القرصنة/تكسير والأدبيات [مغلقة]

Question

لنفترض أنك اكتشفت مؤخرا بعض نقاط الضعف الرئيسية في اثنين من المواقع التي تنشط أساسا في بلدك و هي قوية جدا في السوق.نقاط الضعف أتحدث عنه هي أسوأ السماح لي تصفح واجهة الادارة مع سوبر امتيازات المسؤول.

ماذا ستفعل الآن ؟ أنا أفكر في شيء ما مثل:

1. تقرير عن مشاكل الشركة.
2. تعلن أن هناك ثغرات أمنية في هذه التطبيقات, ولكن دون الكشف عن استغلال الفعلي.
3. تعطي الشركة الوقت لإصلاح مشاكلها.(كم؟)
4. بعد أن تم إصلاح المشكلة ، أو فترة سماح لتحديد مرت (أيهما يأتي أولا) تكشف الضعف.

ما رأيكم يا رفاق ؟ هل لديك بعض المواد قرأت عن هذا أو تجربة للمشاركة ؟

Answer 1

الحديث.إلى.A.محامي.

هذا مثبت وهذا يتوقف على الشركة.قائلا: "لديك العشرين يوما إلى إصلاح هذا قبل أن يعلن عن استغلال" أنت تقول "لا ما أتوقع, أو سوف يسبب لك الكثير من الحزن".

المسألة الأخرى هي كيف تكتشف من هذا ؟ كنت باستخدام موقع 'عادة' ، أو هل ترى إمكانية حفرة تقرر لمعرفة ما إذا كان يعمل ؟ وهذا مهم جدا أن نأخذ في الاعتبار, خاصة إذا كنت تفكر في وضع حد زمني لإصلاح المشكلة.لست متأكدا ما يقوله القانون حيث كنت تعيش ، لذا يرجى, التحدث إلى شخص ما.

كنت قد ينتهي مع الشكر, بعض النقود من أجل الدخول في التجمع الوطني الديمقراطي (هل بعد كل تصفح واجهة الادارة) و قد تحصل على بعض الفضل في صناعة الأمن.ولكن كن حذرا جدا و حاول طلب المشورة من محام.

Answer 2

أعتقد أنك على الطريق الصحيح.

الاتجاه العام في مثل هذه الحالات أن علة التقرير مع الشركة قال ومنحهم بعض الوقت اعتمادا على شدة مسألة تقدير الوقت المطلوب من أجل الإصلاح.بعد ذلك ، عادة ما يكون هناك كشف كامل إذا كانت الشركة لا أسألك غير ذلك (على قسط؟).

ومع ذلك ، إذا كانت الشركة لا نعود اليكم في وقت/لا نعترف لديك الحق (أعتقد) أن نشر النتائج الخاصة بك من أجل الخير.

كل ما اخترت القيام به ، حافظ على تسجيل الخاصة بك من التواصل مع الشركة.قد يساعد هذا في تجنب ظروف غير متوقعة.

Answer 3

ببساطة:

تجاهل ذلك.

الإجراءات الخاصة بك (ومع ذلك كنت قد وجدت) دائما تقريبا غير قانوني.ولذلك أن الشركة يمكن أن يأخذك المحكمة و جعل حياتك بائسة.الأشياء مماثلة حدثت من قبل.معظم الوقت محام لا يمكن أن تساعدك.

بعض الناس الذين لا يعملون في صناعة الأمن قد لا تتفق معي (الملقب downvote) ولكن حدث لي هذا.

أخيرا طريقة واحدة هذا صحيح, إذا كان لديك صديق هناك أو الاتصال الشخصي فقط غير رسمية الدردشة مع له/لها (شيء يمكنك أن تمنع لاحقا, و لا يمكن أن يكون دليلا) ثم انه/انها يمكن الحديث التحقق من ذلك و تقرير داخلي العثور على.

للإبلاغ عن الاشياء مفتوحة المصدر / التطبيقات التجارية قد تجد هذه مثيرة للاهتمام ومفيدة: http://www.wiretrip.net/rfp/policy.html -الكشف عن المسؤول - ولكن هذا كله قصة أخرى من العثور على ثغرة أمنية في الشركة موقع لايف / البنية التحتية.

إذا كان منتج تجاري و إذا كنت قد عكس هندستها فإنه لا يزال غير قانوني في كثير من البلدان.حتى في المنتج يجب أن تكون حذرا حول ذلك.في الآونة الأخيرة شركات مثل جوجل / MS بدأت لجعل الإعلان العام عن كيفية الإبلاغ عن القضايا الأمنية في منتجاتها.

Answer 4

أنا شخصيا التقرير أن الشركة منحهم بعض الفترة الزمنية معقولة لتصحيح ذلك.ولكن أيضا نقدم لهم خيار طلب تمديد الموعد النهائي إذا كانت تشعر أنه سوف يستغرق وقتا أطول.بعد ذلك الموعد النهائي ، يكشف عن الضعف.

كنت قد تنظر في الإبلاغ عن ذلك إلى الأمن الحكومية في المنظمة.قلقي الرئيسي سيكون ما إذا كنت بحاجة إلى تقرير مجهول ، بالنظر إلى أن كنت قد يكون خرق القانون من خلال الكشف عن ثغرة علنا.ذلك يعتمد على البلد.

Answer 5

الكثير يعتمد على الشخص المسؤول عن وقال نقاط الضعف.لتغطية بلده المؤخر انه قد يذهب بعد في المحكمة.بالإضافة إلى, إذا كان أحد لديه حق الوصول إلى لوحة الادارة ، يمكن أيضا الوصول إلى بعض المعلومات الخاصة والأسرار التجارية.هناك الكثير من المتغيرات للتأكد.كما غيرها من الناس ، استشارة المحامي الخاص بك.في بعض البلدان هناك أيضا المحامين الذين يتخصصون في الكمبيوتر الجريمة والقضايا ذات الصلة ، تلك سيكون أفضل.

قبل عام كنت مسؤولا عن اثنين من خوادم لينكس التي كانت باستمرار للضرب من قبل SSH bruteforce الهجمات.أنا استخدامها لإرسال رسائل البريد الإلكتروني إلى معظم المسؤولين من أي IP التي كان لها اسم مثل mail.some_company.com منذ أن الغالب يعني للخطر.بمجرد التحقق من سجلات لقد وجدت IP من شركة في بلدي المحلية القطرية.مع قليل من التفكير اتصلت بهم إلى تقرير المشكلة.المشرف رد على غرار "ماذا؟!من أنت ؟ ماذا تفعل إلى الخوادم؟!".

Answer 6

هل يمكن النظر في التقارير الضعف إلى منظمة مثل سيكونيا ، ويطلب منهم إلى إدارة الإفصاح.لقد فعلت هذا من قبل...

http://secunia.com/advisories/report_vulnerability/

Answer 7

إذا كان بلدكم قد الحكومية التي تنظم الجسم مثل لجنة التجارة الاتحادية ، تقرير لهم ، ثم ننسى أنه موجود.

إذا كنت التقرير مباشرة إلى الشركة ، عليك أولا أن تجد الشخص أن يقدم إلى.ثم لديك للتعامل مع مسألة "كيف يمكنك أن تعرف هذا" (+1 على التحدث إلى محام).ثم إذا كنت تهدد علانية ، قد تجد الشرطة المحلية يطرق على الباب الخاص بك مع مذكرة تليها الاعتقال والابتزاز (+2 على التحدث إلى محام).

Answer 8

لو كنت في مكانك لكنت بالتأكيد ذهب مع الإبلاغ عن ذلك إلى الشركة.إذا كانت المشكلة خطيرة كما ذكرتم ، ثم تقرير باستخدام أسرع وسائل الاتصال المتاحة.

في حال كنت على بينة من بعض الحل لا تدع لهم معرفة ذلك أيضا.

يمكنك كتابة المعمم بلوق أو مقالة حول المشكلة و الحل.وهذا سوف يساعد الآخرين للتحقق من وجود نظام خاص بها.لا تكشف عن أي شيء عن الشركة أو الموقع كما كنت قد ينتهي في مشاكل بعد ذلك.

Answer 9

كنت أول تقرير الثغرات الأمنية للشركة.إذا أنها لا تأخذ الرعاية من لهم - أود أن يعلن ذلك للجمهور.