پاداش نامشخص برنامه‌ی گزارش آسیب‌پذیری جنرال موتورز

برنامه‌ی جدید گزارش آسیب‌پذیری جنرال‌موتورز آن را در کنار شرکت تسلا قرار می‌دهد که به عنوان تنها خودروساز بزرگ، فعالیت‌هایی جهت گزاش نقص‌ها از سوی محققان امنیتی دارد. اما بر خلاف برنامه‌ی تسلا، شرکت جنرال‌موتورز پاداشی را ارائه نمی‌دهد.
هفته‌ی گذشته شرکت جنرال‌موتورز از طریق سامانه‌ی HackerOne برنامه‌ی خود را آغاز کرد و در حالی‌که هیچ اشاره‌ای به پاداشی که این شرکت ممکن است برای شکارچیان آسیب‌پذیری‌های امنیتی در نظر بگیرد نشده، افراد نواقص امنیتی را در محصولات و خدمات این شرکت پیدا می‌کنند و آ‌ن‌ها را بر طبق دستورالعمل ارائه‌شده از سوی این شرکت گزارش می‌کنند.
جنرال‌موتورز اصرار دارد که محققان لازم است گزارش کاملی که شامل اطلاعات کافی از نوع آسیب‌پذیری است ارائه کنند به نحوی که این تحقیقات به شرکت جنرال‌موتورز، حریم خصوصی مشتریان و امنیت آن صدمه نزده و قوانین را زیرپا نگذارد. علاوه بر این جزییات حفره‌های امنیتی نباید تا زمانی که این خودروساز آ‌ن‌ها را اصلاح نکرده است به اطلاع عموم برسند. علاوه بر این شرکت جنرال‌موتورز محققان کشورهای کوبا، ایران، کره‌ی شمالی، سودان، سوریه و کریمه را فاقد شرایط لازم برای شرکت در این همکاری دانست و همین‌طور هر فرد دیگری را که در فهرست ممنوعه‌ی وزارت خزانه‌داری آمریکا قرار دارد از شرکت در این برنامه منع کرد.
تسلا برنامه‌ی جایزه در برابر گزارش حفره‌های امنیتی خود را در ماه ژوئن گذشته اجرایی کرد،‌ برنامه‌ای که به محققان ۱۰۰۰ دلار بابت گزارش آسیب‌پذیری نرم‌افزارهای این شرکت می‌دهد. با این حال این جایزه تنها به دامنه‌های شرکت محدود می‌شود و خودروهای این شرکت را در بر نمی‌گیرد.
در حالی‌که محدوده‌ی گزارش برنامه‌های شرکت جنرال‌موتورز مشخص نشده است، اما با این حال این کار یک گام به جلو برای صنعتی است که به صورتی فزاینده توسط محققان برای کشف نقایص آن مورد حمله قرار می‌گیرد.
در طی دو سال گذشته و در کنفرانس سالانه‌ی «کلاه‌سیاه»، چارلی میلر و کریس والاسک محققان شرکت Uber توجه این صنعت را به نفوذ در سامانه‌های خودرو با افشای نواقص موجود در سامانه آخرین مدل جیپ Cherokee جلب کردند. این محققان قادر بودند تا از راه دور به سوءاستفاده از سامانه‌ی UConnect در این خودرو پرداخته و کنترل سامانه‌های اساسی آن را که شامل فرمان، ترمز و انتقال نیرو بود به دست گیرند.
این تحقیقات انگیزه‌ای شد تا فیات کرایسلر تعداد بیشتر از ۱٫۴ میلیون از خودروهای خود را برای اصلاحیه‌ی نرم‌افزاری فراخوانی کند.
در ماه اکتبر، کتابخانه‌ی کنگره به پژوهش‌هایی در زمینه‌ی سامانه‌های رایانه‌ای خودروها، معافیتی را از شمول قانون حق نشر هزاره اعطا کرد که به وسیله‌ی آن بتوان آزمایش‌های منصفانه‌ای با حسن نیت در سامانه‌ی خودروها انجام داد و آسیب‌پذیری‌های احتمالی آ‌ن‌ها را کشف کرد.
والاسک در حسابت توییتر خود به تحسین رئیس ارشد امنیت اطلاعات شرکت جنرال‌موتورز Jeff Massimilla به خاطر ارائه‌ی ابزارهایی برای گزارش اشکالات امنیتی به محققان پرداخته است، نکته‌ای که هنوز بسیاری از شرکت‌های سنتی فاقد آن هستند.
کریس والاسک می‌گوید: «من به خاطر اعطای جایزه‌ی گزارش در برنامه جنرال‌موتورز شگفت زده نشده‌ام، بلکه فقط به خاطر این واقعیت که آ‌ن‌ها می‌توانند به گزارش نواقص رسیدگی و آن را برطرف کنند خوشحال هستم.»
در بهار سال گذشته خطوط هواپیمایی ایالات متحده نیز یک برنامه‌ی اعطای جایزه در برابر گزارش امنیتی را ارائه کرد، که به محققان پیشنهاد یک میلیون مایل پرواز را در قبال ارائه‌ی یک حفره‌ی اجرای کد از راه دور و ۲۵ تا ۵۰ هزار مایل در قبال حفره‌های دارای اشکالات کمتر ارائه می‌کرد. در ماه جولای Jordan Wiens پژوهش‌گری بود که موفق شد یک میلیون مایل پرواز را دریافت کند.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

[easy-pricing-table id="6835"]