Перевод: Valve признала, что зря закрыла глаза на сообщения об уязвимостях Steam
Создатель Steam собирается работать над выявленными уязвимостями
Не так давно стало известно, что компания Valve проигнорировала сообщения, полученные от “добросовестных” хакеров, обнаруживших серьезные уязвимости в защите платформ Steam. Разумеется, вслед за этим в сторону разработчиков площадки последовала критика, поэтому им ничего не оставалось, как признаться в совершенной ошибке. Портал Ars Technica решил подробнее осветить сложившуюся ситуацию, а мы в свою очередь предлагаем вам полный перевод этого материала.
“Пытаясь сгладить последствия проблемы, вызвавшей критику со стороны "белых" хакеров, создатель и владелец Steam признал, что совершил ошибку, проигнорировав сообщения от исследователя, раскрывшего два слабых места в защите платформы.
В своем сообщении Valve Corporation упоминает HackerOne, являющийся сервисом, который помогает тысячам компаний своевременно бороться с уязвимостями в их софте или оборудовании. В этом сообщении Valve сказала следующее:
"Мы в курсе, что исследователь, обнаруживший баги, был неверно проигнорирован в рамках нашей программы по охоте на баги при участии HackerOne, и его сообщение было классифицировано как выходящее за рамки задания. Это было ошибкой.
В условиях программы HackerOne предусматривалось, что исключены будут лишь сообщения о случаях, когда Steam модифицируется для запуска ранее установленного вредоносного программного обеспечения на машине пользователя через права локального пользователя. Вместо этого, неправильная интерпретация условий привела к тому, что была проигнорирована более серьезная атака, которая тоже шла через увеличения привилегий локального пользователя.
Мы обновили наши условия программы HackerOne, и теперь в них указано, что подобные проблемы входят в рамки задания и подлежат сообщению. За последние два года мы успели поработать и выдать поощрение 263 исследователям защитных систем, которые помогли нам выявить и исправить около 500 уязвимостей, выплатив наград более чем на 675000 долларов. Мы рады продолжить сотрудничество с этим сообществом исследователей через программу HackerOne, работая над улучшением наших защитных систем.
Говоря о конкретных исследователях, мы рассматриваем все ситуации детально, пытаясь найти оптимальное решение. В данный момент мы не будем раскрывать детали каждого отдельного случая или состояние аккаунтов участников программы."
В правилах программы HackOne от Valve конкретно указывается, что «любая уязвимость, позволяющая вредоносному программному обеспечению или зараженному софту повышать уровень привилегий через Steam без требования статуса администратора или подтверждения диалога UAC, подлежит сообщению. Любая неавторизованная модификация привилегий клиентского сервиса Steam тоже подлежит сообщению».
Пинок осиного гнезда
Публичное заявление и изменение политики Valve произошло спустя два дня после того, как независимый исследователь охранных систем из Москвы Василий Кравец получил электронное письмо, в котором команда охраны из Valve сказала ему, что больше не будет принимать его сообщения об уязвимостях через специальный канал HackerOne. Valve отказалась от услуг Кравца после того, как он сообщил им о бреши в защите Steam, позволявшей хакерам, имевшим доступ к уязвимому компьютеру, проникнуть в отделы операционной системы, закрытые за привилегированным доступом. Valve заявила Кравцу, что подобные уязвимости не входили в рамки задания, и ничего не сказала о том, будут ли уязвимости, выявленные Кравцом, когда-нибудь закрыты.
Реакция Valve вызвала недовольство в среде хакеров и специалистов по защите, потому что так называемые уязвимости, связанные с повышением привилегий, постоянно закрываются и чинятся компаниями вроде Google, Microsoft и другими серьезными разработчиками, использующими программное обеспечение с открытым исходным кодом. Утверждение Valve, что подобная уязвимость не является серьезным риском, требующим внимания, шло вразрез с давно устоявшимися нормами в области защиты данных. Критика не утихала, и Valve тихо выпустила патч, однако исследователи узнали, что изменения в защите можно обойти. Помимо всего прочего, Кравец публично раскрыл наличие у Steam уязвимостей, связанных с повышением привилегий. После этого Valve заявила, что обе бреши в защите, о которых сообщил Кравец, были закрыты.
Минус еще один исследователь
Критика действий компании стала еще более ожесточенного и теперь все чаще была направлена против HackerOne. Это стало следствием того, что Мэтт Нельсон, второй независимый исследователь, сказал, что сообщил о той же самой уязвимости, что и Кравец, в июне. Как можно понять из сообщения, оставленного Нельсоном, представитель HackerOne сказал ему, что подобная уязвимость выходила за рамки задания по охоте за багами от Valve. После того, как Нельсон пояснил, что не ждет от них денег, а просто хочет сообщить о наличии уязвимости для публичного блага, представитель HackerOne сказал Нельсону: «пожалуйста, прочитайте условия по огласке и не подвергайте риску нашу компанию или себя самого».
В этих условиях указывается: «Имейте в виду, что мы не дадим согласие на огласку сообщений, если они были помечены, как неприменимые или выходящие за рамки задания, либо если Valve не предпринимала действий по устранению проблемы».
Помимо этого, представитель HackerOne закрыл тему, чтобы ее больше нельзя было прочитать. Нельсон признался, что удивился реакции HackerOne. Он написал следующее в своем письме:
«Я бы не называл это NDA (соглашение о неразглашении), но они явно намекнули на то, что меня могут ждать последствия, если я нарушу правила Valve или правила HackerOne, касательные разглашения. Мне было абсолютно все равно. Если они хотят забанить исследователя, который сообщает им о багах, то это их дело. Я сообщил об уязвимости через HackerOne не для заработка, а потому что это показалось мне самым быстрым способом связи. Усложнение процесса сообщения об уязвимостях будет работать против них и против простых пользователей».
После этого, Нельсон сообщил о баге напрямую Valve. Valve сказала, что приняла информацию, а также указала, чтобы «я не ожидал последующей связи». Действительно, больше компания с ним никак не связывалась.
Перевод стрелок
Нельсон рассказал, что положительно отнесся к тому, что Valve признала свою ошибку в случае с отказом от услуг Кравца и расширила рамки своего задания по охоте на баги, включив в него повышение привилегий.
«Я вполне допускаю, что рамки задания были неправильно интерпретированы сотрудниками HackerOne во время сортировки», написал Нельсон. «Это просто удивительно, что работники HackerOne, ответственные за сортировку сообщений об выявленных уязвимостях в защите такой крупной компании, как Valve, посчитали, что повышение локальных привилегий не является серьезной брешью в обороне, и просто списали сообщения, как не попадающие под установленные условия».
В теме, в которой сообщалось о первой уязвимости, Кравец написал, что сотрудник HackerOne сказал ему, что ему запрещается публично говорить о наличии бага.
В то же самое время, он сообщил, что Valve никак с ним не контактировала, и доступ на секцию HackerOne для сообщения о багах в системе Valve, остается для него закрыт.
Представительница HackerOne сообщила следующее:
«Мы стараемся раскрывать нашу политику и ценности во всех возможных случаях, но в этот раз мы допустили оплошность. Публичное раскрытие уязвимостей является сложной темой и мы, как и всегда, стремимся защищать интересы хакеров.
Наши правила по разглашению основаны на взаимном уважении и понимании, мы приветствуем всех, кто честно работает для всеобщего блага».
Расслабляться рано
Признание Valve своих ошибок и изменение политики компании можно назвать хорошей новостью, однако HackerOne по-прежнему отказывает Кравцу в допуске, что вызывает некоторые подозрения. HackerOne помогает тысячам организаций быстрее реагировать на возникающие проблемы кибербезопасности. «Политика этой компании оказывает огромное влияние на защиту софта и устройств, используемых по всему миру», сказала Кэти Муссурис, основатель и гендиректор Luta Security, написавшая во время своей работы в Microsoft политику о разглашении, которую адаптировала Международная организация по стандартизации (ISO/ИСО).
«Попытка заткнуть рот исследователю, докопавшемуся до истины, является грубым нарушением стандартной практики ИСО. Банить тех, кто пытается сообщить о существующих проблемах, просто безответственно по отношению к пользователям», сказала Муссурис. «Нормы разглашения имеющихся уязвимостей ломаются из-за действий платформ, которые ставят прибыль выше людских интересов».”