من خلال النظر في الخلاف بين Certik-Kraken ، ما هي نقاط الألم في الصناعة: متى ستأتي حلاً أمنيًا لعدم اللامركزية؟

تأليف: هاوتيان

في الواقع ، قبل توصيف المسؤولية القانونية الواضحة ، ستكون هناك أصوات من زوايا مختلفة للتشكيك في الأخلاقيات المهنية ل “القبعات البيضاء” وآلية الكشف عن الضعف وآلية مكافأة الضعف البورصة المركزية. ومع ذلك ، فإن هذه المشكلة ليست “جديدة” على الإطلاق في الدائرة الأمنية:

1）آلية كشف الثغرات الموحدة الفعّالة هي في الواقع عملية تنسيق بين الشركة الأمنية (الجهة الثانية) والعميل (الجهة الأولى) لاكتشاف الثغرات وإصلاحها ومكافأة إيجاد الأخطاء ومشاكل أخرى، ثم يأتي إعلان إصلاح الثغرات المرئي للجميع، ومن الواضح جدًا أن عملية التنسيق واجهت مشكلة في Certik و Kraken:

1. اكتشاف الثغرات والإبلاغ الفوري للعميل، ووصف نوع الثغرات ومدى خطورتها وكيفية إعادة تكرارها؛ إذا اكتشف “القبعة البيضاء” ثغرة ولم يكشف عنها، فإنه يصبح مباشرة ذو طابع قرصنة، ومنذ اختيار الكشف عنها للعميل، فإن هذا يعني أن النية الذاتية ليست هجومية.

2. تأكيد الثغرات وتقييم المخاطر، وتأكيد شركة الأمن والعميل على وجود الثغرات ودرجة خطورتها ونطاق تأثيرها وتصميم خطة الإصلاح. سيتم خلال هذه العملية الاتفاق على كيفية توزيع وتنسيق إصلاح الثغرة وكيفية تحديد مكافأة الثغرة، وإلا فسيكون من السهل على العميل رفض دفع مكافأة الثغرة المقابلة بحجة أن الثغرة قد تم الإبلاغ عنها من قبل، وهذا قد يجعل المخترق يتعب دون جدوى.

3، وضع خطة إصلاح وإعادة اختبار للتأكد من نجاح إصلاح الثغرة. يتم عمومًا لهذه العملية بالتنسيق بين فريق تطوير العميل وفريق تقنيات الأمان في الشركة، وتنفيذ إصلاح الشيفرة بشكل موحد. يمكن أن يدل التقدم إلى هذه الخطوة عمومًا على توافق الطرفين بالفعل بشأن «مستوى خطورة الثغرة والمكافأة المقررة لاكتشاف الثغرة»، ولذلك يكون هدف الطرفين موحدًا وهو إصلاح الثغرة في الوقت المناسب، ثم إصدار بيان صحفي مع إفشاء الثغرة، ونشر العملية الكاملة لاكتشاف الثغرة وإصلاحها بالتعاون.

2. هل شركة الأمان Certik مشهورة بشهادة الجميع أم أنها مشهورة بانتقاد الجميع؟ من الصعب الحصول على نتائج إيجابية فقط من الناحية الأخلاقية ، ولا يمكننا أن نقدم تقييمًا هنا. فقط شيء واحد ، إذا كانت شركة الأمان تتورط في الخلافات بانتظام ، فإن ذلك بالتأكيد بسبب تعقيد العلاقات المصلحية وسوء إدارتها.

تواصلت مع بعض أصدقائي في شركات الأمان واعتقدوا أن عملية هذا الأمر قد تكون كالتالي:

1. تم اكتشاف الثغرات بالفعل من قبل Certik وتم الإبلاغ عنها لـ Kraken، مما يشير إلى أنها ليست عملية “قرصنة” ولكنها أصبحت فضيحة كبيرة في صناعة الأمان حتى الآن، ويتعين توضيح الأسباب والنتائج الخلفية لها.

2. تمت إضافة فقط 4 دولارات إلى الحساب المميز كموظفي Certik KYC ، مما يشير إلى أن اختبار الثغرات كان في الحدود المعقولة في البداية ، وبغض النظر عن السبب ، يتم الاعتماد على أدلة الطرفين ، ولكن يبدو أنه في الوقت الحالي تجاوز حدود السلوك المهني؛

3، من المحتمل أن الجانبين لم يتفقا حول توزيع مكافأة العثور على الثغرات وإصلاحها، ولذلك قد يرفض بورصة Kraken دفع المكافأة المناسبة لأسباب تقديم تقارير الثغرات، ولهذا السبب، فإن Certik قد قام بـ “استعراض” بمقياس أوسع سواء لأسباب “شخصية” أو لسبب “تصرف متعمد” من الشركة أثناء فترة الإصلاح.

هناك عدة احتمالات للتشابك في هذه العملية ، ولكن الأمر يتعلق في الأساس بمشكلة التداخلات المصالح ، وكشف الثغرات في بورصة Kraken المركزية غير فعال وغير شفاف ، وقد تدخلت في ثغرات الأمان في Certik بدون معايير ومعايير محددة.

ملخص: ما تم ذكره أعلاه هو مجرد تخمين معقول، ويجب أن يكون الأمر معلومات إضافية، ولكن ما يجب أن يكون محور الاهتمام هو “التعامل البطيء” الذي يواجهه القبعات البيضاء الأمانية عند تقديم الثغرات لجهة مركزية، ومشكلة عدم شفافية العملية في كشف الثغرات وإصلاحها التي تواجهها المؤسسات المركزية، وهذه هي القضايا الرئيسية التي يجب على الجميع الانتباه لها.

هذا هو أيضًا السبب الأساسي لما قبلته من قبل @GoPlusSecurity لبناء طبقة أمان مرنة وغير مركزية وقابلة للتوسع وقائمة على المستخدمين. يوجد العديد من الاحتمالات المظلمة في نزاعات الأمان المركزية النقية. يمكن لحلول الأمان اللامركزية فقط أن تكون فعالة في دورة الحماية الأمنية بأكملها (خاصةً العوامل غير المسيطر عليها الناجمة عن الأسباب البشرية) ، على الرغم من أن هذا الطريق صعب وطويل ، إلا أنه لا بد من تحقيقه.

خلال السنوات القليلة الماضية، تطورت خدمات التدقيق الأمني من نمط عمل تعاوني يتمثل في قبول طلب واحد تلو الآخر إلى الأمام، والتي شهدت أزمات الدعم وفضائح Rug بعد التدقيق، وحتى اليوم، فإن الصراع بين الطرف الأول والطرف الثاني ينبع من عدم شفافية المعلومات المتعلقة بخدمات الأمان ومعقدية العلاقات المصلحية في عمليات التدقيق نفسها. نأمل أن يتمكن قطاع الأمان من الارتقاء بمعاييره وتحسين عملياته وتقديم خدمات أكثر احترافية مع كشف المشكلات.

بأي حال من الأحوال، يمكن استبدال مكانة بعض شركات الأمان، ولكن لا يمكن أن ينهار صورة حارس الأمان الإلهية. في الوقت نفسه، يجب أن يحظى مساهمة قبعات الأمان البيضاء باحترام السوق.