Cortando / cracking deontology [fechado]
https://stackoverflow.com/questions/694330
-
22-08-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPergunta
Vamos dizer que você descobriu recentemente algumas das principais vulnerabilidades em um par de sites que ativam principalmente em seu país e são muito poderosos em seu mercado. As vulnerabilidades que estou falando são tão pior como me deixar navegar na interface de administração com privilégios de super administrador.
O que você faria agora? Estou pensando em algo como:
- Relatório os problemas para a empresa.
- publicamente anunciar que existem falhas de segurança para as aplicações, mas sem revelar o real explorar.
- Dar à empresa tempo para corrigir seus problemas. (Quanto?)
- Após o problema tenha sido fixa, ou o período de carência para fixação passou (o que ocorrer primeiro), descrevem totalmente a vulnerabilidade.
O que vocês acham? Você tem alguns materiais para ler mais sobre este ou experiência para partilhar?
Solução
Talk. Para. A. advogado.
Isso pode ficar pegajoso, dependendo da empresa. Ao dizer "você tem xx dias para corrigir isso antes de eu anunciar a explorar", você está basicamente dizendo "faça o que eu espero, ou eu vou causar-lhe muita dor".
A outra questão é, como você descobriu isso? você estava usando o site 'normalmente', ou você ver o potencial para o buraco e decidir para ver se ele trabalhou? Isto é muito importante ter em mente, especialmente se você está considerando a criação de um limite de tempo para corrigir o problema. Eu não sei o que as leis dizem onde você vive, então, por favor, falar com alguém que faz.
Você pode acabar com suas graças, algum dinheiro para entrar em um NDA (que você fez, afinal de contas, navegar na interface de administração) e você pode obter algum crédito na indústria de segurança. Mas, ser muito, muito cuidado e fazer tentativa e procurar o aconselhamento de um advogado.
Outras dicas
Eu acho que você está no caminho certo.
A tendência geral, em tais casos é arquivar um bug-relatório com a empresa disse e dar-lhes algum tempo, dependendo da gravidade da estimativa de emissão e tempo necessário para uma correção. Depois disso, geralmente há uma divulgação completa se a empresa não lhe perguntar de outra forma (de um prémio?).
No entanto, se a empresa não voltar para você no tempo / não reconhece você tem o direito (eu acredito) para publicar seus resultados para o bem maior.
Tudo o que você escolhe fazer, manter um registro adequado das suas comunicações com a empresa. Isso pode ajudar a evitar circunstâncias imprevistas.
Em termos simples:
Ignore-o.
Suas ações ( no entanto você encontrou ) quase sempre ilegal. Por isso que a empresa pode levá-lo ao tribunal e tornar sua vida miserável. material semelhante aconteceu antes. Na maioria das vezes um advogado não pode ajudá-lo.
Algumas pessoas que não trabalham na indústria de segurança não pode concordar comigo ( aka downvote ), mas estive lá, fiz isso.
Finalmente uma maneira de isso corretamente, se você tem um amigo lá ou um contato pessoal apenas ter uma conversa informal com ele / ela ( algo que você pode negar mais tarde, e não pode ser uma evidência ), então ele / ela pode falar verificar isso e relatório como um achado interno.
Para relatar coisas em código aberto / aplicações comerciais que você pode encontrar este interessante e útil: http: //www.wiretrip.net/rfp/policy.html -Responsável disclosure- Mas toda esta outra história do que encontrar uma vulnerabilidade no site Live / infra-estrutura de uma empresa.
Se é um produto comercial e se você engenharia reversa-lo, ainda é ilegal em muitos países. Assim, mesmo em um produto você tem que ter cuidado com isso. Recentemente empresas como a Google / MS começou a fazer anúncio público sobre como relatar problemas de segurança em seus produtos.
Eu, pessoalmente, iria denunciá-lo à empresa dando-lhes algum período de tempo razoável para corrigi-lo. Mas também oferecer-lhes a opção de solicitar uma prorrogação do prazo, se eles sentem que vai demorar mais tempo. Após esse prazo, revelar a vulnerabilidade.
Eu poderia considerar relatá-lo a uma organização de segurança governamental. A minha principal preocupação seria se eu preciso denunciar anonimamente, uma vez que você pode estar violando alguma lei, revelando uma vulnerabilidade publicamente. Depende do seu país.
Depende muito da pessoa que é responsável pela disse vulnerabilidades. Para cobrir seu próprio backside ele pode ir atrás de você no tribunal. Além disso, se um tinha o acesso ao painel de administração, pode-se também ter acessado algumas informações e segredos comerciais privadas. Há apenas muitas variáveis ??para ter certeza. Como outras pessoas já disse, consulte seu advogado. Em alguns países há também advogados que se especializam em questões sobre a criminalidade informática e afins, aqueles seria o melhor.
Um ano atrás eu era responsável por um par de servidores Linux, que foram constantemente agredidas por ataques bruteforce SSH. I utilizado para enviar e-mails para a maioria dos administradores de qualquer IP que tinha um nome como mail.some_company.com desde que principalmente significou um sistema comprometido. Uma vez verificando os logs eu encontrei um IP de uma empresa no meu país local. Com pouco pensamento I telefonado para relatar o problema. A resposta da sua administração foi ao longo das linhas de "O quê ?! Quem é você? O que você está fazendo para os nossos servidores?!".
Você poderia considerar relatar a vulnerabilidade de uma organização como a Secunia, e pedindo-lhes para gerir a divulgação. Eles fizeram este tipo de coisa antes ...
Se o seu país tem um órgão regulador do governo, como a Federal Trade Commission, relatá-lo para eles, e, em seguida, esquecer que ele existia.
Se você relatar diretamente para a empresa, você primeiro tem que encontrar a pessoa de informar. Então você tem que lidar com a questão de "como você sabe disso" (+1 em falar com um advogado). E então, se você ameaçar ir a público, você pode encontrar a polícia local batendo em sua porta com um mandado, seguida de parada por extorsão (+2 em falar com um advogado).
Se eu estivesse no seu lugar, eu teria ido definitivamente com relatando-a para empresa. Se o problema é tão grave como você mencionou, em seguida, informar usando o meio mais rápido de comunicação disponíveis.
No caso de você está ciente de alguns a solução que deixá-los saber que tão bem.
Você pode escrever um blog generalizada ou um artigo sobre o problema ea solução. Isso vai ajudar os outros a verificar lá próprio sistema. Não revele nada sobre a empresa ou o site como você pode acabar em problemas depois.
Eu primeiro relatório, a falhas de segurança para a empresa. Se eles não cuidar deles -. Eu anunciá-la ao público
