Hacking/cracking deontología [cerrado]

StackOverflow https://stackoverflow.com/questions/694330

  •  22-08-2019
  •  | 
  •  

Pregunta

Digamos que recientemente descubierto algunos de los principales vulnerabilidades en un par de sitios web que activan principalmente en su país y que son muy poderosos en su mercado.Las vulnerabilidades de las que estoy hablando son tan peor como lo que me permite navegar por la interfaz de administración con super privilegios de administrador.

¿Qué te gustaría hacer ahora?Estoy pensando en algo como:

  1. Informe de los problemas para la empresa.
  2. Anunciar públicamente que hay agujeros de seguridad en las aplicaciones, pero sin revelar la real explotar.
  3. Dar a la empresa un tiempo para arreglar sus problemas.(¿Cuánto?)
  4. Después de que el problema ha sido solucionado, o el período de gracia para la fijación ha pasado (lo que ocurra primero), revelar completamente la vulnerabilidad.

¿Ustedes qué piensan?¿Tienes algún material para leer acerca de este o experiencia que compartir?

¿Fue útil?

Solución

Talk. A. A. Abogado.

Esto podría volverse pegajosas dependiendo de la compañía. Al decir "usted tiene xx días para arreglar esto antes de que anuncie la hazaña", que son básicamente diciendo "haz lo que esperaba, o te haré un montón de dolor".

La otra cuestión es, ¿cómo se descubre esto? Estaba usando el sitio 'normalmente', o viste el potencial para el agujero y decide ver si funcionaba? Esto es muy importante a tener en cuenta, especialmente si usted está considerando el establecimiento de un límite de tiempo para solucionar el problema. No estoy seguro de lo que las leyes dicen dónde vive, así que por favor, hablar con alguien que lo hace.

Es posible terminar con sus gracias, algo de dinero para entrar en un acuerdo de confidencialidad (que hizo, después de todo, navegar por la interfaz de administración) y que podría conseguir algo de crédito en el sector de la seguridad. Sin embargo, ser muy, muy cuidado y tratar de buscar el consejo de un abogado.

Otros consejos

Creo que usted está en el camino correcto.

La tendencia general en estos casos es informar de un problema-informe con dicha empresa y darles un poco de tiempo, dependiendo de la gravedad de la estimación tema y el tiempo requerido para una solución. Después de eso, por lo general hay una divulgación completa si la compañía no le pide que de otro modo (por una prima?).

Sin embargo, si la compañía no regresa a tiempo / no reconoce usted tiene el derecho (creo) para publicar sus resultados para el bien mayor.

Todo lo que desea hacer, mantener un registro adecuado de sus comunicaciones con la compañía. Esto puede ayudar a evitar circunstancias imprevistas.

En pocas palabras:

No haga caso de él.

Sus acciones ( sin embargo, lo ha encontrado ) casi siempre ilegal. Por lo tanto, que la empresa puede tomar la cancha y hacer su vida miserable. Similares ocurrió antes. La mayoría de las veces un abogado no le puede ayudar.

Algunas personas que no trabajan en la industria de la seguridad no estén de acuerdo conmigo ( aka downvote ), pero estado allí, hecho eso.

Finalmente, una manera de esto correctamente, si usted tiene un amigo de allá o un contacto personal, sólo tienen una charla informal con él / ella ( algo que se puede negar más tarde, y no puede ser prueba ) entonces él / ella puede hablar mira esto y el informe como un hallazgo interna.

Para informar cosas en las aplicaciones de código abierto / comerciales se puede encontrar este interesante y útil: http: //www.wiretrip.net/rfp/policy.html -responsable revelación- Pero esto toda otra historia que encontrar una vulnerabilidad en vivo sitio web / infraestructura de la compañía.

Si se trata de un producto comercial y si has ingeniería inversa es, sigue siendo ilegal en muchos países. Así que incluso en un producto que ha de tener cuidado con él. Recientemente compañías como Google / MS comenzaron a hacer un anuncio público sobre cómo informar de los problemas de seguridad en sus productos.

Yo personalmente informar de ello a la empresa dándoles un cierto período de tiempo razonable para corregirlo. Sino que también les ofrecerá la posibilidad de solicitar una prórroga si consideran que tomará más tiempo. Después de este plazo, revelar la vulnerabilidad.

Me podría considerar la presentación de informes a una organización de seguridad gubernamental. Mi principal preocupación sería si necesito reportar de forma anónima, teniendo en cuenta que es posible que estar infringiendo alguna ley al revelar públicamente una vulnerabilidad. Depende de su país.

Mucho depende de la persona que es responsable de dicho vulnerabilidades.Para cubrir su propia parte trasera podría ir después de que usted en la corte.Además, si uno tenía el acceso al panel de administración, uno podría también tener acceso a algunos privado de la información y los secretos comerciales.Hay demasiadas variables para estar seguro.Como otros ya han dicho, consulte a su abogado.En algunos países también hay abogados que se especializan en el equipo de delincuencia y problemas relacionados, estos serían los mejores.

Hace un año yo era el responsable de un par de servidores linux, que estaban constantemente maltratada por SSH ataques de fuerza bruta.He utilizado para enviar correos electrónicos a la mayoría de los administradores de cualquier IP que tenía un nombre como mail.some_company.com dado que la mayoría de las significó un sistema comprometido.Una vez que la comprobación de los registros que he encontrado una dirección IP de una empresa en mi país.Con un poco de pensamiento llamé a reportar el problema.Su administración fue la respuesta a lo largo de las líneas de "¿Qué?!¿Quién eres tú?¿Qué están haciendo para nuestros servidores?!".

Se podría considerar la publicación de la vulnerabilidad a una organización como Secunia, y pedirles que gestionar la divulgación. Que han hecho este tipo de cosas antes ...

http://secunia.com/advisories/report_vulnerability/

Si su país tiene un órgano de regulación gubernamental como la Comisión Federal de Comercio, informe a ellos, y luego hay que olvidar que existía.

Si usted reporta directamente a la compañía, primero tiene que encontrar a la persona que informe al. Entonces usted tiene que hacer frente a la cuestión de "¿cómo se sabe esto" (1 de hablar con un abogado). Y entonces, si usted amenaza a salir a bolsa, puede encontrarse con la policía local de llamar a su puerta con una orden, seguida de un paro por extorsión (+2 a hablar con un abogado).

Si yo estuviera en su lugar, habría ido definitivamente con la presentación de informes a la empresa. Si el problema es tan grave como se ha mencionado, a continuación, informar utilizando el medio más rápido de comunicación disponibles.

En caso de que usted está enterado de alguna solución no hacerles saber que también.

Puede escribir un blog generalizada o un artículo sobre el problema y la solución. Esto ayudará a otros a comprobar allí propio sistema. No revelar nada acerca de la empresa o de la página web, ya que puede terminar en problemas a continuación.

Me primer informe de los agujeros de seguridad a la empresa. Si ellos no se hacen cargo de ellos -. Me lo anuncia al público

Licenciado bajo: CC-BY-SA con atribución
No afiliado a StackOverflow
scroll top