چگونه تجاریسازی اشکال نعمت است ایجاد آسیب پذیری بیشتری

این هفته در این Vergecast مصاحبه سری آستانه editor-in-chief Nilay Patel مذاکرات به موسس و مدیر عامل شرکت Luta امنیت کتی Moussouris.

Moussouris دارای سابقه ای طولانی در کامپیوتر, امنیت, کار در مایکروسافت و وزارت دفاع ایجاد اولین اشکال فضل برنامه برای تشویق نواز و گزارش اشکالات امنیتی و آسیب پذیری در سیستم های نرم افزاری.

Nilay و کتی بحث در مورد تاریخ bug bounty برنامه از اوایل تکرار به وضعیت فعلی امور از خوب به بد. هر چند Moussouris می گوید مفهوم استخدام هکرها برای کمک به ایجاد سازمان های امن تر متعدد مثبت تجاری از عمل ایجاد کرده blindspots و ناخواسته دیگر انگیزه.

در زیر به آرامی ویرایش گزیده ای از این گفتگو.

Nilay Patel: که در آن در حال شکست از اشکال فضل سیستم ؟

کتی Moussouris: خوب, در حال حاضر, راستش, شکست, من به گفتن است که در تجاری اجرای اشکال گرفته شده است. بنابراین شرکت من در واقع می رود و ارزیابی بلوغ سازمانی مانند "آیا شما آماده این ؟ می تواند به شما رسیدگی حقیقت؟"

و بسیاری از پرسش های ما بپرسید, سازمان, هستند, مانند, "آره, اما ما می خواهیم به انجام این صنعت بهترین عمل چیزی به نام یک اشکال فضل. و ما می دانیم که شما را به همه این اشکال بزرگ گرفته شده است. شما پس فقط ما یک اشکال فضل."

و من گفتم: "اما شما نمی واقع شده است قادر به نگه دارید تا با وصله سیستم های که شما می دانید که خارج از تاریخ. چگونه می تواند به شما در واقع مقابله با این حجم اضافی?" و آنها می گویند "اوه اما ما فقط استخدام یک اشکال فضل ارائه دهنده خدمات و آنها را به مراقبت از همه چیز برای ما است." و من گفتم: "یک دقیقه صبر کنید. چه بخشی در مورد داخلی خود پچ پردازش شما را درک نمی کنند و از بقیه سوال؟" چرا که آنها نشسته بودند و رفتن "به ما گفته شده است ما می توانید برون سپاری این است."

من آن را به عنوان شکست از هر دو طرف بازار. من استفاده می شود به کار برای یک bug bounty شرکت. من معتقد بودم در این مدل به عنوان "هی چرا ما آن را آسان تر برای اتصال شرکت های با هکرها و آن را امن تر برای همه ؟ و در نهایت شرکت ها و دولت ها تبدیل خواهد شد امن تر و در نهایت هکرها نیز نه تنها اقامت در خارج از زندان و زندگی کنند اما آنها در مقیاس بالا." چرا که در حالت ایده آل, آنچه شما می خواهید برای دیدن در کل جهان است و پایین آویزان میوه های دیگر. شما می خواهید برای دیدن مردم در واقع پرداختن به آن اشکالات خود را — جلوگیری از آنها را در حالت ایده آل. اما حتی اگر آنها به طور تصادفی کد شده تا برخی از پایین آویزان میوه اشکالات قادر به تشخیص آنها خود را. نه تکیه بر شخص ثالث randos در اینترنت برای آمدن به شما بگویم در مورد این پایین آویزان میوه.

تا جایی که من دیده ام این شکست است که تجاری اشکال فضل سیستم عامل در واقع مدل کسب و کار خود است که به شما اقامت در امنیت به طوری که در بسیاری از پایین آویزان میوه یافت می شود و نسبتا پایین-نیروی کار ماهر است که آویزان از روی اشکال فضل سیستم عامل — با استثنائات بسیار کمی وجود دارد بسیار ماهر مردمی در این اشکال بسیاری از سیستم عامل است. اما من فکر می کنم من به عنوان خوانده شده آخرین گزارش از یکی از فروشندگان پیشرو اشکال فضل سیستم عامل از 600,000 کاربران ثبت نام شده 146 از آنها هرگز ساخته شده بیش از $100,000 در تمام طول عمر بر روی پلت فرم. شما می دانید یک حرفه ای تستر نفوذ حتی 15 سال پیش زمانی که من این را در حال حاضر حقوق و دستمزد با شروع بیش از $100,000.

بنابراین ما در حال دیدن نیست در واقع خوب تکامل از دولت از امنیت به عنوان یک نتیجه از این برنامه ها است. ما نیز دیدن نیست خوب تکامل از وضعیت امنیت سایبر نیروی کار است. که در پایین هرم است که نوع مردمی که قادر به اجرای رایگان یا نزدیک به رایگان اسکن ابزار و نوع شما پایین آویزان میوه ، و آنها در حال ساخت اکثر bug bounty hunters. و این کوچک top-of-the-هرم از کارگران بسیار ماهر است که به معنای واقعی کلمه کمتر از 200 نفر — در بسیار بالا است. و این که با وجود این شرکت ها که در وجود برای هشت سال گذشته.

این خیلی خنده دار است که شما در حال توصیف یک مدل اقتصادی برای امنیت سایبر برای هک کردن به نظر می رسد که خیلی افتضاح مانند یک کاربر تولید محتوا پلت فرم مدل اقتصادی است. شما می تواند فقط توصیف یوتیوب و یا Instagram و یا هر یک از این سیستم عامل های دیگر است که به قول بسیاری از مردم دسترسی به, اما تنها پاداش بخش کوچکی از مردمی است. این است که دقیق قیاس?

کاملا. منظورم این قوانین اشکال فضل هستند و تنها یکی از اولین به گزارش یک اشکال منحصر به فرد برای آن پرداخت. بنابراین فکر می کنم از همه پایین آویزان میوه. شما می تواند اسپری و دعا خود را اسکن ابزار اما حتی پول در چیزی است که بسیار آسان برای پیدا کردن, شما فقط باید برای اولین بار در. بنابراین وجود یک کل بسیاری از مزد کار می رود که به این سیستم عامل است.

و سپس اجازه دهید می گویند حتی اگر شما عامل در نوع بالاتر ویژگی های سطوح و پیدا کردن بیشتر باطنی اشکالات ما شنیدن شکایات چپ و راست از شرکت ها گفت: "اوه ما می دانستیم که در مورد اشکال در حال حاضر, بنابراین ما در حال رفتن به شما پرداخت. آن را در حال حاضر در روند ثابت شده است." بنابراین وجود یک دسته کامل از چیزهای که در آن مردم در حال گرفتن آنچه که آنها برای امضا. من در آن نگاه کنید به عنوان یکی دیگر از شکست در اجرای فرفره اقتصاد بازار در حال حاضر.

همه ما تا به حال مقدار زیادی از بالا و امیدوار است که اجرای اقتصاد کمک خواهد کرد بسیاری از مردم است. و آن را تبدیل بزرگ به صورت قطعا کار دارد. اما در مورد اشکال فضل آن را عطف بزرگ برای خرید, سمت, استخدام های جانبی یا. آنها قادر به دسترسی جدید بزرگ نیروی کار نیروی کار است. کوچک که تعداد افرادی که نسبتا ماهر و پول خوب در این سیستم عامل آنها شاید نمی خواهید به رها کردن شیوه زندگی خود را. تعداد کمی از آنها تصمیم گرفته اند به کار در شرکت ها, اما آنها به نوعی خود را حفظ اشکال فضل moonlighting توانایی ها در کنار و همه چیز. بنابراین ما نه تنها از دیدن کل فرفره اقتصاد به عنوان بیان شده در اشکال فضل سیستم عامل کار را برای هر دو طرف معادله.

بنابراین برای حفظ این قیاس رفتن شاید گذشته نقطه شکستن آن زمانی که ما انتقادی از یوتیوب و یا Instagram چیزی که واقعی است وجود دارد که کار کردن برای یوتیوب و Instagram. آنها هیچ انگیزه ای برای رفع این دلیل آنها برداشت تمام پاداش. من می خواهم تصور کنید حداقل وجود دارد بیشتر پول واقعی جریان از طریق اشکال فضل اکوسیستم است و این تهدید بسیار واقعی از "هی وجود آسیب پذیری در نرم افزار ما." پس از آن به نظر می رسد مانند وجود دارد برخی از انگیزه به آن را تغییر دهید برای تغییر این مدل است. چه تغییراتی در شما دیده می شود, در آینده, و یا آیا این انگیزه نه تنها وجود دارد ؟

خوب پس از خروج یکی از اشکال فضل شرکت من ماند به عنوان یک مشاور به صورت بسیار نزدیک به یک سال و کار با آنها را در سایت های مختلف متقابل مشتریان. من تا به حال مشتری همپوشانی با بسیاری از اشکال فضل شرکت های, اگر نه همه از عمده ما هستند. و چیزی که من در حفظ و دیدن در مدل کسب و کار است که من می خواهم برای کمک به سازمان های بیشتری دریافت کنید ، بنابراین کمتر پایین آویزان میوه اشکالات بیشتر باطنی اشکالات. اما همه از مدل های کسب و کار بستگی دارد وجود دارد که باهم در آب در همه زمان ها از پایین آویزان میوه.

به طوری که آنها نمی خواهند این روند تاخیر در [هنگام] شرکت من معمولا می رود و می گوید: "آیا شما آماده برای این کار ؟ آیا شما سرمایه گذاری داخلی در پیدا کردن اشکالات خود را ؟ آیا شما می دانید آن را تا 45 برابر ارزان تر اگر شما در واقع شناسایی اشکالات امنیتی در طراحی فاز?" و این که اساسا به پایان می رسد تا به تأخیر انداختن تصویب bug bounty که مناسب نیست برای همه و قطعا مناسب نیست اگر شما حتی نمی توانید پچ اشکالات شما در حال حاضر می دانیم.

بنابراین من فکر می کنم این تضاد است که آمده تا با انواع مدل های کسب و کار — اشکال فضل در مقابل خدمات مشاوره ای که من شرکت را فراهم می کند — اشکال است نعمت می تواند با کمک بخش کوچکی از آنچه شما در حال حاضر نیاز به انجام برای آسیب پذیری مدیریت, اما آن را به عنوان آسان دکمه برای آن است. ما شاهد بسیاری از شرکت ها به مقابله با این واقعیت است که آنها با داشتن نقض هنوز هم حتی اگر آنها یک اشکال فضل و یا آنها نمی تواند فضل همه چیز.

وجود دارد یک شرکت هواپیمایی است که تا به حال یک اشکال فضل برای کمی بیش از چهار سال است. که هواپیمایی متحده. آن است که در هواپیماهای? آن را در وب سایت. آن را در برابر وب سایت. پس چگونه ما امن تر در آسمان است ؟ خوب ما نیست. اما در ظاهر به دنبال مثل شما در حال انجام سعی و کوشش وقتی که می آید به آسیب پذیری مدیریت, من فکر می کنم که جایی که تجاری اشکال فضل توانایی های سیستم عامل تحت فشار بوده اند, مانند, "نگاه, شما می دانید, فقط نگاه کنید واقعا شلوغ است." آره تو بازی ضربت سخت زدن-a-اشکال و همه چیز و این فوق العاده ناکارآمد اما شما می توانید می گویند که شما را از امنیت بسیار جدی است و شما رفع همه این پایین آویزان میوه اشکالات و فلان چیز. ما نمی خواهد آنها را که تماس بگیرید. ما فقط می گویند که شما می دانید وجود دارد همه این اشکالات و آن را فوق العاده ارزشمند است. و سپس هنگامی که شما عبور کند ، شاید شما برنده نمی کنید زیرا شما می توانید می گویند: "خب ما سعی. ما تا به حال یک اشکال فضل و فقط هیچ کس گزارش داد که موضوع خاص به ما."

بنابراین من نمی دانم. منظورم این است که من دوست دارم بگویم که این همه تحول در جهت درست اما من آن را دیده ام نوظهور به خصوص در چند سال گذشته از تجاری سازی اشکال گرفته شده است.