当前位置: 首页>>久久热视频在线视频 >>焦点在SECURITYGM错误节目得到混杂的通知

焦点在SECURITYGM错误节目得到混杂的通知

添加时间:    

去年,两个白帽黑客查理·米勒和克里斯Valasek头条新闻,当他们展示他们如何能够通过互联网劫持移动的汽车的控制系统。此举引起了汽车行业的关注,上周通用汽车制定了一项计划,鼓励更多的数字涉猎者在发现通用汽车的缺陷时提醒公司。

通过与HackerOne合作,GM发布了一套向公司提交缺陷的指导方针。但是,这些指导方针主要是为了避免被起诉而描述一个错误发现者必须做的事情。

例如,它建议研究人员不要对通用汽车客户或其他人造成伤害;危及客户的隐私或安全;违反任何刑法;揭示错误,直到通用汽车修复它们;成为古巴,伊朗,北韩,苏丹,叙利亚或克里米亚的居民;并在美国财政部的特别指定国民名单上。

在指导方针中没有提到通用汽车将会为通常用于发现软件漏洞的工作时间的研究人员提供补偿。 HackerOne首席技术官Alex Rice表示:“与黑客合作始于明确的方式来处理潜在的漏洞,并负责任地报告。他告诉TechNewsWorld:“脆弱性协调过程是每个技术公司重要的安全最佳实践。 “通用汽车公司正在通过这一承诺展现其领域的领导地位。”

Bit9 + Carbon Black首席安全策略师本·约翰逊也赞扬了通用汽车的倡议。

“这​​是一个明智的做法,试图让整个社区众包,解决问题,”他告诉TechNewsWorld。

然而,该计划的普及仍然不确定,他说。看到有多少贡献与多少机会和流氓无关,将是有趣的。“

全球机制倡议缺乏错误奖金计划的重要组成部分。 Bugcrowd公司首席执行官Casey Ellis说:“除非你提供奖励,否则这不是一个错误奖励计划。 “如果没有奖励,研究人员正在做的工作就会变成一个错误奖金计划。”他告诉TechNewsWorld,通用汽车的举措是一个漏洞披露计划。它为研究人员创造了一种让GM知道何时发现错误的方法。

Ellis说:“他们希望证明他们不会对研究人员所做的事情充满敌意。 “这是朝着正确的方向迈出的一步,但是奖励会更好,因为它们将对正在进行的研究赋予适当的价值。”

通用汽车公司可能不会为错误支付报酬,但可能通过其他方式为他们付款,维护身份识别系统的首席营销官Johannes Hoech。他告诉TechNewsWorld,“有人应该问GM,他们已经用了多少贿赂了”。

Hoech说:“公司一直支付这笔钱,Legit bug-bounty程序本质上是一种企图合法地利用否则将继续是非法活动的东西。他指出:“围绕起诉研究人员打击公关鼓是无用和无效的,因为那些可能对这种威胁做出反应的人并不是通用公司不必担心的人。 “Hoech继续说道,”同时,他们错过了可以通过合法的错误奖励计划收集的近乎自由的情报。“

欧洲刑警组织上个星期宣布,它在十二月对一个结合了两种流行的网络威胁:分布式拒绝服务攻击和数字勒索的犯罪团伙进行了一项重大的行动。

欧洲刑警组织在针对一个名为DD4BC的组织进行的全球行动中,逮捕了一名主要目标,拘留了另一名嫌疑犯,并通过多次搜查获得了大量证据。 A10 Networks公司产品营销经理Rene Paap表示:“这个团队在安全领域是臭名昭着的,而且在安全领域也是众所周知的。他告诉TechNewsWorld:“他们是有丰富资源的天才网络犯罪分子。

Paap补充道:“与黑客行为主义者相比,他们一直在关注自己,因为他们正在做DDoS的勒索赎金。

DD4BC对依赖的目标发起DDoS攻击 在他们的主要收入来源的网上存在。他表示,在证明他们能做什么之后,网络犯罪分子就会提出赎金要求。

“他们说,如果你今天不付钱,袭击事件将继续,赎金将翻番。”

支付赎金并没有太多的意义,指出Tim Matthews,营销副总裁atImperva。 “

”他说:“首先,不能保证犯罪者会遵守协议,其次,支付只会将您或您的组织标识出来,而犯罪分子可能会回来并要求更多。”他对“TechNewsWorld”表示。

马修斯补充说:“一旦被确定为支付的组织,其他人可能会迎风而来,”Matthews补充说。他说:“一般情况下,”DDoS缓解服务的月费少于赎金。“

随机推荐

网站导航 福利地图