Hacking / Knacken deontology [geschlossen]

StackOverflow https://stackoverflow.com/questions/694330

  •  22-08-2019
  •  | 
  •  

Frage

Angenommen, Sie haben vor kurzem einige große Lücken in ein paar Webseiten entdeckt, die vor allem in Ihrem Land aktivieren und sind sehr mächtig in ihrem Markt. Die Sicherheitslücken ich rede sind schlimmer als dass ich das Admin-Interface mit Super-Admin-Rechten sehen.

Was möchten Sie jetzt tun? Ich denke an so etwas wie:

  1. Bericht die Probleme für das Unternehmen.
  2. öffentlich zu, dass es Sicherheitslücken in diesen Anwendungen sind, aber ohne die eigentliche Exploit offen zu legen.
  3. Geben Sie das Unternehmen Zeit, um ihre Probleme zu beheben. (Wie viel?)
  4. Nachdem das Problem behoben wurde oder die Frist für die Fixierung vergangen ist (je nachdem, was zuerst eintritt), vollständig die Verwundbarkeit offen legen.

Was denkt ihr? Haben Sie einige Materialien über diese oder Erfahrung zu teilen?

lesen
War es hilfreich?

Lösung

Google Talk. Zu. A. Rechtsanwalt.

Dies könnte erhalten klebrig je nach Unternehmen. Mit den Worten „Sie haben xx Tage dieses Problem zu beheben, bevor ich den Exploit bekannt geben“, sind Sie im Grunde sagen „tun, was ich erwarte, oder will ich euch viel Leid“.

Die andere Frage ist, wie haben Sie diese entdecken? Hast du die Seite ‚normal‘, oder haben Sie das Potenzial für das Loch zu sehen und entscheiden, um zu sehen, ob es funktioniert hat? Dies ist sehr wichtig, im Auge zu behalten, vor allem wenn Sie eine Frist, erwägen, das Problem zu beheben. Ich bin nicht sicher, was die Gesetze sagen, wo Sie leben, so wenden Sie sich bitte, mit jemandem zu sprechen, der tut.

Sie können mit ihrem Dank am Ende, etwas Bargeld in einen NDA für die Eingabe (ja, nach allem, durchsuchen Sie das Admin-Interface) und Sie könnten einen Kredit in der Sicherheitsindustrie erhalten. Aber sehr, sehr vorsichtig und versuchen und den Rat eines Anwalts einholen.

Andere Tipps

Ich glaube, Sie auf dem richtigen Weg sind.

Der allgemeine Trend ist in solchen Fällen einen Bug-Report mit der genannten Firma zu archivieren und sie einige Zeit in Abhängigkeit von der Schwere des Problems und Zeitschätzung erforderlich für eine Korrektur geben. Danach ist es in der Regel eine vollständige Offenlegung, wenn die Firma, die Sie sonst nicht fragen (eine Prämie?).

Allerdings, wenn das Unternehmen nicht zurück zu Ihnen in der Zeit nicht erhalten / nicht anerkennt Sie das Recht hat (ich glaube) Ergebnisse für mehr gut zu veröffentlichen.

Was auch immer Sie tun wählen, eine richtige Aufzeichnung Ihrer Kommunikation mit dem Unternehmen zu halten. Dies kann helfen, unvorhergesehene Umstände zu vermeiden.

Einfach gesagt:

Ignorieren Sie es.

Ihre Aktionen ( aber haben Sie fanden es ) fast immer illegal. Deshalb, dass Unternehmen können Sie das Gericht nehmen und Ihr Leben unglücklich machen. Ähnliche Sachen geschahen vor. Die meiste Zeit ein Anwalt kann Ihnen nicht helfen.

Einige Menschen, die nicht in Sicherheitsgewerbe möglicherweise nicht mit mir ( aka downvote ) zustimmen, aber es ist, getan.

Schließlich ein Weg, um dies richtig, wenn Sie einen Freund bekam dort oder ein persönlicher Kontakt haben nur ein informelles Gespräch mit ihm / ihr ( etwas, das man später leugnen kann, und kein Beweis sein kann ), dann kann er / sie diese heraus überprüfen und berichten wie eine interne Feststellung sprechen.

Für Sachen in der Open-Source / kommerzielle Anwendungen Berichterstattung finden Sie vielleicht diese interessant und nützlich: http: //www.wiretrip.net/rfp/policy.html -Verantwortlich disclosure- Aber dieser ganze andere Geschichte als eine Schwachstelle in einer Firma Live-Website / Infrastruktur zu finden.

Wenn es ein kommerzielles Produkt ist, und wenn Sie es umgekehrt entwickelt haben, ist es immer noch in vielen Ländern verboten. So auch in einem Produkt haben Sie vorsichtig, es zu sein. Kürzlich Unternehmen wie Google / MS begannen über die öffentliche Ankündigung zu machen, wie Sicherheitsprobleme in ihren Produkten zu melden.

Ich persönlich würde es das Unternehmen berichtet, ihnen einig angemessene Frist zu geben, sie zu korrigieren. Aber bieten sie auch die Möglichkeit, eine Fristverlängerung zu beantragen, wenn sie es fühlen wird länger dauern. Nach Ablauf dieser Frist, offenbart die Verwundbarkeit.

Ich halte könnte es zu einer staatlichen Sicherheitsorganisation berichten. Meine größte Sorge wäre, ob ich anonym melden müssen, da Sie einig Gesetz zu brechen könnten öffentlich eine Schwachstelle durch eine Veröffentlichung. Es hängt von Ihrem Land.

Eine Menge hängt von der Person, die für die Schwachstellen verantwortlich ist. Zu seiner eigenen Rückseite zu bedecken könnte er, nachdem Sie vor Gericht gehen. Außerdem, wenn man den Zugriff auf das Admin-Panel hatte, hätte man auch einige private Informationen und Geschäftsgeheimnisse abgerufen. Es gibt einfach zu viele Variablen, um sicher zu sein. Wie andere Leute schon gesagt haben, fragen Sie Ihren Anwalt. In einigen Ländern gibt es auch Anwälte, die in Computer-Kriminalität und damit zusammenhängende Fragen spezialisiert sind, würden diejenigen, die am besten sein.

Vor einem Jahr war ich für ein paar Linux-Servern verantwortlich, die von SSH Brute-Force-Angriffen immer wieder zerschlagen wurde. Früher habe ich E-Mails an den meisten Administratoren von jedem IP zu senden, die einen Namen wie mail.some_company.com hatten, da diese meist ein gehacktes System gemeint. Sobald die Überprüfung der Protokolle habe ich eine IP von einer Firma in meinem lokalen Land gefunden. Mit wenig Gedanken rief ich sie das Problem zu melden. Ihre Admin-Antwort war entlang der Linien von „Was ?! Wer sind Sie? Was machst du auf unsere Server?!“.

Sie könnte in Erwägung ziehen, die Anfälligkeit für eine Organisation wie Secunia berichtet, und bat sie, die Offenlegung zu verwalten. Sie haben diese Art der Sache getan, bevor ...

http://secunia.com/advisories/report_vulnerability/

Wenn Ihr Land eine Regierung Regulierung der Körper wie die Federal Trade Commission hat, melden Sie es ihnen, und dann vergessen, dass es existiert.

Wenn Sie direkt an das Unternehmen zu berichten, müssen Sie zuerst die Person finden zu berichten. Dann müssen Sie sich mit der Frage beschäftigen, „wie Sie dies wissen“ (+1 auf Sprechen Sie mit einem Rechtsanwalt). Und dann, wenn Sie Ihnen die Öffentlichkeit zu gehen drohen, könnten Sie die örtliche Polizei an der Tür für Erpressung mit einem Haftbefehl, gefolgt von Verhaftung finden Klopfen (+2 auf Sprechen Sie mit einem Rechtsanwalt).

Wenn ich an deiner Stelle wäre, würde ich auf jeden Fall mit Berichterstattung es Unternehmen gegangen. Wenn das Problem so ernst ist, wie Sie erwähnt haben, dann melden sie das schnellste Kommunikationsmittel zur Verfügung verwenden.

Falls Sie irgendeine Lösung bewusst sie, dass auch wir wissen lassen.

Sie können eine generali Blog oder einen Artikel über das Problem und die Lösung schreiben. Dies hilft anderen, dort ein eigenes System zu überprüfen. Sie nichts über das Unternehmen offen legen oder auf der Website, wie Sie dann in Problemen können am Ende.

Ich würde zuerst die Sicherheitslücken des Unternehmens berichten. Wenn sie sich um sie kümmern nicht. - Ich es der Öffentlichkeit bekannt geben würde

Lizenziert unter: CC-BY-SA mit Zuschreibung
Nicht verbunden mit StackOverflow
scroll top