ثغرة جديدة في منصة العاب steam

في محاولة لإخماد جدل أثار حنق المتسللين ذوي القبعة البيضاء ، قال صانع منصة ألعاب Steam على الإنترنت يوم الخميس إنه ارتكب خطأ عندما رفض الباحث الذي أبلغ مؤخرًا عن وجود ثغرات أمنية منفصلة.

 

في بيانها ، تشير شركة Valve Corporation إلى HackerOne ، وهي خدمة إعداد التقارير التي تساعد الآلاف من الشركات على تلقي الثغرات الأمنية في برامجها أو أجهزتها والاستجابة لها. تكتب الشركة أيضًا:

 

نحن ندرك أيضًا أن الباحث الذي اكتشف الأخطاء قد تم رفضه بشكل غير صحيح من خلال برنامج مكافآت الأخطاء HackerOne ، حيث تم تصنيف تقريره على أنه خارج النطاق. كان هذا خطأ.

 

تم تصميم قواعد برنامج HackerOne الخاصة بنا فقط لاستبعاد تقارير Steam التي تم توجيهها لإطلاق برامج ضارة مثبتة مسبقًا على جهاز المستخدم مثل ذلك المستخدم المحلي. بدلاً من ذلك ، أدى سوء تفسير القواعد أيضًا إلى استبعاد هجوم أكثر خطورة أدى أيضًا إلى تصعيد الامتياز المحلي عبر Steam.

 

لقد قمنا بتحديث قواعد برنامج HackerOne الخاصة بنا لنعلن صراحة أن هذه المشكلات في نطاقها ويجب الإبلاغ عنها. في العامين الماضيين ، تعاوننا مع 263 من الباحثين في مجال الأمن في المجتمع وكافأناهم في المجتمع لمساعدتنا في تحديد وتصحيح ما يقرب من 500 قضية أمنية ، ودفع أكثر من 675،000 دولار في شكل منح. نتطلع إلى مواصلة العمل مع مجتمع الأمان لتحسين أمان منتجاتنا من خلال برنامج HackerOne.

 

فيما يتعلق بالباحثين المعينين ، نراجع تفاصيل كل موقف لتحديد الإجراءات المناسبة. لن نناقش تفاصيل كل موقف أو حالة حساباتهم في الوقت الحالي.

 

تنص قواعد برنامج HackerOne الجديدة من Valve على وجه التحديد على أن "أي حالة تسمح للبرامج الضارة أو البرامج الضارة بقيام تصعيد للامتياز من خلال Steam ، دون تقديم بيانات اعتماد إدارية أو تأكيد مربع حوار UAC ، هي في نطاقها. أي تعديل غير مصرح به لخدمة Steam Client المميزة هو أيضًا في نطاقه. "

جاء البيان وتغيير السياسة من شركة Valve بعد يومين من تلقي الباحث الأمني Vasily Kravets ، وهو باحث مستقل من موسكو ، رسالة بريد إلكتروني تخبره أن فريق الأمان التابع لشركة Valve لم يعد سيتلقى تقارير الضعف الخاصة به من خلال خدمة الإبلاغ عن الأخطاء في HackerOne. حول Valve Kravets بعد أن أبلغ عن ثغرة بالبخار والتي سمحت للمتسللين الذين لديهم بالفعل إصبع قدم على جهاز كمبيوتر ضعيف بالتنقيب إلى أجزاء مميزة من نظام التشغيل. أخبر Valve Kravets مبدئيًا أن هذه الثغرات كانت خارج النطاق ولم يعط أي إشارة إلى أن واحدة تم الإبلاغ عنها من جانب فاسيلي ستكون ثابتة.

أنكرت الشركة في وقت لاحق علنًا أن المشكلة كانت عبارة عن ثغرة أمنية من خلال الادعاء خطأً بأن هذا الاستغلال يتطلب من المتسللين الوصول الفعلي إلى جهاز كمبيوتر ضعيف. وذهبت الشركة إلى حد نزاع حول الضعف في الاستشاري الصادر عن المعهد الوطني للمعايير والتكنولوجيا.

 

رتبت استجابة Valve للمتسللين والمتخصصين في مجال الأمن لأن ما يسمى بمواطن الضعف في تصعيد الامتيازات هي شيء تقوم Google و Microsoft ومطوري البرامج الناضجة مفتوحة المصدر بإصلاحه بسهولة في منتجاتهم. إن ادعاء Valve بأن وجود عيب واضح من هذا النوع لم يكن مشكلة ضعف مشروعة يتعارض مع معايير الأمان طويلة الأمد. مع تصاعد الانتقادات ، أصدر Valve بهدوء رقعة ، لكن الباحثين وجدوا أنه يمكن تجاوزها. ومما زاد الطين بلة ، كشفت Kravets يوم الثلاثاء علانية عن ثغرة جديدة في تصاعد الامتيازات في Steam. وقال بيان صمام الخميس إن كلا من الثغرات التي أبلغ عنها Kravets تم إصلاحها الآن.

 

باحث آخر مغلق

ازدادت حدة الانتقادات - وبدأت تتجه نحو HackerOne - بعد أن قال مات نيلسون ، الباحث المستقل الثاني ، إنه استخدم خدمة الإبلاغ عن الثغرات الأمنية في يونيو للكشف عن واحدة من عيوب Steam التي عثر عليها Kravets. وفقًا لمبادلة نشرها نيلسون ، قال ممثل عن HackerOne إن الثغرة الأمنية خارجة عن نطاق التأهل لبرنامج مكافأة الأخطاء في Valve. عندما أجاب نيلسون بأنه لا يبحث عن المال ، ولكنه أراد فقط أن يدرك الجمهور مدى الضعف ، طلب ممثل HackerOne من نيلسون "الرجاء التعرف على إرشادات الإفصاح لدينا والتأكد من أنك لا تضع الشركة أو نفسك في خطر. https://www.hackerone.com/disclosure-guidelines ".

 

تنص هذه المبادئ التوجيهية على وجه التحديد ، "يرجى ملاحظة أننا لن نوافق على الكشف عن التقارير إذا كانت قد تم تحديدها خارج النطاق أو غير قابلة للتطبيق ، أو عندما لم تتخذ Valve إجراء تصحيحيًا / تخفيفًا محددًا."

 

قام ممثل HackerOne أيضًا بتأمين الخيط بحيث لم يعد بالإمكان قراءته. أخبر نيلسون آرس أنه فوجئ برد فعل هاكر وان. باستخدام اختصار لاتفاقية عدم الكشف ، كتب في رسالة بريد إلكتروني:

 

لن أذهب إلى حد وصفها بـ NDA ، لكن من المؤكد أنها كانت تدل على أنه قد يكون هناك تداعيات على انتهاك سياسة Valve أو سياسة HackerOne للإفصاح. رد فعلي هو أنني يمكن أن أهتم أقل. إذا أرادوا حظر أحد الباحثين الذين يقدمون الأخطاء بحسن نية ، يمكنهم بالتأكيد ذلك. لا أقوم بالإبلاغ عبر HackerOne لكسب المال ، فقد بدا ببساطة أنه أسهل طريقة للاتصال بهم. إن جعل العملية أكثر صعوبة بالنسبة للراغبين في الإبلاغ عن نقاط الضعف لا يفعل شيئًا على الإطلاق سوى الإضرار بهم والجمهور العام.

 

قام نيلسون بعد ذلك بالإبلاغ عن الثغرة مباشرة لـ Valve. وقال إن Valve اعترف بالتقرير و "لاحظ أنه لا ينبغي أن أتوقع أي اتصال آخر." لم يسمع أي شيء أكثر من الشركة.

 

تحويل اللوم

وقال نيلسون إنه يرحب باعتراف شركة Valve بأنه كان من الخطأ أن يكون Valve قد قام بإبعاد Kravets وتغيير السياسة الذي يجعل نقاط الضعف في تصعيد الامتيازات في نطاقها.

 

وكتب نيلسون: "بالتأكيد أستطيع أن أصدق أن تحديد النطاق قد أسيء تفسيره من قبل موظفي HackerOne أثناء جهود الفرز". "من المدهش بالنسبة لي أن الأشخاص في HackerOne الذين يتحملون مسؤولية الإبلاغ عن تقارير الضعف الخاصة بشركة كبيرة مثل Valve لم يروا أهمية" Local Privilege Escalation "وقاموا ببساطة بكتابة التقرير بالكامل بسبب سوء قراءة النطاق. "

 

وأضاف أنه في الوقت نفسه ، يجب أن يتحمل Valve مسؤولية أكبر عن الدور الذي لعبه في الاستجابة الفاشلة.

 

"يمكن لـ Valve تحويل اللوم إلى HackerOne بقدر ما يرغبون ، ولكن حقيقة أنهم قضوا وقتًا للطعن فعليًا في إصدار CVE Mitre يعني أنهم لا يرون أن هذه المشكلة هي نقطة ضعف شرعية ، بغض النظر عن الطريقة التي تعامل بها HackerOne مع triaging ذلك ".

 

في منشور يُبلغ عن الثغرة الأولى ، قال Kravets أيضًا إن موظفي HackerOne أخبروه أنه غير مسموح له بالكشف علانية عن الثغرة الأمنية.

 

وفي الوقت نفسه ، أخبر Ars صباح يوم الخميس أنه لم يتلق أي اتصال من Valve وأنه ظل مغلقًا عن قسم الإبلاغ عن خلل Valve في HackerOne.

وقالت متحدثة باسم HackerOne لآرس:

 

نحن نهدف إلى توصيل سياساتنا وقيمنا بشكل صريح في جميع الحالات ، وكان بإمكاننا القيام بذلك بشكل أفضل. يعد الكشف عن الثغرات الأمنية عملية غامضة بطبيعتها ، ونحن ملتزمون دائمًا بحماية مصالح المتسللين.

 

تؤكد إرشادات الكشف الخاصة بنا على الاحترام المتبادل والتعاطف ، وتشجع الجميع على التصرف بحسن نية ولصالح الصالح العام.

 

لا يزال مدعاة للقلق

في حين أن قبول Valve وتغيير السياسة أمران مشجعان ، إلا أن حظر HackerOne على Kravets يظل مصدر قلق مستمر. تساعد HackerOne آلاف المؤسسات على تلقي تقارير الثغرات والاستجابة لها. قال كاتي موسوريس ، مؤسس ورئيس مجلس إدارة Luta Security ، الذي قام بسياسة الإفصاح هنا وهنا اعتمدتها المنظمة الدولية للتوحيد القياسي أثناء وجوده في شركة Microsoft ، إن سياساتها لها تأثير كبير على أمان المنتجات والأجهزة المستخدمة في جميع أنحاء العالم.

 

"إسكات الباحث في قضية واحدة ينتهك تمامًا ممارسات ISO القياسية ، وحظرها من الإبلاغ عن المزيد من القضايا هو ببساطة غير مسؤول للمستخدمين المتأثرين الذين كانوا سيستفيدون من مواصلة هؤلاء الباحثين إشراكهم وإبلاغهم عن المشكلات بشكل خاص لإصلاحها ، "موسوري أخبر آرس. "يتم تشويه قواعد الكشف عن الثغرات الأمنية بواسطة المنصات التي تضع الأرباح أمام الناس".

استمتعت بهذا المقال؟ كن على اطلاع من خلال الانضمام إلى النشرة الإخبارية لدينا!

التعليقات

يجب أن تكون مسجلا للدخول لتكتب تعليق.

مقالات ذات صلة
نوفمبر ١٨, ٢٠١٩, ٧:٢٥ م - ايمان احمد عبد الرحمن
نوفمبر ١٨, ٢٠١٩, ٧:٢٣ م - ايمان احمد عبد الرحمن
نوفمبر ٨, ٢٠١٩, ٢:٠٣ ص - Imane
نوفمبر ٥, ٢٠١٩, ٣:٥٣ م - سامية علي توفيق علي
نبذة عن الكاتب