Деонтология взлома/взлома [закрыто]
https://stackoverflow.com/questions/694330
-
22-08-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianВопрос
Допустим, вы недавно обнаружили несколько серьезных уязвимостей на нескольких веб-сайтах, которые активируются в основном в вашей стране и очень сильны на своем рынке.Уязвимости, о которых я говорю, настолько же опасны, как и возможность просматривать интерфейс администратора с привилегиями суперадминистратора.
Что бы вы сделали сейчас?Я думаю о чем-то вроде:
- Сообщите о проблемах в компанию.
- Публично объявить, что в этих приложениях есть дыры в безопасности, но не раскрывать суть уязвимости.
- Дайте компании время решить свои проблемы.(Сколько?)
- После устранения проблемы или истечения льготного периода для исправления (в зависимости от того, что наступит раньше), полностью раскройте уязвимость.
Ребята, что вы думаете?Есть ли у вас какие-либо материалы по этому поводу или опыт, которым вы можете поделиться?
Решение
Разговаривать.К.А.Адвокат.
Это может стать неприятным в зависимости от компании.Говоря «у вас есть xx дней, чтобы исправить это, прежде чем я объявлю об эксплойте», вы по сути говорите «делайте то, что я ожидаю, или я причиню вам много горя».
Другой вопрос: как вы это обнаружили?Использовали ли вы сайт «обычно» или увидели потенциальную дыру и решили проверить, сработает ли он?Это очень важно иметь в виду, особенно если вы планируете установить срок для устранения проблемы.Я не уверен, что говорят законы того места, где вы живете, поэтому, пожалуйста, поговорите с кем-нибудь, кто это знает.
Вы можете получить от них благодарность, немного денег за заключение соглашения о неразглашении (в конце концов, вы просматривали интерфейс администратора), и вы можете получить некоторую похвалу в индустрии безопасности.Но будьте очень, очень осторожны и постарайтесь обратиться за советом к адвокату.
Другие советы
Я думаю, что вы на правильном пути.
Общая тенденция в таких случаях — отправить отчет об ошибке в указанную компанию и дать ей некоторое время в зависимости от серьезности проблемы и оценки времени, необходимого для ее исправления.После этого обычно происходит полное раскрытие информации, если компания не спрашивает вас об ином (о премии?).
Однако, если компания не ответит вам вовремя/не признает, что вы имеете право (я считаю) опубликовать ваши результаты для большего блага.
Что бы вы ни решили сделать, ведите надлежащий учет вашего общения с компанией.Это может помочь избежать непредвиденных обстоятельств.
Проще говоря:
Игнорируй это.
Ваши действия(однако ты нашел это) почти всегда незаконно.Поэтому эта компания может подать на вас в суд и сделать вашу жизнь невыносимой.Подобные вещи происходили и раньше.В большинстве случаев адвокат не сможет вам помочь.
Некоторые люди, не работающие в сфере безопасности, могут со мной не согласиться (он же отрицательный голос) но был там, сделал это.
Наконец, один из способов сделать это правильно: если у вас есть друг или личный контакт, просто поговорите с ним/ней в неформальной обстановке (то, что вы можете позже отрицать и не может быть доказательством), затем он/она сможет поговорить, проверить это и сообщить о своем внутреннем выводе.
Для создания отчетов в коммерческих приложениях с открытым исходным кодом вы можете найти это интересным и полезным: http://www.wiretrip.net/rfp/policy.html -ответственное раскрытие информации- Но это совсем другая история, чем обнаружение уязвимости в действующем веб-сайте/инфраструктуре компании.
Если это коммерческий продукт и вы его реконструировали, то во многих странах он по-прежнему незаконен.Так что даже с продуктом нужно быть осторожным.Недавно такие компании, как Google/MS, начали публично объявлять о том, как сообщать о проблемах безопасности в своих продуктах.
Лично я бы сообщил об этом компании, предоставив им разумный период времени для исправления.Но также предложите им возможность запросить продление срока, если они считают, что это займет больше времени.По истечении этого срока раскройте уязвимость.
Я мог бы подумать о том, чтобы сообщить об этом в государственную охранную организацию.Меня больше всего беспокоит вопрос о том, нужно ли мне сообщать анонимно, учитывая, что вы можете нарушить какой-либо закон, публично раскрывая уязвимость.Это зависит от вашей страны.
Многое зависит от человека, ответственного за указанные уязвимости.Чтобы прикрыть свою задницу, он может преследовать вас в суде.Кроме того, если бы у кого-то был доступ к панели администратора, он также мог бы получить доступ к некоторой частной информации и коммерческой тайне.Слишком много переменных, чтобы быть уверенным.Как уже говорили другие, проконсультируйтесь со своим адвокатом.В некоторых странах также есть юристы, специализирующиеся на компьютерных преступлениях и связанных с ними вопросах, они были бы лучшими.
Год назад я отвечал за пару Linux-серверов, которые постоянно подвергались брутфорс-атакам по SSH.Раньше я отправлял электронные письма большинству администраторов любого IP-адреса с именем типа mail.some_company.com, поскольку это в основном означало скомпрометированную систему.Проверив журналы, я обнаружил IP-адрес компании из моей страны.Недолго думая, я позвонил им и сообщил о проблеме.Ответ их администратора был примерно таким: «Что?!Кто ты?Что вы делаете с нашими серверами?!».
Вы можете рассмотреть возможность сообщить об уязвимости в такую организацию, как Secunia, и попросить их принять меры по раскрытию информации.Они уже делали подобные вещи...
Если в вашей стране есть правительственный регулирующий орган, такой как Федеральная торговая комиссия, сообщите им об этом, а затем забудьте о его существовании.
Если вы подчиняетесь непосредственно компании, сначала вам нужно найти человека, которому вы будете подчиняться.Тогда вам придется разобраться с вопросом «откуда вы это знаете» (+1 к «Поговорить с юристом»).А затем, если вы угрожаете предать огласке, вы можете обнаружить, что местная полиция стучится в вашу дверь с ордером, после чего вас арестуют за вымогательство (+2 к разговору с адвокатом).
Если бы я был на вашем месте, я бы обязательно сообщил об этом в компанию.Если проблема настолько серьезна, как вы упомянули, сообщите о ней, используя самый быстрый доступный способ связи.
Если вам известно какое-то решение, сообщите им об этом.
Вы можете написать общий блог или статью о проблеме и ее решении.Это поможет другим проверить собственную систему.Не раскрывайте ничего о компании или веб-сайте, так как в этом случае у вас могут возникнуть проблемы.
Я бы сначала сообщил о дырах в безопасности компании.Если о них не позаботятся - я объявлю об этом общественности.
