注册忘记密码

黑客论坛,黑客工具,黑客教程,QQ技术,黑客基地,黑客网络,黑客软件,黑客联盟,免杀,远控,ddos,cc,黑客攻防,黑客编程,黑客定位,手机定位,微信定位,hack,黑客网站,查开房,定位,信息查询

查看: 10130|回复: 0

[黑客新闻] 欧洲的软件漏洞披露:欧洲议会CEPS工作组报告的摘要和主要重点

[复制链接]
   0 UID
   0帖子
   0精华
21
   0威望
500
   0金币
47826
   0贡献
5000
   0阅读权限
   200
   积分
   0
   在线时间
   705 小时
   最后登录
   2021-4-6
发表于 2021-4-5 23:57:18 | 显示全部楼层 |阅读模式
2017年秋天,欧盟智囊团欧洲政策研究中心(CEPS)成立了一个工作组,以定义围绕欧盟范围内的软件漏洞披露(SVD)的准则。

6月下旬,CEPS工作组发布了最终报告:《欧洲技术,政策和法律挑战中的软件漏洞披露》。这份长达112页的文档值得详细阅读,但本文中包含该报告的重点内容以及我们的主要要点。

工作队自己的结论是,现在是采取行动的时候了。该报告呼吁欧洲委员会和成员国起草一个遍及整个非洲大陆的框架以及相关的国家立法,以在软件漏洞发现和披露方面提供法律上的明确性。

工作组主席Marietje Schaake在与报告发布相吻合的题为“欧盟需要坚实的漏洞披露规则”的公告中说:“向软件和硬件供应商及制造商披露漏洞对于保护我们的数字社会至关重要。如果我们没有在欧盟网络安全政策中认真解决此问题,那么我们的行为就好像只是在重新整理泰坦尼克号上的躺椅一样。”

继续阅读报告的TL; DR,包括我们的主要要点。对于我们的评论,我们将专注于内容提要和第1部分。任何斜体部分均直接从报告中复制。

执行摘要
本报告针对欧洲软件漏洞披露(SVD)的前瞻性政策的设计和实施提出了分析,政策含义和主要建议。

工作组呼吁欧洲委员会和成员国根据ISO / IEC 29147:2014和ISO / IEC 30111中定义的指南和建议,共同起草由国家立法补充的欧洲级别框架,以提供法律上的明确性用于软件漏洞发现和披露。

+1,000!清晰度和一致性对于进一步的安全性研究很重要。

“还值得一提的是,美国司法部(刑事司计算机安全和犯罪部门网络安全部门)于2017年7月发布了在线系统漏洞披露程序框架的第一版。该框架可以为我们服务作为欧盟成员国考虑采用的一种可能的模式。 ”

是的!我们自己的VDP建议 与DOJ框架和NTIA模板保持一致。

根据对整个欧洲,美国和日本当前最佳实践的审查,工作队建议实施与SVD相关的各种政策。本报告的第一部分着重于CVD,第二部分着重于政府信息披露决策程序(GDDP)。

以下是该工作队的政策建议摘要。

工作队的政策建议

修订关于攻击信息系统的指令2013/40 / EU(欧盟网络犯罪指令)以支持CVD。
保护安全研究人员。“应该充分阐明安全研究人员的法律责任和责任,以使他们能够继续工作而不必担心受到起诉。”
对安全研究人员的激励措施。应采取适当的政策,以鼓励“白帽黑客”积极参与协调的漏洞披露计划。
关于网络信息系统(NIS)的安全性指令。成员国在移交NIS指令,尤其是其第14条时,可以明确考虑将CVD作为技术和组织措施之一。
通用数据保护条例(GDPR)。根据GDPR,当软件所有者和技术公司对个人数据的目的和处理方式进行全面控制时,它们便成为数据控制者。假定不负责任地处理漏洞可能导致违反GDPR的个人数据泄露,则CVD应该被视为减轻相关风险的必要工具之一。
网络安全法修正案。声明ENISA可以通过修改其任务授权来为欧盟CVD的协调发展做出贡献。《网络安全法》第47条第1款j的规定提供了在欧洲网络安全认证计划中引入CVD的可能性,事实上,这可能鼓励将CVD作为标准做法。
汽车和医疗设备等耐用品中的软件漏洞
修改国家立法以支持CVD
研究与创新框架计划(侧重于欧盟研究资金)
建议采用GDDP特性(GDDP是美国的《脆弱性公平程序》的欧盟版本),并建议对成员国的GDDP进行调查。
第1部分:欧洲的协调漏洞披露
这是报告的大部分。工作队在很大程度上依靠并根据《CERT协调漏洞披露指南》中令人印象深刻的工作来审查和执行其术语定义。

第3.1节介绍了欧盟成员国内CVD的当前状态。
下图捕获了有趣的分析。

荷兰是第一个采用化学气相沉积法的国家。它们处于积极的极端,为研究人员提供全面保护,而法国也有类似的国家政策,但对研究人员仅提供部分保护。其他10个欧洲国家/地区正在制定政策,但将近20个国家/地区很少或没有与CVD相关的国家活动。

第3.2节和第3.3节包括两个欧盟成员国(荷兰和拉脱维亚)的案例研究,以及欧盟以外的两个国家(美国和日本)的案例。
“一些政府,例如荷兰,在这一领域已经非常活跃,并且早在2013年就与私营部门和安全研究界一起开发了一种协调的漏洞披露模型。”
在网络安全NTIA倡议总监美国商业部,艾伦·弗里德曼写了CVD部分的美国历史。他在推特上说,该报告“承认需要更多的法律统一和保护,但也指出了在现有工作的基础上,包括司法部和NTIA,私营部门领导的重要性。”

第4节解决了欧盟软件漏洞披露带来的法律挑战。
这是对当前环境下的收益和风险的审视。黑客软件,黑客联盟,免杀,远控,ddos,cc,黑客攻防还发布了一些资源,并有来自美国的法律专家的评论。请参阅:《关于采用黑客技术的安全性的律师》,以及公司法律顾问应如何采用基于黑客技术的安全性的知识。

第5节和第6节,审查在欧洲实施CVD的政策含义和建议(包括GDPR)。
第6.2.5节专门针对GDPR。这里有一些具有里程碑意义的注释,其中包括:“如果控制器执行CVD程序以允许及时处理漏洞,那么它可能会降低因可能违反个人数据而遭受罚款的风险。 ”  

大注!实施漏洞披露政策可降低违规风险和相应的GDPR罚款。

“ ...关于CVD是否以及何时构成对个人数据的非法处理的悬而未决的问题,值得一提的是独奏会49,这似乎暗示研究人员可能会在他们披露的范围内争论这一点。在CVD的背景下,此类活动对数据控制器而言,此类披露可能属于控制器的合法权益范围,以通过促进网络和信息安全来防止安全漏洞。因此,然后由数据控制器来证明实施CVD是为了确保更高级别的网络和信息安全,从而为其合法利益服务。”

这是由黑客驱动的安全性行业的关键部分,并指出,当CVD到位时,它本质上不是安全事件,而是为了控制者的合法利益而进行的活动,以防止破坏。

HACKERONE的关键要点
在报告的背景部分中,作者指出,关于如何处理不安全性披露的辩论早于软件安全性。今天,在21世纪,我们仍然可以借鉴1850年代锁匠的经验。锁匠阿尔弗雷德·霍布斯(Alfred Hobbes)在《锁构造基本条约》中指出:“诚实的人知道[不安全性]是出于利益,因为可以容忍的是,最不诚实的人是首先将其实用化的人。”

这对我们今天是一个有关的真理。

保护研究人员
许多组织都认为漏洞披露是一种有价值的工具,CEPS报告指出,发现漏洞的白帽黑客需要保护。这个安全港对于实现CEPS和许多其他公司正在兜售的有益信息至关重要。

“保护安全研究人员。参与漏洞发现的研究人员通常要承担刑事或民事责任。应充分阐明安全研究人员的法律责任和责任,以使他们能够继续工作而不必担心受到起诉。 ”-安全港至关重要进行安全性研究。” -第6.2.2节“保护安全研究人员”

如果研究人员在诚实地披露信息时担心其安全性,则CVD将不起作用。研究人员应在最高级别上有明确而适当的保护措施。

CVD本质上是GDPR的要求
GDPR仍处于起步阶段,但全球组织已经感受到了它的影响。CEPS报告将GDPR与CVD的相关性提高了一倍,甚至说“不负责任的漏洞处理可能会导致个人数据泄露落入GDPR范围之内,CVD应被视为减轻相关风险的必要工具之一。”

简而言之,不负责任地处理漏洞是违反GDPR的。因此,必须进行CVD以避免GDPR承担责任。

此外,CEPS说,仅存在CVD和及时处理漏洞“可能会降低因可能违反个人数据而产生罚款的风险。“换种说法,不采用化学气相沉积法不仅被认为是不负责任的,而且值得惩罚。

CEPS进一步澄清,在GDPR对个人数据处理的关注下,应将CVD视为“控制者通过促进网络和信息安全来防止违反安全性的合法利益。” 因此,在CVD范围内进行的活动并不构成违反GDPR规定的数据,从而进一步表明了对研究人员的保护。

政府应默认披露漏洞
美国政府的VEP倾向于在几乎所有情况下公开漏洞。CEPS通过建议“默认策略应立即向受影响的供应商披露漏洞,以便对其进行修补”来回应。

结论:现在是采取行动的时候了
黑客软件,黑客联盟,免杀,远控,ddos,cc,黑客攻防同意CEPS的观点,即信息披露符合国家利益,安全研究人员正在提供应受保护的公共利益。在美国,许多政府机构和组织要么通过VDP和Bug赏金率先采用黑客驱动的安全措施,要么建议组成组织实施VDP。在欧盟,重要的是要采取相同的步骤来保持与技术的同步,现代技术的安全性以及利用漏洞的犯罪分子。

我们支持以下具体举措:

国家一级的立法和/或政策,旨在为发现并负责任地报告漏洞的研究人员提供安全港保护。
向这些安全研究人员提供奖励,因为他们的努力对组织和整个公众都是有价值的。
劝说各种规模和部门的组织将CVD实施为减轻风险的有效工具,包括利用CVD作为GDPR合规性的有效组成部分。
在许多方面,公共部门在漏洞披露政策的采用和扩散领域都领先于私营部门。我们支持CVD的广泛采用,因为它有利于我们的互联社会安全,并与我们的使命相一致,使世界能够构建更安全的互联网。

发表回复

您需要登录后才可以回帖 登录 | 注册会员

本版积分规则


快速回复 返回顶部 返回列表