1. дома
  2. Вопрос и ответ
  3. Взлом/дезинтеграция взлома

Взлом/дезинтеграция взлома

2009-03-29 3 views
9

Предположим, вы недавно обнаружили некоторые основные уязвимости на нескольких веб-сайтах, которые активируются в основном в вашей стране и очень мощны на их рынке. Уязвимости, о которых я говорю, хуже, чем позволить мне просматривать интерфейс администратора с привилегиями супер администратора.Взлом/дезинтеграция взлома

Что вы будете делать сейчас? Я думаю о чем-то вроде:

  1. Сообщите о неполадках компании.
  2. Публично объявить, что в этих приложениях есть дыры в безопасности, но не раскрывает фактический эксплойт.
  3. Дайте компании время для решения своих проблем. (Сколько?)
  4. После устранения проблемы или истечения льготного периода для фиксации (в зависимости от того, что наступит раньше) полностью раскрывайте эту уязвимость.

Что вы, ребята, думаете? У вас есть какие-то материалы, чтобы прочитать об этом или поделиться ими?

источник

2009-03-29 Ionuț G. Stan

ответ

18

Обсуждение. Для. Юрист.

Это может привести к липкости в зависимости от компании.Говоря «у вас есть xx дней, чтобы исправить это, прежде чем я объявлю об эксплойте», вы в основном говорите «делайте то, что я ожидаю, или я причиню вам много горя».

Другой вопрос: как вы это узнали? Вы использовали сайт «нормально», или вы видели потенциал дыры и решили посмотреть, сработало ли это? Это очень важно иметь в виду, особенно если вы планируете установить срок, чтобы исправить проблему. Я не уверен, что законы говорят, где вы живете, поэтому, пожалуйста, поговорите с тем, кто это делает.

Возможно, вы получите благодарность, наличные деньги за внесение в NDA (вы, в конце концов, просмотрите интерфейс администратора), и вы можете получить кредит в индустрии безопасности. Но будьте очень осторожны и старайтесь обратиться за советом к адвокату.

источник

2009-03-29 11:11:04

5

Я думаю, что вы на правильном пути.

Общая тенденция в таких случаях заключается в предоставлении отчета об ошибке с указанной компанией и предоставлении им некоторого времени в зависимости от серьезности проблемы и оценки времени, необходимых для исправления. После этого, как правило, раскрывается полная информация, если компания не просит вас об обратном (за премию?).

Однако, если компания не вернется к вам вовремя/не признает, что у вас есть право (я считаю) опубликовать ваши результаты для большего блага.

Независимо от того, что вы решите сделать, вести надлежащую запись ваших сообщений с компанией. Это может помочь избежать непредвиденных обстоятельств.

источник

2009-03-29 08:52:01 dirkgently

+0

Во многих странах вы не могут молчать, если вы знаете о вещах, которые могут причинить вред потребителям/широкую общественности. Поэтому, если компания не исправляет проблему в течение _reasobale_ (или даже не связывается с вами), вы можете опубликовать эту информацию. – Jacco

1

Я бы сначала сообщил о безопасности в компании. Если они не позаботятся о них, я бы объявил об этом общественности.

источник

2009-03-29 08:52:05

1

Если бы я был на вашем месте, я бы определенно пошел с сообщением об этом компании. Если проблема такая же серьезная, как вы упомянули, сообщите об этом, используя самые быстрые средства связи.

Если вы знаете о каком-либо решении, сообщите им об этом.

Вы можете написать общий дневник или статью о проблеме и решении проблемы. Это поможет другим проверить свою систему. Не раскрывайте ничего о компании или веб-сайте, так как в конечном итоге вы можете столкнуться с проблемами.

источник

2009-03-29 08:52:44 danish

3

Я лично сообщу об этом компании, предоставив им некоторое разумное время для ее исправления. Но также предлагайте им возможность запросить продление срока, если они считают, что это займет больше времени. После этого срока раскрывайте уязвимость.

Я мог бы сообщить об этом в правительственную организацию безопасности. Моя основная забота заключается в том, должен ли я анонимно сообщать, учитывая, что вы можете нарушить некоторые законы, публично раскрыв уязвимость. Это зависит от вашей страны.

источник

2009-03-29 08:53:40 AaronLS

2

Если ваша страна имеет орган регулирования правительства, такой как Федеральная комиссия по торговле, сообщите об этом им, а затем забудьте, что она существует.

Если вы сообщаете непосредственно в компанию, сначала вам нужно найти человека, с которым следует отчитываться. Тогда вам придется иметь дело с вопросом: «Откуда вы это знаете» (+1 «Поговорите с адвокатом»). И тогда, если вы угрожаете публике, вы можете обнаружить, что местная полиция стучит в вашу дверь с ордером, а затем арестован за вымогательство (+2 на разговоре с адвокатом).

источник

2009-03-29 12:06:31 kdgregory

4

Проще говоря:

Игнорируйте его.

Ваши действия (однако вы нашли его) почти всегда незаконным. Поэтому эта компания может принять вас в суд и сделать вашу жизнь несчастной. Подобное происходило раньше. В большинстве случаев адвокат не может вам помочь.

Некоторые люди, которые не работают в сфере безопасности, могут не согласиться со мной (aka downvote), но были там, сделали это.

Наконец-то, если у вас есть друг или личный контакт, у вас есть неофициальный чат с ним (что-то, что вы можете отрицать позже, и не может быть доказательством), тогда он/она может поговорить, проверить это и сообщить, как внутреннее открытие.

Для публикации информации в открытых источниках/коммерческих приложениях вы можете найти это интересное и полезное: http://www.wiretrip.net/rfp/policy.html -ответственное раскрытие. Но это совсем другая история, чем обнаружение уязвимости на веб-сайте или инфраструктуре компании.

Если это коммерческий продукт, и если вы изменили его, он по-прежнему является незаконным во многих странах. Поэтому даже в продукте вы должны быть осторожны. Недавно такие компании, как Google/MS, начали публиковать объявления о том, как сообщать о проблемах безопасности в своих продуктах.

источник

2009-03-29 12:26:16

3

Многое зависит от того, кто несет ответственность за указанные уязвимости. Чтобы покрыть свою спину, он мог пойти за вами в суде. Кроме того, если бы у кого-то был доступ к панели администратора, можно было бы также получить доступ к частной информации и секретам торговли. Есть слишком много переменных, чтобы быть уверенным. Как уже говорили другие люди, проконсультируйтесь с вашим адвокатом. В некоторых странах существуют также юристы, специализирующиеся на компьютерных преступлениях и связанных с ними вопросах, которые были бы лучшими.

Год назад я был ответственным за пару серверов linux, которые постоянно были избиты атаками SSH bruteforce. Я использовал для отправки писем большинству администраторов любого IP-адреса, который имел имя, например mail.some_company.com, поскольку это в основном означало взломанную систему.После проверки журналов я нашел IP-адрес от компании в моей стране. С небольшими размышлениями я позвонил им, чтобы сообщить о проблеме. Ответ их админа был таким же, как «Что? Кто ты? Что ты делаешь с нашими серверами ?!».

источник

2009-03-29 12:47:05

+0

Суета и гордость админов - самые большие недостатки безопасности! – Rook

3

Вы можете подумать о том, чтобы сообщить об этой уязвимости в организацию, такую ​​как Secunia, и попросить их управлять раскрытием. Они сделали такую ​​вещь перед ...

http://secunia.com/advisories/report_vulnerability/

источник

2009-03-29 14:13:47

Смежные вопросы

 Смежные вопросы