Déontologie piratage / craquage [fermée]

StackOverflow https://stackoverflow.com/questions/694330

  •  22-08-2019
  •  | 
  •  

Question

Disons que vous avez récemment découvert quelques vulnérabilités majeures dans quelques sites qui activent principalement dans votre pays et sont très puissants sur leur marché. Les vulnérabilités dont je parle sont aussi pires que moi pouvez parcourir l'interface d'administration avec des super privilèges d'administrateur.

Que feriez-vous maintenant? Je pense à quelque chose comme:

  1. Signaler les problèmes à la société.
  2. annoncer publiquement qu'il ya des failles de sécurité dans les applications, mais sans révéler le véritable exploit.
  3. Donner le temps de l'entreprise pour résoudre ses problèmes. (Combien?)
  4. Une fois le problème a été corrigé, ou la période de grâce pour la fixation est passé (selon la première éventualité), divulguer pleinement la vulnérabilité.

Qu'est-ce que vous en pensez? Avez-vous des matériaux à lire à ce sujet ou expérience à partager?

Était-ce utile?

La solution

Talk. À. A. Avocat.

Cela pourrait devenir collante selon la compagnie. En disant « vous avez xx jours pour corriger cela avant que je vous annonce l'exploit », vous dites en gros « fais ce que je pense, ou je vous causer beaucoup de chagrin ».

L'autre question est, comment avez-vous découvert cela? Avez-vous d'utiliser le site « normalement », ou avez-vous vu le potentiel du trou et de décider de voir si cela a fonctionné? Ceci est très important de garder à l'esprit, surtout si vous envisagez de fixer une limite de temps pour résoudre le problème. Je ne sais pas ce que disent les lois où vous vivez, alors s'il vous plaît, parlez à quelqu'un qui le fait.

Vous pourriez vous retrouver avec leurs remerciements, un peu d'argent pour entrer dans un NDA (vous avez fait, après tout, parcourir l'interface d'administration) et vous pourriez obtenir un certain crédit dans l'industrie de la sécurité. Mais, être très, très prudent et ne pas essayer et demander l'avis d'un avocat.

Autres conseils

Je pense que vous êtes sur la bonne voie.

La tendance générale dans de tels cas est de déposer un rapport de bug avec ladite société et leur donner un peu de temps en fonction de la gravité de la question et une estimation du temps nécessaire pour une solution. Après cela, il y a généralement une divulgation complète si la société ne vous demande pas autrement (pour une prime?).

Toutefois, si la société ne soit pas de nouveau à vous dans le temps / ne reconnaît pas que vous avez le droit (je crois) de publier vos résultats pour plus grand bien.

Tout ce que vous choisissez de le faire, maintenir un relevé de vos communications avec la société. Cela peut aider à éviter des circonstances imprévues.

Il suffit de mettre:

L'ignorer.

Vos actions ( mais vous l'avez trouvé ) presque toujours illégale. Par conséquent, cette société peut vous emmener au tribunal et vous rendre la vie misérable. Similaires est arrivé avant. La plupart du temps un avocat ne peut pas vous aider.

Certaines personnes qui ne travaillent pas dans l'industrie de la sécurité pourraient ne pas être d'accord avec moi ( aka downvote ) mais été là, fait cela.

Enfin une façon à ce bien, si vous avez un ami là-bas ou un contact personnel ont juste une conversation informelle avec lui / elle ( quelque chose que vous pouvez niez plus tard, et ne peut pas être une preuve ) alors il / elle peut parler vérifier cela et signaler comme une constatation interne.

Pour des rapports choses dans les applications de sources commerciales / ouvertes que vous pourriez trouver cela intéressant et utile: http: //www.wiretrip.net/rfp/policy.html -Responsable disclosure- Mais toute cette autre histoire que de trouver une vulnérabilité dans le site web en direct / infrastructure d'une entreprise.

Si c'est un produit commercial et si vous avez de l'ingénierie inverse, il est toujours illégal dans de nombreux pays. Ainsi, même dans un produit que vous avez à faire attention à ce sujet. Récemment entreprises comme Google / MS ont commencé à faire l'annonce publique sur la façon de signaler les problèmes de sécurité dans leurs produits.

Personnellement, je le signaler à la société en leur donnant une certaine période de temps raisonnable pour la corriger. Mais aussi leur offrir la possibilité de demander une prolongation du délai si elles estiment qu'il faudra plus de temps. Passé ce délai, divulguer la vulnérabilité.

Je pourrais envisager de faire rapport à une organisation de sécurité gouvernementale. Ma principale préoccupation est de savoir si je dois signaler de manière anonyme, étant donné que vous pourriez enfreindre une loi en révélant une vulnérabilité publique. Cela dépend de votre pays.

Beaucoup dépend de la personne qui est responsable de ces vulnérabilités. Pour couvrir son dos, il pourrait aller après vous en cour. D'ailleurs, si l'on avait l'accès au panneau d'administration, on aurait également pu accéder quelques secrets d'information privées et commerciales. Il y a trop de variables pour être sûr. Comme d'autres l'ont déjà dit, consultez votre avocat. Dans certains pays, il y a aussi des avocats qui se spécialisent dans la criminalité informatique-et questions connexes, ce seraient les meilleurs.

Il y a un an j'étais responsable d'un couple de serveurs Linux, constamment malmené par les attaques SSH bruteforce. Je l'habitude d'envoyer des courriels à la plupart des admins de tout IP qui avait un nom comme mail.some_company.com depuis que la plupart signifiait un système compromis. Une fois la vérification des journaux que j'ai trouvé une adresse IP d'une entreprise dans mon pays local. Avec peu de réflexion, je leur ai téléphoné pour signaler le problème. Leur réponse admin était le long des lignes de « Quoi ?! Qui êtes-vous? Que faites-vous à nos serveurs! ».

Vous pouvez envisager de signaler la vulnérabilité à une organisation telle que Secunia, et en leur demandant de gérer la divulgation. Ils ont fait ce genre de chose avant ...

http://secunia.com/advisories/report_vulnerability/

Si votre pays dispose d'un organisme de réglementation du gouvernement, comme la Federal Trade Commission, signalez-les, puis oublier qu'il existait.

Si vous rapportez directement à l'entreprise, vous devez d'abord trouver la personne de faire rapport à. Ensuite, vous devez faire face à la question de savoir « comment savez-vous » (+1 sur parler à un avocat). Et puis, si vous vous menacez de rendre public, vous trouverez peut-être la police locale frapper à votre porte avec un mandat, suivie d'un arrêt pour extorsion de fonds (2 sur parler à un avocat).

Si j'étais à votre place, je serais certainement allé avec le signaler à l'entreprise. Si le problème est aussi grave que vous avez mentionné, puis un rapport en utilisant les moyens de communication disponibles les plus rapides.

Si vous êtes au courant de quelque solution ne leur faire savoir que aussi bien.

Vous pouvez écrire un blog généralisé ou un article sur le problème et la solution. Cela aidera les autres à vérifier leur propre système. Ne divulguer quoi que ce soit sur la société ou sur le site que vous pouvez vous retrouver dans les problèmes alors.

Je premier rapport les failles de sécurité à la société. Si elles ne prennent pas soin d'eux -. Je l'annoncer au public

Licencié sous: CC-BY-SA avec attribution
Non affilié à StackOverflow
scroll top