1. Inicio
  2. Pregunta y respuesta
  3. Deontología de hacking/cracking

Deontología de hacking/cracking

2009-03-29 14 views
9

Digamos que recientemente descubrió algunas vulnerabilidades importantes en un par de sitios web que se activan principalmente en su país y son muy poderosos en su mercado. Las vulnerabilidades de las que hablo son peores que las que me permiten navegar por la interfaz de administración con privilegios de súper administrador.Deontología de hacking/cracking

¿Qué harías ahora? Estoy pensando en algo como:

  1. Informe de los problemas a la empresa.
  2. Anuncie públicamente que hay agujeros de seguridad en esas aplicaciones, pero sin divulgar el exploit real.
  3. Dale tiempo a la empresa para solucionar sus problemas. (¿Cuánto?)
  4. Después de que se haya solucionado el problema o haya pasado el período de gracia para la reparación (lo que ocurra primero), divulgue completamente la vulnerabilidad.

¿Qué piensan? ¿Tiene algunos materiales para leer sobre esto o experiencia para compartir?

Fuente

2009-03-29 Ionuț G. Stan

Respuesta

18

Hablando. A. Un abogado.

Esto puede ponerse pegajoso dependiendo de la compañía.Al decir "tienes xx días para arreglar esto antes de anunciar el exploit", básicamente estás diciendo "haz lo que espero, o te causaré mucho dolor".

El otro problema es, ¿cómo descubriste esto? ¿Estaba usando el sitio 'normalmente' o vio el potencial del agujero y decidió ver si funcionaba? Es muy importante tener esto en cuenta, especialmente si está considerando establecer un límite de tiempo para solucionar el problema. No estoy seguro de qué dicen las leyes de dónde vives, así que, por favor, habla con alguien que sí lo sepa.

Puede terminar agradeciéndole algo de efectivo por ingresar a una NDA (al fin y al cabo, navegó por la interfaz de administración) y es posible que obtenga algo de crédito en la industria de la seguridad. Pero sea muy, muy cuidadoso y trate de buscar el consejo de un abogado.

Fuente

2009-03-29 11:11:04

5

Creo que está en el camino correcto.

La tendencia general en tales casos es presentar un informe de error con dicha compañía y darles un tiempo dependiendo de la gravedad del problema y el tiempo estimado necesario para una solución. Después de eso, generalmente hay una divulgación completa si la compañía no le pregunta lo contrario (¿por una prima?).

Sin embargo, si la empresa no le responde a tiempo/no reconoce que tiene el derecho (creo) de publicar sus resultados para mayor bien.

Independientemente de lo que elija hacer, mantenga un registro adecuado de sus comunicaciones con la empresa. Esto puede ayudar a evitar circunstancias imprevistas.

Fuente

2009-03-29 08:52:01 dirkgently

+0

En muchos países no se le permite guardar silencio si sabe acerca de lo que puede dañar el/público en general los consumidores. Entonces, si la compañía no soluciona el problema dentro de un tiempo _reasobale_ (o ni siquiera se molestó en contactarlo) puede publicar la información. – Jacco

1

Primero informaré sobre los agujeros de seguridad a la empresa. Si no se ocupan de ellos, lo anunciaría al público.

Fuente

2009-03-29 08:52:05

1

Si estuviese en su lugar, definitivamente me hubiera ido a denunciarlo a la empresa. Si el problema es tan grave como lo ha mencionado, informe utilizando los medios de comunicación más rápidos disponibles.

En caso de que conozca alguna solución hágales saber también.

Puede escribir un blog generalizado o un artículo sobre el problema y la solución. Esto ayudará a otros a verificar su propio sistema. No divulgue nada sobre la empresa o el sitio web, ya que puede terminar en problemas.

Fuente

2009-03-29 08:52:44 danish

3

Yo personalmente lo reportaría a la compañía dándoles un período de tiempo razonable para corregirlo. Pero también les ofrece la opción de solicitar una extensión del plazo si consideran que llevará más tiempo. Después de esa fecha límite, divulgue la vulnerabilidad.

Podría considerar informarlo a una organización de seguridad gubernamental. Mi principal preocupación sería si debo informar de forma anónima, dado que podría estar infringiendo alguna ley al divulgar públicamente una vulnerabilidad. Depende de tu país

Fuente

2009-03-29 08:53:40 AaronLS

2

Si su país tiene un organismo regulador del gobierno, como la Comisión Federal de Comercio, infórmeselo y luego olvide que existía.

Si se reporta directamente a la empresa, primero debe buscar a la persona a la que desea informar. Luego debe lidiar con la pregunta "¿cómo sabe esto?" (+1 en Hablar con un abogado). Y luego, si usted amenaza con hacerlo público, es posible que encuentre a la policía local llamando a su puerta con una orden de arresto, seguida de un arresto por extorsión (+2 en Hablar con un abogado).

Fuente

2009-03-29 12:06:31 kdgregory

4

En pocas palabras:

ignorarlo.

Sus acciones () sin embargo lo ha encontrado) casi siempre ilegal. Por lo tanto, esa empresa puede llevarlo a la corte y hacer que su vida sea miserable. Cosas similares sucedieron antes. La mayoría de las veces un abogado no puede ayudarlo.

Algunas personas que no están trabajando en la industria de la seguridad pueden no estar de acuerdo conmigo (aka downvote) pero he estado allí, hecho eso.

Por último, una forma de hacerlo correctamente, si tienes un amigo allí o un contacto personal solo tiene una charla informal con él/ella (algo que puedes negar más tarde, y no puede ser evidencia) luego él/ella puede hablar, verificar esto e informar como un hallazgo interno.

Para reportar cosas en aplicaciones de código abierto/comerciales, puede encontrar esto interesante y útil: http://www.wiretrip.net/rfp/policy.html -declaración responsable- Pero esta es otra historia que encontrar una vulnerabilidad en el sitio web/infraestructura de una compañía.

Si se trata de un producto comercial y si lo ha diseñado por ingeniería inversa, sigue siendo ilegal en muchos países. Entonces, incluso en un producto debes tener cuidado al respecto. Recientemente, empresas como Google/MS comenzaron a hacer un anuncio público sobre cómo informar problemas de seguridad en sus productos.

Fuente

2009-03-29 12:26:16

3

Mucho depende de la persona responsable de dichas vulnerabilidades. Para cubrir su trasero podría ir detrás de ti en la corte. Además, si uno tenía acceso al panel de administración, también se podía acceder a información privada y secretos comerciales. Hay demasiadas variables para estar seguro. Como ya han dicho otras personas, consulte a su abogado. En algunos países también hay abogados que se especializan en delitos informáticos y asuntos relacionados, esos serían los mejores.

Hace un año fui responsable de un par de servidores Linux, que fueron constantemente golpeados por ataques de fuerza bruta SSH. Solía ​​enviar correos electrónicos a la mayoría de los administradores de cualquier IP que tenía un nombre como mail.some_company.com, ya que eso significaba principalmente un sistema comprometido.Una vez que revisé los registros, encontré una dirección IP de una empresa en mi país local. Pensándolo bien, los llamé para informar el problema. La respuesta de su administrador fue como "¿Qué? ¿Quién eres? ¿Qué estás haciendo con nuestros servidores?".

Fuente

2009-03-29 12:47:05

+0

Vanidad y orgullo de los administradores: ¡los mayores defectos de seguridad! – Rook

Cuestiones relacionadas

 Cuestiones relacionadas