Ako veľkí fanúšikovia Open Source cítime potrebu podporovať komunitu a prispievať projektom, ktoré máme radi. A keďže náš kód je škaredý ako peklo samo, snažíme sa o to aspoň prostredníctvom nahlasovania chýb a bezpečnostných zraniteľností. Možno to tak na prvý pohľad nevyzerá, ale vývojári sú rovnakí ľudia ako všetci ostatní. A rovnako to platí aj pre ich osobnosť a ich prístup. Niektorí z nich sú vďační za každú spätnú väzbu, ktorú dostanú od užívateľov, iní sú k vám spočiatku rezervovaní, kým sa nepreukážete ako znalí danej problematiky. Niektorí vám ani neodpovedia, ale problém opravia, ale ako v každom aspekte života, aj tu sa nájdu takí ktorým na bezpečnosti nezáleží.
Je veľkým uspokojením obdržať od vývojára rýchlu odpoveď s potvrdením zraniteľnosti, o vydaní rýchlej záplaty a o tom, že chyba bude opravená v ďalšej verzii. Vieme že odmena je skvelá vec, ale aj obyčajné „ďakujem“ a spomenutie v poznámkach k novej verzii je to, kvôli čomu majú ľudia daný projekt radi a budú ho podporovať aj v budúcnosti. A hoci niekedy vývojári nechápu podstatu nahlásenej zraniteľnosti, vľúdny prístup a záujem o vec sú práve tým, čo motivuje výskumníkov trpezlivo vysvetliť danú zraniteľnosť a demonštrovať ju prostredníctvom demonštračného príkladu (PoC).
Na druhú stranu tu máme druhý typ prístupu, ktorý nečiní výskumníkov príliš šťastnými a tlačí ich od zodpovedného odhaľovania až k „hurá-žiadna-NDA“ takže plné odhalenie.
Uvedieme príklad. Minulý mesiac sme nahlásili bežnú, celkom ľahko odstrániteľnú, avšak kritickú zraniteľnosť projektu ktorý sami používame. Podľa zdrojového kódu projekt vyvíja jediný vývojár, ktorý chýbajúce skúsenosti nahrádza oduševnením a odhodlaním. Používateľská základňa projektu je približne 40 000 používateľov. Napísali sme vývojárovi krátky e-mail objasňujúci nájdenú zraniteľnosť, ponúkli demonštračný príklad (PoC) a popísali možné protiopatrenia, našu motiváciu a požiadali o povolenie zverejniť odhalenie zraniteľnosti po vydaní záplaty. Dobrá správa je že sme dostali odpoveď do 24h. Tá zlá je, že bola asi takáto: „Čo mi tým chcete povedať? Prevažná väčšina web stránok je zraniteľná na túto zraniteľnosť! Prečo ste si vybrali práve môj projekt, to je nezodpovedné.“ V poriadku, možno sme si iba neporozumeli.
Odpovedali sme preto obšírnejším popisom zraniteľnosti, pridali demonštračnú ukážku (PoC), vysvetlili možný scenár útoku a dopad na používateľov. Aby sme predišli ďalším možným nedorozumeniam, opätovne sme objasnili našu motiváciu a ponúkli pomoc s objasnením otázok ohľadne danej zraniteľnosti a znovu otestovaním aplikácie po implementovaní záplaty. Ak ste hádali že odpoveď bola známe „WontFix“, hádali se správne. Čiastočne. Bola „Tu je repozitár na GitHube, očakávam vašu záplatu“. Takže toľko k motivácii.
Na čo vývojári občas zabúdajú je to, že to nie sú iba oni kto trávi prispievaním na projekty svoj voľný čas, ale taktiež výskumníci ktorí im nahlasujú zraniteľnosti. Ich motivácia je rovnaká ako motivácia vývojárov, urobiť projekt lepším a bezpečnejším pre používateľov. Odmena očakávaná za ich prácu je taktiež rovnaká, ocenenie ich prínosu.
A preto, prosím, buďte milí k vášmu lokálnemu bezpečnostnému výskumníkovi.
