Hacia donde apunta la controversia Certik-Kraken: ¿Cuándo llegará la solución de seguridad descentralizada al sector?

Escrito por: Haotian

De hecho, antes de la clarificación de la calificación de responsabilidad legal, habrá diferentes voces con respecto a la ética profesional de los ‘sombreros blancos’, el mecanismo de divulgación de vulnerabilidades de los intercambios centralizados y el mecanismo de recompensa por vulnerabilidades. Pero en el círculo de seguridad, este problema no es nada ‘nuevo’.

1）Un mecanismo de divulgación de vulnerabilidades adecuado es en realidad un proceso de coordinación entre la empresa de seguridad (parte B) y el cliente (parte A) para descubrir vulnerabilidades, solucionarlas, recompensar por fallos, etc. Luego, todos ven que se solucionaron las fallas y se divulgan, lo que todos están felices de ver. Es evidente que Certik y Kraken tuvieron problemas en el proceso de coordinación:

1. Descubrir y reportar rápidamente las vulnerabilidades a los clientes, describiendo el tipo y el grado de daño de la vulnerabilidad, así como cómo reproducirla; si un “sombrero blanco” descubre una vulnerabilidad pero no la revela, se convertirá directamente en un hacker, pero si elige revelarla a los clientes, eso significa que no tiene intenciones maliciosas.

2. Confirm the vulnerability and assess the risks. The security company and the client confirm the existence of the vulnerability, as well as the severity, scope of impact, and design of the fix solution. During this process, the division of labor and collaboration for vulnerability fixes, as well as the formulation of vulnerability rewards, will be agreed upon. Otherwise, it is easy for the client to refuse to pay the corresponding vulnerability rewards under the pretext that the vulnerability has been reported, which may result in white hats working in vain.

3. Elaborar un plan de reparación y realizar pruebas para asegurar que la vulnerabilidad se haya corregido con éxito. Este proceso generalmente implica la colaboración y ejecución conjunta del equipo de desarrollo del cliente y los técnicos de la empresa de seguridad. Si se ha llegado a este punto, significa que ambas partes han llegado a un acuerdo sobre el nivel de peligro de la vulnerabilidad y la recompensa por fallos correspondiente. Por lo tanto, el objetivo común es corregir la vulnerabilidad a tiempo, y luego publicar un comunicado de prensa para divulgar y revelar todo el proceso de descubrimiento y reparación conjunta de la vulnerabilidad.

2. Certik, ¿es esta empresa de seguridad ampliamente elogiada o ampliamente difamada? Es difícil llegar a una conclusión solo desde el punto de vista moral, por lo que no haré ninguna evaluación al respecto. Solo quiero destacar que si una empresa de seguridad se involucra frecuentemente en controversias, sin duda se debe a relaciones de interés demasiado complejas y a una mala gestión.

Me comuniqué con algunos amigos de empresas de seguridad y creo que el proceso de este asunto podría ser el siguiente:

1. Certik indeed discovered and reported vulnerabilities to Kraken, indicating that it was not an act of “hacker”, but it has become a major scandal in the security industry, and the underlying causes and consequences need to be clarified.

2、La cuenta marcada como Certik personal KYC solo ha aumentado en 4 dólares, lo que indica que la prueba de vulnerabilidad comenzó dentro de límites razonables, pero actualmente parece haber cruzado los límites éticos, independientemente de cómo haya sucedido, se tomará como evidencia para ambas partes.

3. Es posible que Kraken Exchange haya rechazado pagar la correspondiente recompensa por la vulnerabilidad informada, ya que no se llegó a un acuerdo sobre la colaboración en la recompensa por la vulnerabilidad y la reparación de la misma. Por lo tanto, durante el período de reparación, Certik llevó a cabo pruebas a gran escala por venganza personal o intenciones maliciosas de la empresa.

Este proceso tiene varias posibilidades de disputa, pero en esencia se trata de un problema de conflicto de intereses, la divulgación de vulnerabilidades en el intercambio centralizado de Kraken es ineficiente y poco transparente, y la participación en la seguridad de las vulnerabilidades de Certik carece de normas y estándares.

Resumen: lo anterior es solo una suposición razonable, sujeto a una mayor divulgación de los resultados, pero la cuestión clave que debe preocupar a todos es el ‘trato lento’ que los sombreros blancos de seguridad han recibido al presentar errores a las instituciones centralizadas de la parte A y los problemas de proceso no transparentes en la divulgación y corrección de vulnerabilidades en las organizaciones centralizadas, lo que ha llevado a ‘disputas y fricciones’.

Esta también es la razón fundamental por la que elogio a @GoPlusSecurity por construir una capa de seguridad modular, abierta, sin necesidad de confianza y orientada al usuario. La existencia de disputas de seguridad centralizadas conlleva diversas posibilidades de cajas negras. Solo un servicio de seguridad descentralizado puede desempeñar un papel en todo el ciclo de vida de la protección de seguridad (especialmente los factores incontrolables causados por el ser humano). Aunque este camino está lleno de obstáculos, es inevitable.

En los últimos años, el servicio de auditoría de seguridad ha pasado de un modelo de negocio de aceptar un pedido tras otro. En este proceso, han surgido controversias sobre el respaldo, escándalos de alfombras después de la auditoría y enfrentamientos entre la parte A y la parte B hoy en día, todo debido a la opacidad de la información existente en los servicios de seguridad y la complejidad de los intereses en juego en el negocio de la auditoría. Esperamos que la industria de la seguridad, a medida que se expongan los problemas, pueda avanzar hacia estándares más regulados, procesos más optimizados y servicios más profesionales.

De todos modos, algunas empresas de seguridad pueden ser reemplazadas, pero la imagen sagrada de los guardianes de la seguridad no debe ser derribada. Al mismo tiempo, también se debe respetar la contribución de los sombreros blancos de seguridad en el mercado.