研究人员称，安全供应商需要与社区进行互动

发布时间：2022-03-28 09:37:39 所属栏目：要闻来源：互联网

导读：根据安全研究员Scott Helme的说法，安全供应商应避免对其产品进行关于他们的产品的未经证实的大胆索赔，特别是如果他们没有被社会审查。虽然一些较大的安全供应商通过Bug Bounty计划与安全研究社区进行交互，但许多人仍然是安全研究人员在其产品中报告漏洞

　　根据安全研究员Scott Helme的说法，安全供应商应避免对其产品进行关于他们的产品的未经证实的大胆索赔，特别是如果他们没有被社会审查。

　　“虽然一些较大的安全供应商通过Bug Bounty计划与安全研究社区进行交互，但许多人仍然是安全研究人员在其产品中报告漏洞，”他每周告诉计算机。

　　“宣称某些东西是'不打包'是灾难的谱系，特别是如果你没有与安全社区一起获得一些反馈，”他说。“它只需要我们几天才能找到漏洞，有些是如此明显，很明显，很难相信在商业上获得妥善测试的产品。”

　　根据Cryptographer Auguste Kerckhoffs的第二个原则，任何系统都不需要保密，如果它落入敌人的手中，它不应该是一个问题。

　　“在技术上，我应该能够撕碎设备，看看它的操作的每个方面和它的每个功能，但不能能够因素来打破系统，”Helme说。

　　“这就像一个安全的。我可以给你一个蓝图我的安全，并告诉你它的工作方式，但只要我不给你钥匙，你就无法进入安全，加密系统应该是一样的。通过将设备分开翻转，我应该发现它是安全的，而是我发现可以利用的漏洞，“他说。

　　作为道德黑客，Helme和Woodward联系了供应商Nomx，以便制定他们发现的安全漏洞的负责任披露，但发现供应商并不接受。

　　“我感谢听到您的安全产品不安全并不是好消息，但我们正在提供他们所需的信息，以修复我们发现的漏洞，但据我们所知，从未发生过， “赫尔梅说。

　　在给予供应商来解决所确定的问题的时间过后，研究人员决定将他们的发现作为咨询。

　　随后，NOMX发布了一个回复，上市原因为什么赫尔默的概念攻击证明“在测试实验室之外无法在真实情况下发生”。

　　“Nomx基于博主[Helme]的行动，他的根源和特定代码用于我们的用户不存在威胁，”该公司表示。

　　响应继续说明：“没有NOMX设备，帐户或数据遭到损害，博主无法显示出这些操作的任何证据”，而NOMX不再基于Raspberry [PI]设备，我们仍然认为用户的数据是安全的“ 。

　　然而，随着Helme指出，他从未说过任何NOMX设备已被访问，只有某人可以访问它们。

　　“我们攻击的全部点是它是一个poc - 一个概念验证。当然，我们没有出去那里，实际上是骚扰人们，因为我们是道德的研究人员。我们只是证明它可以做到，并且存在需要解决的问题，“他说。

　　Nomx声称与其提供的设备无关，因此根据Helme，该公司无法备份其声明，未经授权的第三方无法访问所有设备并对每个设备进行分析其中一个。

　　“安全生态系统需要道德黑客并拒绝与他们进行搞 - 或者更糟糕的是，当他们遵循标准披露过程时试图沉默他们 - 只能长期反射，”伍德沃德说。

　　“太多没有区分道德黑客或研究人员和刑事黑客。喜欢撒谎，隐藏真相永远不会有效，最后回来咬你，“他说。

　　Helme是在6月6日在伦敦的InfoSecurity Europe of伦敦讨论其题为：黑客攻击世界最安全的通信协议。

（编辑：云计算网_泰州站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!