کسپرسکی به پروژه Disclose.io ملحق میشود
فکر میکنید چرا افراد یک آنتیویروس را به آن یکی آنتیویروس ترجیح میدهند؟ چون این یکی ارزانتر از آن یکی است؟ نه... چون به این آنتیویروس اعتماد بیشتری دارند. چرا محققین امنیتی بیشتر وقت خود را صرف تحلیل فلان اپ میکنند و نه اپِ دیگری؟ چون به شرکت سازندهی آن اپ اعتماد بیشتری دارند. هیچ کسب و کاری دلش نمیخواهد بهش خبر برسد میان محصولاتش آسیبپذیری پیدا شده است. پس، بله، اگر بخواهیم بطور کلی بگوییم، اساس انتخاب یک محصول یا شرکت همیشه بر پایهی اعتماد است. تنها یک اشتباه برای سلب اعتماد کافیست؛ اما ایجاد اعتماد به مراتب کار سختتریست. درست مثل یک برج میماند که از هزاران آجر ساخته شده باشد- اگر یکی از آجرها را برداریم کل برج فرو خواهد ریخت؛ اما خود بخوبی میدانید ساختن برجی بلند چه کار طاقتفرسا و زمانبری است (باید با دقت یک به یک آجرها و خشتها را روی هم بگذارید).
منطقهی امنی برای محققین
ما در کسپرسکی از شما -مشتریان خودمان و البته مشتریان احتمالیمان- میخواهیم که به ما اعتماد کنید تا بتوانیم خشت خشتِ این برج را روی هم بگذاریم و آن را بلند و بلندتر سازیم. ما از پیش موفق به راهاندازی Global Transparency Initiative بودهایم. امیدواریم از این طریق تا حد قابلقبولی در مورد کسب و کار خود شفافسازی کرده باشیم. همچنین برنامههای باگ باونتی[1] خود را افزایش دادهایم.
و حالا با افتخار اعلام میکنیم به پروژهی Disclose.io شرکت Bugcrowd پیوستهایم تا تضمین دهیم قرار نیست به لحاظ قانونی کسانی را که قصد دارند روی محصولات ما تحقیق انجام دهند و در آنها آسیبپذیری پیدا کنند مورد حمله قرار دهیم (کما اینکه شرکتها این کار را زیاد انجام میدهند).
شرکت Bugcrowd در آگوست سال 2018 با مشارکت محقق امنیتیِ برجسته آمیت الازاری، پروژهی Disclose.io را راهاندازی کرد تا برای محفاظت از سازمانها و محققین فریمورک روشن و قانونی را ارائه دهد. اساساً پروژهی Disclose.io کارش ارائهی مجموعهایست از توافقات بین کسب و کارها و محققین.
تمامی شرکتهایی که به Disclose.io ملحق شدند، پیروی از این توافقات را پذیرفتهاند و متقابلاً محققین هم همینطور. این توافقات بسیار سادهاند. خیلی راحت میشود آنها را خواند و درک کرد- بگذریم که صدها زیرمجموعه در آن وجود دارد و در جایجایِ متن فونت ریز است (که شاید توافقات قانونی را غیرقابل پردازش کند). شما میتوانید واژگان اصلی را روی GitHub پیدا کنید و همین میتواند به شفافسازی بیشتر کمک کند؛ داکیومنتهای روی GitHub را نمیشود بدون اینکه کل مجموعه بر آن صحه بگذارند تغییر داد.
این توافقات کسب و کارها را ترغیب میکند تا محققین را به خاطر پژوهششان تنبیه نکنند و در عوض برای درک آسیبپذیریها و برطرفسازیشان شانه به شانه با آنها همکاری و مشارکت داشته باشند. کسب و کارها در حقیقت بر پایهی همین مشارکت متوجه میشوند خود نیز میتوانند سهمی در امنیت محصولات داشته باشند. از طرفی دیگر، این توافقات محققین را ملزم میدارد در مورد آسیبپذیریهایی که پیدا میکنند مسئول باشند- پیش از اینکه مشکل برطرف شود آن را علنی نکنند؛ بواسطهی دسترسیشان به اطلاعات، سوءاستفاده نکنند؛ از فروشندگان پول اخاذی نکنند و غیره.
به طور خلاصه، Disclose.io اساساً میگوید: «محققین و کسب و کارهای گرامی، اگر هر دو رفتار درستی داشته باشید هر دو نیز از مزایایی بهرهمند خواهید شد». ما تماماً این جمله را قبول داریم و به همین دلیل است که از این حرکت Disclose.io حمایت میکنیم.
البته مشتریان ما نیز از این اقدام نفع خواهند برد. هرچه محصول یا سرویس بیشتر به لحاظ امنیتی مورد برسی قرار گیرد ایمنتر خواهد شد. «امنیت» برای راهحلهای امنیتی رکن اساسی است.
[1]Bug bounty progra، برنامهای که باگها را گزارش میدهد به خصوص باگهایی که باعث سوء استفاده و آسیب پذیری میشوند، و اینکه در ازای گزارش این باگها افراد پاداش دریافت میکنند و یا به رسمیت شناخته میشوند.
منبع: کسپرسکی آنلاین
روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)