Hacking / cracking deontologia [chiusa]

StackOverflow https://stackoverflow.com/questions/694330

  •  22-08-2019
  •  | 
  •  

Domanda

Diciamo che recentemente scoperto alcune importanti vulnerabilità in un paio di siti che attivano prevalentemente nel vostro paese e sono molto potenti nel loro mercato. Le vulnerabilità di cui sto parlando sono i peggio, come lasciarmi in rassegna l'interfaccia di amministrazione con i privilegi di super amministratore.

Cosa faresti oggi? Sto pensando a qualcosa di simile:

  1. Segnala i problemi alla società.
  2. annunciare pubblicamente che non ci siano buchi di sicurezza in tali applicazioni, ma senza rivelare il vero exploit.
  3. Dare il tempo all'azienda di risolvere i suoi problemi. (Quanto?)
  4. Dopo che il problema è stato risolto, o il periodo di grazia per il fissaggio è passato (quello che viene prima), divulgare completamente la vulnerabilità.

Che ne pensate? Avete alcuni materiali da leggere su questo o esperienza da condividere?

È stato utile?

Soluzione

Talk. Per. A. Avvocato.

Questo potrebbe diventare appiccicoso a seconda della compagnia. Dicendo "devi xx giorni per risolvere questo prima di annunciare l'exploit", si sono fondamentalmente dicendo "faccio quello che mi aspetto, o vi farò un sacco di dolore".

L'altra questione è, come hai scoperto questo? Era in uso al sito 'normalmente', o hai visto il potenziale per il foro e decide di vedere se ha funzionato? Questo è molto importante da tenere a mente, soprattutto se si stanno prendendo in considerazione la fissazione di un limite di tempo per risolvere il problema. Non sono sicuro di ciò che le leggi dicono in cui si vive, quindi per favore, parlare con qualcuno che lo fa.

Si potrebbe finire con le loro grazie, un po 'di denaro per entrare in un NDA (che hai fatto, dopo tutto, sfogliare l'interfaccia di amministrazione) e si potrebbe ottenere qualche credito nel settore della sicurezza. Ma, essere molto, molto attenti e cercare di chiedere il parere di un legale.

Altri suggerimenti

Credo che siete sulla strada giusta.

La tendenza generale in questi casi è quello di aprire un bug report con la suddetta società e dare loro un po 'di tempo a seconda della gravità della stima problema e il tempo necessario per una correzione. Dopo di che, di solito c'è una divulgazione completa, se l'azienda non chiederà altro modo (per un premio?).

Tuttavia, se l'azienda non tornare a voi nel tempo / non riconosce di avere il diritto (credo) di pubblicare i risultati per un bene più grande.

Qualunque cosa scegliate di fare, mantenere una corretta registrazione delle vostre comunicazioni con la società. Questo può aiutare a evitare circostanze impreviste.

In poche parole:

ignorarlo.

Le vostre azioni ( ma lo avete trovato ) quasi sempre illegale. Pertanto tale società può prendere il tennis e rendere la vita miserabile. roba simile è accaduto prima. Il più delle volte un avvocato non può aiutare.

Alcune persone che non lavorano nel settore della sicurezza potrebbero non essere d'accordo con me ( aka downvote ), ma c'è stato, fatto.

Finalmente un modo per questo correttamente, se hai un amico laggiù o un contatto personale semplicemente avere una chiacchierata informale con lui / lei ( qualcosa che si può negare tardi, e non può essere la prova ) poi lui / lei può parlare check this out e la relazione come un reperto interna.

Per segnalare roba in applicazioni open source / commerciali si potrebbe trovare questo interessante e utile: http: //www.wiretrip.net/rfp/policy.html -Responsabile disclosure- Ma questa tutta un'altra storia che trovare una vulnerabilità in una società in diretta web / infrastrutture.

Se è un prodotto commerciale e se hai reverse engineering, è ancora illegale in molti paesi. Quindi, anche in un prodotto che hai di fare attenzione su di esso. Recentemente le aziende come Google / MS ha iniziato a fare l'annuncio pubblico su come segnalare i problemi di sicurezza nei loro prodotti.

Io personalmente segnalarlo alla società dando loro un certo periodo di tempo ragionevole per correggerla. Ma anche offrire loro la possibilità di richiedere una proroga del termine se ritengono che ci vorrà più tempo. Dopo tale termine, rivelare la vulnerabilità.

potrei prendere in considerazione la segnalazione ad un'organizzazione di sicurezza governativa. La mia preoccupazione principale sarebbe se ho bisogno di segnalare in modo anonimo, dato che si può essere infrangere qualche legge rivelando una vulnerabilità pubblicamente. Dipende dal vostro paese.

Un sacco dipende dalla persona che è responsabile per detti vulnerabilità. Per coprire il suo didietro che potrebbe andare dopo in tribunale. Inoltre, se si aveva l'accesso al pannello di amministrazione, si potrebbe anche avere accesso alcune informazioni e segreti commerciali privati. Ci sono troppe variabili per essere sicuri. Come altri hanno già detto, consultare il proprio avvocato. In alcuni paesi ci sono anche avvocati specializzati in informatica-crimine e le questioni connesse, quelli sarebbero i migliori.

Un anno fa ero responsabile di un paio di server Linux, che sono stati costantemente colpita da attacchi bruteforce SSH. Ho usato per inviare e-mail alla maggior parte amministratori di qualsiasi IP che aveva un nome come mail.some_company.com dal momento che la maggior parte significava un sistema compromesso. Una volta che controllando i log ho trovato un IP da una società nel mio paese. Con po 'di pensiero li ho telefonato per segnalare il problema. La loro risposta di amministrazione è stato lungo le linee di "Cosa ?! Chi sei? Cosa stai facendo per i nostri server?!".

Si potrebbe prendere in considerazione segnalato la vulnerabilità alle un'organizzazione come Secunia, e chiedendo loro di gestire la comunicazione. Hanno fatto questo genere di cose prima di ...

http://secunia.com/advisories/report_vulnerability/

Se il vostro paese ha un corpo che regola di governo, come la Federal Trade Commission, segnalarlo a loro, e poi dimenticare che esistesse.

Se si riporta direttamente alla società, è necessario prima di trovare la persona a riferire al. Poi bisogna fare i conti con la questione del "come fai a sapere questo" (1 su parlare con un avvocato). E poi, se si minacci di andare pubblico, si potrebbe trovare la polizia locale bussare alla tua porta con un mandato, seguita da arresto per estorsione (+2 su parlare con un avvocato).

Se fossi al tuo posto, mi sarei sicuramente andato con la segnalazione alla società. Se il problema è così grave come si è detto, poi riferire utilizzando i mezzi di comunicazione più veloce disponibile.

Nel caso in cui siete a conoscenza di qualche soluzione non far loro sapere che pure.

È possibile scrivere un blog generalizzata o di un articolo sul problema e la soluzione. Questo aiuterà gli altri a controllare lì proprio sistema. Non rivelare nulla circa l'azienda o il sito web, come si può finire in problemi allora.

Mi piacerebbe prima relazione i buchi di sicurezza per l'azienda. Se non si prendono cura di loro -. Mi piacerebbe annunciare al pubblico

Autorizzato sotto: CC-BY-SA insieme a attribuzione
Non affiliato a StackOverflow
scroll top