1. Trang chủ
  2. Câu hỏi và trả lời
  3. Hacking/cracking deontology

Hacking/cracking deontology

2009-03-29 15 views
9

Giả sử gần đây bạn đã phát hiện ra một số lỗ hổng lớn trong một số trang web kích hoạt chủ yếu ở quốc gia của bạn và rất mạnh mẽ trên thị trường của họ. Các lỗ hổng mà tôi đang nói đến là tồi tệ hơn khi cho phép tôi duyệt giao diện quản trị với các đặc quyền quản trị viên cấp cao.Hacking/cracking deontology

Bạn sẽ làm gì bây giờ? Tôi đang nghĩ về điều gì đó như:

  1. Báo cáo sự cố cho công ty.
  2. Công khai thông báo rằng có lỗ hổng bảo mật trong các ứng dụng đó, nhưng không tiết lộ khai thác thực tế.
  3. Dành thời gian cho công ty khắc phục sự cố. (Bao nhiêu?)
  4. Sau khi sự cố đã được khắc phục, hoặc thời gian gia hạn để sửa chữa đã trôi qua (tùy điều kiện nào đến trước), hãy tiết lộ đầy đủ lỗ hổng.

Các bạn nghĩ sao? Bạn có một số tài liệu để đọc về điều này hoặc kinh nghiệm để chia sẻ?

Nguồn

2009-03-29 Ionuț G. Stan

Trả lời

18

Nói chuyện. Đến. Một luật sư.

Điều này có thể bị dính tùy thuộc vào công ty.Bằng cách nói "bạn có xx ngày để sửa lỗi này trước khi tôi công bố khai thác", về cơ bản bạn đang nói "làm những gì tôi mong đợi, hoặc tôi sẽ khiến bạn rất đau buồn".

Vấn đề khác là, bạn khám phá ra điều này như thế nào? Bạn có sử dụng trang web 'bình thường' hay bạn thấy tiềm năng của lỗ và quyết định xem liệu nó có hiệu quả không? Điều này rất quan trọng cần lưu ý, đặc biệt nếu bạn đang cân nhắc việc đặt giới hạn thời gian để khắc phục vấn đề. Tôi không chắc chắn những gì luật pháp nói nơi bạn sống, vì vậy xin vui lòng, nói chuyện với một người nào đó.

Bạn có thể kết thúc với lời cảm ơn của họ, một số tiền để tham gia vào một NDA (bạn đã làm, sau khi tất cả, duyệt giao diện quản trị) và bạn có thể nhận được một số tín dụng trong ngành công nghiệp bảo mật. Nhưng, rất, rất cẩn thận và cố gắng tìm kiếm lời khuyên của một luật sư.

Nguồn

2009-03-29 11:11:04

5

Tôi nghĩ bạn đang đi đúng hướng.

Xu hướng chung trong trường hợp này là gửi báo cáo lỗi cho công ty đó và cho họ một thời gian tùy thuộc vào mức độ nghiêm trọng của vấn đề và ước tính thời gian cần thiết để sửa chữa. Sau đó, thường có một công bố đầy đủ nếu công ty không yêu cầu bạn khác (đối với phí bảo hiểm?).

Tuy nhiên, nếu công ty không hồi đáp kịp thời/không công nhận bạn có quyền (tôi tin) để xuất bản kết quả của bạn để có lợi hơn.

Dù bạn chọn làm gì, hãy lưu giữ hồ sơ liên lạc phù hợp với công ty của bạn. Điều này có thể giúp tránh trường hợp không lường trước được.

Nguồn

2009-03-29 08:52:01 dirkgently

+0

Ở nhiều nước bạn không được phép để giữ im lặng nếu bạn biết về điều đó có thể gây tổn hại cho người tiêu dùng/công chúng nói chung. Vì vậy, nếu công ty không khắc phục sự cố trong thời gian _reasobale_ (hoặc thậm chí không bận tâm liên hệ với bạn), bạn có thể xuất bản thông tin. – Jacco

1

Lần đầu tiên tôi báo cáo các lỗ hổng bảo mật cho công ty. Nếu họ không chăm sóc cho họ - tôi sẽ công bố nó cho công chúng.

Nguồn

2009-03-29 08:52:05

1

Nếu tôi đã ở vị trí của bạn, tôi chắc chắn sẽ đi với báo cáo cho công ty. Nếu vấn đề là nghiêm trọng như bạn đã đề cập, sau đó báo cáo bằng cách sử dụng các phương tiện truyền thông nhanh nhất có sẵn.

Trong trường hợp bạn biết một số giải pháp, hãy cho họ biết điều đó.

Bạn có thể viết blog tổng quát hoặc bài viết về sự cố và giải pháp. Điều này sẽ giúp người khác kiểm tra có hệ thống riêng. Không tiết lộ bất cứ điều gì về công ty hoặc trang web như bạn có thể sẽ gặp phải vấn đề sau đó.

Nguồn

2009-03-29 08:52:44 danish

3

Cá nhân tôi sẽ báo cáo cho công ty cung cấp cho họ khoảng thời gian hợp lý để sửa chữa nó. Nhưng cũng cung cấp cho họ tùy chọn yêu cầu gia hạn thời hạn nếu họ cảm thấy sẽ mất nhiều thời gian hơn. Sau thời hạn đó, tiết lộ lỗ hổng.

Tôi có thể xem xét báo cáo cho tổ chức bảo mật của chính phủ. Mối quan tâm chính của tôi là liệu tôi có cần báo cáo nặc danh hay không, với điều kiện bạn có thể vi phạm một số luật bằng cách tiết lộ một lỗ hổng công khai. Nó phụ thuộc vào đất nước của bạn.

Nguồn

2009-03-29 08:53:40 AaronLS

2

Nếu quốc gia của bạn có cơ quan quản lý của chính phủ như Ủy ban thương mại liên bang, hãy báo cáo cho họ, và sau đó quên rằng nó tồn tại.

Nếu bạn báo cáo trực tiếp với công ty, trước tiên bạn phải tìm người để báo cáo. Sau đó, bạn phải đối phó với câu hỏi "làm thế nào để bạn biết điều này" (+1 trên nói chuyện với một luật sư). Và sau đó, nếu bạn đe dọa công khai, bạn có thể thấy cảnh sát địa phương gõ cửa của bạn với một lệnh, tiếp theo là bắt giữ tống tiền (+2 trên Talk với một luật sư).

Nguồn

2009-03-29 12:06:31 kdgregory

4

Chỉ cần đặt:

Bỏ qua.

Hành động của bạn (tuy nhiên bạn đã tìm thấy nó) hầu như luôn bất hợp pháp. Do đó công ty có thể đưa bạn ra tòa và làm cho cuộc sống của bạn khốn khổ. Những thứ tương tự đã xảy ra trước đây. Hầu hết thời gian một luật sư không thể giúp bạn.

Một số người không làm việc trong ngành công nghiệp bảo mật có thể không đồng ý với tôi (aka downvote) nhưng đã ở đó, thực hiện điều đó.

Cuối cùng một cách để làm đúng, nếu bạn có một người bạn ở đó hoặc một người liên hệ cá nhân chỉ có một cuộc trò chuyện thân mật với anh ấy/cô ấy (điều gì đó bạn có thể từ chối sau và không thể là bằng chứng) thì anh/cô ấy có thể nói chuyện kiểm tra điều này và báo cáo như một phát hiện nội bộ.

Để báo cáo nội dung trong các ứng dụng mã nguồn mở/thương mại, bạn có thể thấy điều này thú vị và hữu ích: http://www.wiretrip.net/rfp/policy.html tiết lộ trách nhiệm- Nhưng toàn bộ câu chuyện khác hơn là tìm lỗ hổng trong trang web/cơ sở hạ tầng trực tiếp của công ty.

Nếu đó là một sản phẩm thương mại và nếu bạn đã thiết kế lại nó, nó vẫn còn bất hợp pháp ở nhiều quốc gia. Vì vậy, ngay cả trong một sản phẩm bạn phải cẩn thận về nó. Các công ty gần đây như Google/MS bắt đầu đưa ra thông báo công khai về cách báo cáo các vấn đề bảo mật trong sản phẩm của họ.

Nguồn

2009-03-29 12:26:16

3

Rất nhiều phụ thuộc vào người chịu trách nhiệm cho các lỗ hổng đã nói. Để che mặt sau của mình, anh ta có thể đi sau khi bạn ra tòa. Bên cạnh đó, nếu một người có quyền truy cập vào bảng quản trị, người ta cũng có thể truy cập một số thông tin cá nhân và bí mật thương mại. Chỉ có quá nhiều biến để chắc chắn. Như những người khác đã nói, hãy hỏi ý kiến ​​luật sư của bạn. Ở một số nước cũng có luật sư chuyên về tội phạm máy tính và các vấn đề liên quan, những vấn đề đó sẽ là tốt nhất.

Một năm trước, tôi chịu trách nhiệm về một số máy chủ Linux, liên tục bị tấn công bởi các cuộc tấn công SSH bruteforce. Tôi đã từng gửi email cho hầu hết quản trị viên của bất kỳ IP nào có tên như mail.some_company.com vì đó chủ yếu là hệ thống bị xâm phạm.Sau khi kiểm tra các bản ghi tôi đã tìm thấy một IP từ một công ty ở quốc gia địa phương của tôi. Với ít suy nghĩ tôi gọi điện cho họ để báo cáo vấn đề. Phản hồi của quản trị viên của họ nằm dọc theo dòng chữ "Cái gì ?! Bạn là ai? Bạn đang làm gì với máy chủ của chúng tôi ?!".

Nguồn

2009-03-29 12:47:05

+0

Vanity và niềm tự hào của quản trị viên - lỗ hổng bảo mật lớn nhất! – Rook

 Các vấn đề liên quan

  • Không có vấn đề liên quan^_^