Frivilligt skydd av Internet: GDI-stiftelsen identifierar och rapporterar sårbarheter via ansvarsfulla avslöjanden

TL; DR: GDI Foundation är en ideell organisation som ägnar sig åt att försvara det fria och öppna internet genom att upptäcka risker och sårbarheter. Den internationella humanitära gruppen, som endast är bemannad av frivilliga, arbetar med fokus på ansvarsfull offentliggörande för att säkerställa etiska standarder. Med ett mål att möjliggöra smartare samarbete och öka tillväxten genom praktikprogram arbetar GDI-stiftelsen för att främja sitt uppdrag att skydda välfärden i våra onlinemiljöer.


I en era där skurkar är lika produktiva på nätet som i serietidningar är det uppmuntrande att veta att en ovärdig grupp superhjältar på internet arbetar för att skydda oss från våra fiender.

De är kända som GDI-stiftelsen, en internationell humanitär organisation som verkar under en ed ed för att skydda livet och värdigheten för alla som är i riskzonen online. Gruppen, som består helt av frivilliga, är på uppdrag att försvara det fria och öppna internet genom att identifiera sårbarheter och ge gratis råd om lösningar.

GDI-logotyp

GDI-stiftelsen skyddar ett öppet internet.

“Under 2018 rapporterade vår grupp med endast 21 frivilliga mer än 668 000 sårbara system, varav en halv miljon reparerades,” säger Victor Gervers, grundare av GDI-stiftelsen. “Jämförelsevis rapporterar vi mer riskfyllda system på ett år än alla rapporterade felbounties tillsammans.”

Som en ideell organisation är organisationen beroende av donationer, sponsring och deltagande medlemmar och drivs inte på något sätt av ekonomisk vinst. Stiftelsen upprätthåller också en position av neutralitet och opartiskhet genom att den inte diskriminerar baserat på nationalitet, ras, politisk åsikt eller religiös tro och inte får ta sida i fientligheter.

För att säkerställa att dess verksamhet följer etiska standarder tar GDI Foundation upp säkerhetsfrågor genom en ansvarsfull avslöjande som ger individer och företag en chans att avhjälpa problem innan de utsätts offentligt.

GDI-stiftelsen går framåt och syftar till att möjliggöra smartare samarbete och öka tillväxten genom praktikprogram och främja dess uppdrag att säkerställa välbefinnandet i våra onlinemiljöer..

En internationell ideell försvar för fria & Öppet Internet

Victor lanserade GDI-stiftelsen 2016 för att starta en Indiegogo-stödd ansträngning, känd vid tiden PROJECT366, för att göra internet till en säkrare plats.

“Tanken var att börja leta efter dataläckage och sårbara system i 15 timmar per dag med hjälp av alla tillgängliga källor, inklusive sökrobotar som Shodan, för att hitta så många drabbade system så snabbt som möjligt och rapportera dem till ägaren för att fixa dem,” Victor sa. ”I slutet av året rapporterade jag mer än 600 system, vilket var imponerande för en enmansoperation.”

Projektet fångade snabbt andras intresse i det säkerhets- och etiska hackingutrymmet som var intresserade av att låna ut sina färdigheter till orsaken. Tillsammans granskade Victor och hans växande team sätt att påskynda framstegen. År 2017 omfattade operationen nio frivilliga, som kumulativt rapporterade 126 000 säkerhetsproblem samma år genom ansvarsfulla avslöjanden – varav 125 000 fixades.

Fem lås, en röd, mot en världskarta över bakgrunden

Den internationella humanitära gruppen arbetar med fokus på etiska standarder.

År 2018 hade exponering i mainstream-medierna hjälpt GDI-stiftelsen att få viss beryktadhet, som Victor krediterar för att öka svarsgraden. Han sa också att eftersom det inte finns några nationella gränser när det gäller datasäkerhet har organisationen lärt sig hur man kan förbättra svarsfrekvensen genom att skräddarsy e-postmeddelanden efter olika kulturella normer..

“Våra e-postmeddelanden är baserade på konserverade svar, men de är inte en-storlek-passar alla,” sade han. “Om du till exempel rapporterar något i Japan borde sättet du presenterar nyheterna vara så användbart och artigt som möjligt.”

Den som tar emot e-postmeddelandet ska snabbt kunna förstå exakt vad problemet är och hur det kan lösas korrekt. “Genom att göra detta i flera år har vi skapat ett effektivt recept för hur du rapporterar sårbarheter,” sade Victor. “Och – slå på trä – för alla saker som vi har rapporterat har ingen organisation till exempel tagit fram en stämning, så tydligen gör vi det rätt.”

Smart samarbete och utvidgning genom praktikprogram

Victor sa att GDI-stiftelsen alltid är proaktiv när det gäller att hitta effektivitet som gör det möjligt för organisationen att göra Internet säkrare. För närvarande vill gruppen förbättra samarbetet med säkerhetsforskare och frivilliga för att underlätta utbildningen när deltagandet ökar.

“Vi vill hitta sätt att samarbeta smartare så att vi verkligen kan förhindra att våra ekonomier utnyttjas,” sade han. “Målet är att uppgradera till 200 personer eller mer och ge en plattform där de kan lära av varandra.”

Cybersecurity-koncept

Den snabbt växande organisationen hittar innovativa lösningar för att effektivisera samarbetet.

Sanyam Jain, säkerhetsforskare vid GDI-stiftelsen, söker ett brett spektrum av talang, från forskare till hackare med vit hatt. Han noterade att organisationen veterinerar människor baserat på skicklighet, inte bara kvalifikationer eller examina. ”Vi har öppnat många praktikplatser för skadlig programvara och utnyttjar utvecklare som kan hjälpa människor att fixa sina system; vi kan också släppa dekrypterare för dem, sade Sanyam.

Han letar också efter säkerhetsforskare. Genom åren har GDI-stiftelsen identifierat ett problem där forskare identifierar sårbarheter men inte lyckas när det gäller att kommunicera dem. Organisationen tror att den kan kliva in för att bättre överbrygga den klyftan med sin insikt om hur vissa företag och länder reagerar på sårbarhetsrapporter.

“Vi har flera öppna praktikplatser för forskare, och om de hittar något tar vi initiativet att avslöja det på ett ansvarsfullt sätt,” sade Sanyam.

Fokus på att säkerställa en etisk, ansvarsfull avslöjande

Enligt Victor gjorde de flesta som gick med i stiftelsen 2017 eftersom deras intressen ligger i forskning, inte ansvaret för att kommunicera eller rensa upp sårbarheter.

“De skulle försöka komma i kontakt med ett företag eller en organisation, bli frustrerade och säga,” Om de inte lyssnar, kommer jag att offentliggöra en fullständig offentliggörande, “sade han. “Det är exakt den del som vi vill förhindra.”

Det andra problemet, sa han, är att många forskare håller sina projekt extremt privata om andra bedriver liknande arbete. När flera forskare börjar tävla till mål är de mer benägna att ta genvägar när det gäller ansvarsfullt avslöjande.

“Om vi ​​kan underlätta kommunikation mellan de parter och organisationer som påverkas av sådan forskning, tror jag att vi verkligen kan göra en skillnad,” sade Victor.

Andra forskare är rädda för att tala ut på grund av förtryckande regerings- eller företagspolitik. Därför lovar GDI-stiftelsen att låta alla forskare förbli anonyma på begäran.

“Det har varit flera gånger att forskare är rädda för att rapportera sårbarheter och har bett att förbli anonym, och vi avslöjar inte deras information på något sätt,” sade Victor.

Framtidsplaner: Lanseringen av en samarbetsportal

Nästa på GDI-stiftelsens dagordning är att skapa en användarportal som är utformad för att underlätta lagarbete och effektivisera verksamheten när medlemskapet fortsätter att växa. Organisationen ser fram emot att tillhandahålla utbildning och utbildning via portalen för att påskynda onboarding.

“Vi använder fortfarande Google Spreadsheets för att hålla reda på våra frivilliga, men nu är det dags att gå vidare till en stor samarbetsplattform,” sade han.

Även om det inte finns någon ekonomisk belöning för deltagande, sade Victor att medlemmar ofta drar nytta av möjligheten att bygga erfarenhet inom säkerhet och nätverk med yrkesverksamma i branschen. Victor sa att GDI-stiftelsen också planerar initiativ för att hjälpa dem att göra det.

“Vi har två frivilliga från 2017 i olika åldersgrupper som arbetade inom IT, men hade inte ett värdepappersjobb,” sade han. “De hjälpte aktivt med MongoDB-frågor – en byggde honungskrukor för att upptäcka dålig trafik, och den andra tog ansvaret för sociala medier för att öka samarbetet.”

Idag fungerar båda frivilliga som säkerhetspersonal, med en som tjänar rollen som direktör på ett framstående säkerhetsföretag.

“Du kan bygga ett CV baserat på volontärarbete, så vi föreställer oss något som LinkedIn där du kan spåra en volontärs framsteg,” sa han.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Adblock
    detector