无法更新设备,并且不需要更新。“据我所知,他们无法更新在漏洞披露之前生产的野外存在的设备,”他说。

Helme表示,他和伍德沃德一直无法查看公司现在运输的任何设备,因为它拒绝提供任何用于测试。

在给予供应商来解决所确定的问题的时间过后,研究人员决定将他们的发现作为咨询。

随后,NOMX发布了一个回复,上市原因为什么赫尔默的概念攻击证明“在测试实验室之外无法在真实情况下发生”。

“Nomx基于博主[Helme]的行动,他的根源和特定代码用于我们的用户不存在威胁​​,”该公司表示。

响应继续说明:“没有NOMX设备,帐户或数据遭到损害,博主无法显示出这些操作的任何证据”,而NOMX不再基于Raspberry [PI]设备,我们仍然认为用户的数据是安全的“ 。

然而,随着Helme指出,他从未说过任何NOMX设备已被访问,只有某人可以访问它们。

“我们攻击的全部点是它是一个poc - 一个概念验证。当然,我们没有出去那里,实际上是骚扰人们,因为我们是道德的研究人员。我们只是证明它可以做到,并且存在需要解决的问题,“他说。

Nomx声称与其提供的设备无关,因此根据Helme,该公司无法备份其声明,未经授权的第三方无法访问所有设备并对每个设备进行分析其中一个。

如果我们要进行任何真正的进步,我们必须改变技术生产者对安全研究人员斯科特·赫尔默的漏洞披露报告,安全研究员

“如果我们要做出任何真正的进步,我们必须改变技术生产者从安全研究人员响应漏洞披露报告的方式,”赫尔默说。

“理想情况下,技术生产者应该在商业发布之前与安全社区进行互动,尽管我明白一些供应商可能会发现这种令人生畏。但是,如果安全社区以开放和乐于助人的方式与他们自由和私下志愿者信息,供应商不应敌对并接受帮助提高其产品安全的提议,“他说。

根据Helme的说法,组织不应该判断某人的意图是否是好的或不好的,基于它们提供信息。“通常很容易识别一位正试图帮助的合法安全研究员,供应商应该相应地应对,”他说。

Helme认为,虽然安全行业正在取得出色的进展,但越来越需要独立的安全研究,以确保公司能够承诺安全和隐私,因为许多新兴的问题都可以被独立研究揭示。

NOMX未能回复计算机每周关于该公司是否在过去一年内已修复赫尔默和伍德沃德报告的漏洞,以及该公司是否推出漏洞报告过程或采取任何其他措施与安全研究界进行讨论。

“安全生态系统需要道德黑客并拒绝与他们进行搞 - 或者更糟糕的是,当他们遵循标准披露过程时试图沉默他们 - 只能长期反射,”伍德沃德说。

“太多没有区分道德黑客或研究人员和刑事黑客。喜欢撒谎,隐藏真相永远不会有效,最后回来咬你,“他说。

Helme是在6月6日在伦敦的InfoSecurity Europe of伦敦讨论其题为:黑客攻击世界最安全的通信协议。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。