Do ponto de vista da disputa Certik-Kraken, quando chegará a solução de segurança descentralizada para os problemas do setor?

Escrito por: Haotian

Na verdade, antes de a responsabilidade legal ser claramente definida, haverá vozes diferentes em relação à ética dos ‘chapéus brancos’, ao mecanismo de divulgação de falhas e ao mecanismo de recompensa por falhas das exchanges centralizadas. No entanto, no círculo de segurança, este problema não é nada ‘novo’.

1）Um mecanismo de divulgação de vulnerabilidades adequado é na verdade um processo de coordenação entre a empresa de segurança (parte B) e o cliente (parte A) para descobrir, corrigir e recompensar questões de vulnerabilidades. Em seguida, todos ficam felizes em ver a divulgação após a correção da vulnerabilidade, mas é evidente que houve problemas no processo de coordenação entre Certik e Kraken:

1. Descobrir e relatar prontamente as vulnerabilidades aos clientes, descrever o tipo e o grau de dano das vulnerabilidades, bem como como reproduzi-las; se um “chapéu branco” descobrir uma vulnerabilidade e não a divulgar, isso se tornará diretamente de natureza de “hacker”, mas se escolher divulgar aos clientes, isso indica que não há intenção subjetiva de ataque;

2、Confirmar a vulnerabilidade e avaliar o risco, a empresa de segurança e o cliente confirmam a existência da vulnerabilidade, bem como a gravidade, o alcance do impacto e o desenho da solução de correção; este processo irá determinar como a correção da vulnerabilidade será coordenada e colaborativa, como será estabelecida a recompensa pelos erros, caso contrário, é fácil que o cliente se recuse a pagar a recompensa pela vulnerabilidade, alegando que a vulnerabilidade foi reportada como ‘já reportada’, o que pode resultar em desperdício de tempo para os white hats.

3. Elaborar um plano de correção e realizar novos testes para garantir que a vulnerabilidade seja corrigida com sucesso; geralmente, este processo é acordado e implementado em conjunto pela equipe de desenvolvimento do cliente e pelos técnicos da empresa de segurança, o que geralmente indica que ambas as partes concordaram com o ‘nível de gravidade da vulnerabilidade e a recompensa pelos erros a ser concedida’. Portanto, o objetivo comum de ambas as partes é corrigir a vulnerabilidade prontamente, e em seguida, publicar um comunicado à imprensa e divulgar a vulnerabilidade, tornando público todo o processo de descoberta e correção da vulnerabilidade em conjunto.

2. Certik, esta empresa de segurança é elogiada por todos ou difamada por todos, é difícil obter um resultado apenas com críticas morais, não faremos uma avaliação aqui. Apenas uma observação, se uma empresa de segurança frequentemente se envolve em controvérsias, certamente é devido a relações de interesse complexas e uma má gestão de suas consequências.

Conversei com alguns amigos de empresas de segurança e acredito que o processo desse assunto pode ser o seguinte:

1、Certik de fato descobriu e relatou uma vulnerabilidade à Kraken, o que mostra que a ação não foi de um “Hacker”, mas o incidente já se tornou um grande escândalo na indústria de segurança, e as razões e consequências por trás disso precisam ser esclarecidas.

2、A conta marcada como funcionário da Certik KYC só teve um aumento de 4 dólares, o que indica que o teste de vulnerabilidade começou dentro dos limites razoáveis. Posteriormente, qualquer que seja a razão, as evidências de ambas as partes prevalecerão, mas atualmente parece ter ultrapassado os limites éticos profissionais.

3, é provável que as duas partes não tenham chegado a um acordo sobre a colaboração na recompensa pelos erros e na correção dos erros, e por isso a Kraken Exchange recusou dar a recompensa correspondente pelas razões relatadas, o que levou a Certik a realizar testes em maior escala durante o período de correção, seja como retaliação pessoal ou como comportamento intencional da empresa.

Existem várias possibilidades de litígio neste processo, mas essencialmente é uma questão de conflito de interesses. A divulgação de falhas na Exchange Centralizada Kraken é ineficiente e opaca, e o envolvimento de falhas de segurança da Certik carece de normas e padrões adequados.

Resumo: Acima são apenas especulações razoáveis, sujeitas a divulgação de resultados mais detalhados, mas o problema central que causou ‘disputas e atritos’ entre os white hats de segurança ao submeterem bugs e as instituições centralizadas dos clientes, bem como os problemas de opacidade nos processos de divulgação e correção de vulnerabilidades por parte das organizações centralizadas, é que deveria ser o foco de atenção de todos.

Esta também é a razão fundamental pela qual elogiei anteriormente @GoPlusSecurity pela construção de uma camada de segurança modular, aberta, sem necessidade e orientada pelo utilizador. A controvérsia de segurança puramente centralizada tem várias possibilidades de caixas pretas. Apenas uma armadilha de serviços de segurança descentralizados pode desempenhar um papel em todo o ciclo de proteção de segurança (especialmente os fatores incontroláveis causados por ações humanas). Embora este caminho seja difícil e longo, é inevitável.

Nos últimos anos, o serviço de auditoria de segurança passou de um modelo de negócio de cooperação em que as encomendas eram feitas uma após a outra. Durante esse processo, houve escândalos de endosso após a auditoria, até hoje, os conflitos entre as partes A e B são diretamente relacionados à falta de transparência das informações nos serviços de segurança e à complexidade dos interesses sensíveis às informações na própria atividade de auditoria. Espero que a indústria de segurança possa, com a exposição de problemas, ter padrões mais regulamentados, processos mais otimizados e serviços mais profissionais.

De qualquer forma, a posição de algumas empresas de segurança pode ser substituída, mas a imagem sagrada dos guardiões da segurança não pode ser abalada. Ao mesmo tempo, as contribuições dos hackers éticos também devem ser respeitadas pelo mercado.