해킹/크래킹 신학 [폐쇄

Question

최근에 귀하의 국가에서 주로 활성화되고 시장에서 매우 강력한 몇 가지 웹 사이트에서 몇 가지 주요 취약점을 발견했다고 가정 해 봅시다. 내가 말하는 취약점은 슈퍼 관리자 권한으로 관리자 인터페이스를 탐색 할 수있게하는 것만 큼 악화됩니다.

지금 무엇을 하시겠습니까? 나는 다음과 같은 것을 생각하고 있습니다.

1. 문제를 회사에보고하십시오.
2. 해당 응용 프로그램에는 보안 구멍이 있지만 실제 익스플로잇을 공개하지는 않다고 공개적으로 발표합니다.
3. 회사에 문제를 해결할 시간을주십시오. (얼마나 많이?)
4. 문제가 해결되거나 고치기를위한 유예 기간이 통과 된 후 (우선 오지) 취약점을 완전히 공개합니다.

너희들은 어떻게 생각하세요? 이것에 대해 읽을 자료 나 공유 경험이 있습니까?

Answer 1

말하다. 에게. 변호사.

회사에 따라 끈적 거리게 될 수 있습니다. "당신은 내가 익스플로잇을 발표하기 전에 이것을 고칠 수있는 xx 일이 있습니다"라고 말함으로써, 당신은 기본적으로 "내가 기대하는 것을하십시오.

다른 문제는 어떻게 이것을 발견 했습니까? 사이트를 '정상적으로'사용하고 있었습니까, 아니면 구멍의 잠재력을보고 그것이 작동하는지 확인하기로 결정 했습니까? 특히 문제를 해결하기 위해 시간 제한을 설정하는 것을 고려하는 경우 명심해야합니다. 나는 당신이 사는 곳에서 법이 무엇을 말하는지 잘 모르겠습니다.

당신은 그들의 감사, NDA에 들어가는 현금으로 끝날 수 있습니다 (결국 관리자 인터페이스를 탐색했습니다). 보안 산업에서 약간의 신용을 얻을 수 있습니다. 그러나 매우 조심하고 변호사의 조언을 시도하고 찾으십시오.

Answer 2

나는 당신이 올바른 길을 가고 있다고 생각합니다.

이러한 경우의 일반적인 추세는 해당 회사에 버그 보고서를 제출하고 문제의 심각도와 수정에 필요한 시간 추정치에 따라 시간을주는 것입니다. 그 후에는 회사가 당신에게 달리 묻지 않는다면 (보험료?) 일반적으로 전체 공개가 있습니다.

그러나 회사가 시간에 당신에게 돌아 오지 않으면/당신이 더 큰 이익을 위해 당신의 결과를 게시 할 권리가 있다는 것을 인정하지 않는다면.

무엇을 선택하든 회사와의 커뮤니케이션 기록을 유지하십시오. 이것은 예상치 못한 상황을 피하는 데 도움이 될 수 있습니다.

Answer 3

간단히 말해서:

무시해.

당신의 행동 (그러나 당신은 그것을 발견했습니다) 거의 항상 불법입니다. 그러므로 그 회사는 당신을 법정으로 데려 가서 당신의 삶을 비참하게 만들 수 있습니다. 비슷한 일이 전에 일어났습니다. 대부분의 경우 변호사가 당신을 도울 수 없습니다.

보안 산업에서 일하지 않는 일부 사람들은 나와 동의하지 않을 수 있습니다 (AKA 다운 보트)하지만 거기에 있었어.

마지막으로 한 가지 방법으로, 친구가 있거나 개인적 연락이 있으면 그/그녀와 비공식적 인 대화를 나눕니다 (나중에 거부 할 수 있고 증거가 될 수없는 것) 그런 다음 대화 할 수 있습니다.

오픈 소스 / 상업용 응용 프로그램에 물건을보고하려면이 흥미롭고 도움이 될 수 있습니다. http://www.wiretrip.net/rfp/policy.html - 책임있는 공개- 그러나 회사의 라이브 웹 사이트 / 인프라에서 취약성을 찾는 것 보다이 또 다른 이야기.

상용 제품이고 리버스 엔지니어링 된 경우 여전히 많은 국가에서 불법입니다. 따라서 제품에서도주의해야합니다. 최근 Google / MS와 같은 회사는 제품의 보안 문제를보고하는 방법에 대해 공개 발표를 시작했습니다.

Answer 4

나는 개인적으로 그것을 회사에보고하여 그들에게 그것을 수정하기 위해 합리적인 기간을 제공 할 것입니다. 또한 더 오래 걸릴 것이라고 생각되면 마감일 연장을 요청할 수있는 옵션도 제공합니다. 그 마감일 후에 취약점을 공개하십시오.

정부 보안기구에보고하는 것을 고려할 수 있습니다. 저의 주요 관심사는 당신이 취약성을 공개적으로 공개함으로써 법을 어 기고 있다는 점을 감안할 때 익명으로보고 해야하는지 여부입니다. 그것은 당신의 나라에 달려 있습니다.

Answer 5

상기 취약점을 담당하는 사람에 따라 다릅니다. 자신의 뒷면을 가리기 위해 그는 법정에서 당신을 따라 갈 수 있습니다. 게다가, 관리자 패널에 액세스 할 수 있다면 일부 개인 정보 및 영업 비밀에 액세스 할 수도 있습니다. 확실히 변수가 너무 많습니다. 다른 사람들이 이미 말했듯이 변호사와 상담하십시오. 일부 국가에는 컴퓨터 범죄 및 관련 문제를 전문으로하는 변호사도 있습니다.

1 년 전 저는 SSH Bruteforce 공격으로 끊임없이 타격을 입은 두 개의 Linux 서버를 책임졌습니다. 나는 Mail.some_company.com과 같은 이름이있는 모든 IP의 대부분의 관리자에게 이메일을 보냈습니다. 왜냐하면 그것은 대부분 손상된 시스템을 의미했기 때문입니다. 로그를 확인한 후에는 현지 국가의 회사에서 IP를 찾았습니다. 거의 생각하지 않고 문제를보고하기 위해 전화를 걸었습니다. 그들의 관리자의 응답은 "무엇입니까?! 당신은 누구입니까? 우리 서버에게 무엇을하고 있습니까?!"

Answer 6

Secunia와 같은 조직에 취약성을보고하고 공개를 관리하도록 요청할 수 있습니다. 그들은 전에 이런 종류의 일을 해냈습니다 ...

http://secunia.com/advisories/report_vulnerability/

Answer 7

귀하의 국가에 연방 무역위원회와 같은 정부 규제 기관이 있다면, 그들에게보고 한 다음 그것이 존재한다는 것을 잊어 버리십시오.

회사에 직접보고하면 먼저보고 할 사람을 찾아야합니다. 그런 다음 "어떻게 알고 있습니까?"(변호사와 대화하는 +1)라는 질문을 다루어야합니다. 그리고 당신이 공개하겠다고 위협한다면, 지역 경찰이 영장을 가지고 문을 두드리고, 강탈에 대한 체포 (+2 변호사와 대화)를 발견 할 수 있습니다.

Answer 8

내가 당신의 자리에 있다면, 나는 그것을 회사에보고하는 것을 확실히 갔을 것입니다. 문제가 언급 한 것처럼 심각한 경우 가장 빠른 의사 소통 수단을 사용하여보고하십시오.

일부 솔루션을 알고있는 경우에도 알려주십시오.

일반화 된 블로그 또는 문제 및 솔루션에 대한 기사를 작성할 수 있습니다. 이것은 다른 사람들이 자신의 시스템을 확인하는 데 도움이 될 것입니다. 문제가 발생할 수 있으므로 회사 나 웹 사이트에 대해 공개하지 마십시오.

Answer 9

먼저 보안 구멍을 회사에보고했습니다. 그들이 돌보지 않는다면 - 나는 그것을 대중에게 발표 할 것입니다.