Hacking/Cracking Deontologie

Question

Nehmen wir an, Sie haben vor kurzem einige wichtige Sicherheitslücken in einigen Websites entdeckt, die hauptsächlich in Ihrem Land aktiviert werden und auf ihrem Markt sehr leistungsfähig sind. Die Schwachstellen, über die ich spreche, sind so schlimm, dass ich die Admin-Oberfläche mit Super-Admin-Privilegien durchsuchen kann.

Was würden Sie jetzt tun? Ich denke an etwas wie:

1. Melden Sie die Probleme an das Unternehmen.
2. Verkünden Sie öffentlich, dass es Sicherheitslücken in diesen Anwendungen gibt, aber ohne den tatsächlichen Exploit zu offenbaren.
3. Geben Sie der Firma Zeit, um ihre Probleme zu beheben. (Wie viel?)
4. Nachdem das Problem behoben wurde oder die Kulanzfrist für die Fehlerbehebung verstrichen ist (je nachdem, was zuerst eintritt), müssen Sie die Sicherheitsanfälligkeit vollständig offenlegen.

Was denkst du? Hast du einige Materialien, die du lesen kannst, um etwas zu erfahren?

Answer 1

Diskussion. Zu. Ein Anwalt.

Dies könnte abhängig von der Firma klebrig werden.Indem Sie sagen "Sie haben xx Tage, um das zu beheben, bevor ich den Exploit ankündige", sagen Sie im Grunde: "Tu, was ich erwarte, oder ich werde dir viel Kummer bereiten".

Das andere Problem ist, wie hast du das entdeckt? Haben Sie die Website "normal" genutzt oder haben Sie das Potenzial für das Loch erkannt und entschieden, ob es funktioniert? Dies ist besonders wichtig, wenn Sie darüber nachdenken, ein Zeitlimit festzulegen, um das Problem zu beheben. Ich bin mir nicht sicher, was die Gesetze sagen, wo du lebst, also sprich bitte mit jemandem, der das tut.

Sie könnten am Ende mit ihrem Dank, etwas Geld für das Eingehen in eine NDA (Sie haben schließlich die Admin-Oberfläche durchsuchen) und Sie könnten einige Kredit in der Sicherheitsbranche bekommen. Aber seien Sie sehr, sehr vorsichtig und suchen Sie den Rat eines Anwalts.

Answer 2

Ich denke, Sie sind auf dem richtigen Weg. Der allgemeine Trend in solchen Fällen besteht darin, einen Fehlerbericht an das genannte Unternehmen zu senden und ihm je nach Schweregrad des Problems und der für eine Fehlerbehebung benötigten Zeit einige Zeit zu geben. Danach gibt es normalerweise eine vollständige Offenlegung, wenn das Unternehmen Sie nicht anders fragt (für eine Prämie?).

Allerdings, wenn das Unternehmen nicht rechtzeitig zu Ihnen zurückkommt/nicht anerkennt Sie haben das Recht (ich glaube), Ihre Ergebnisse für mehr gut zu veröffentlichen.

Was auch immer Sie tun, pflegen Sie eine ordnungsgemäße Aufzeichnung Ihrer Kommunikation mit dem Unternehmen. Dies kann dazu beitragen, unvorhergesehene Umstände zu vermeiden.

Answer 3

Ich würde zuerst die Sicherheitslücken dem Unternehmen melden. Wenn sie sich nicht darum kümmern, würde ich es der Öffentlichkeit verkünden.

Answer 4

Wenn ich an Ihrer Stelle wäre, wäre ich definitiv mit der Berichterstattung an die Firma gegangen. Wenn das Problem so ernst ist, wie Sie es erwähnt haben, dann berichten Sie mit den schnellsten verfügbaren Kommunikationsmitteln.

Falls Sie eine Lösung kennen, lassen Sie sie das auch wissen.

Sie können einen verallgemeinerten Blog oder einen Artikel über das Problem und die Lösung schreiben. Dies wird anderen helfen, ihr eigenes System zu überprüfen. Enthüllen Sie nichts über das Unternehmen oder die Website, da Sie dann möglicherweise Probleme bekommen.

Answer 5

Ich persönlich würde es der Firma melden, die ihnen eine angemessene Frist gibt, um es zu korrigieren. Aber bieten Sie ihnen auch die Möglichkeit, eine Fristverlängerung zu beantragen, wenn sie das Gefühl haben, dass es länger dauern wird. Geben Sie nach Ablauf dieser Frist die Sicherheitsanfälligkeit bekannt.

Ich könnte erwägen, es an eine staatliche Sicherheitsorganisation zu melden. Mein Hauptanliegen wäre, ob ich anonym Bericht erstatten müsste, da Sie möglicherweise gegen ein Gesetz verstoßen, indem Sie eine Sicherheitslücke öffentlich offenlegen. Es hängt von Ihrem Land ab.

Answer 6

Wenn Ihr Land eine Regierungsbehörde wie die Federal Trade Commission hat, melden Sie es ihnen, und vergessen Sie dann, dass es existiert.

Wenn Sie direkt an das Unternehmen berichten, müssen Sie zuerst die Person finden, an die berichtet werden soll. Dann musst du dich mit der Frage beschäftigen "wie kannst du das wissen" (+1 auf "An Anwalt sprechen"). Und dann, wenn Sie drohen, an die Öffentlichkeit zu gehen, könnten Sie feststellen, dass die örtliche Polizei mit einem Haftbefehl an Ihre Tür klopft, gefolgt von einer Verhaftung wegen Erpressung (+2 auf Gespräch mit einem Anwalt).

Answer 7

Einfach gesagt:

es ignorieren.

Ihre Aktionen (aber Sie haben es gefunden) fast immer illegal. Deshalb kann diese Firma Sie zum Gericht bringen und Ihnen das Leben schwer machen. Ähnliches ist vorher passiert. Die meiste Zeit kann ein Anwalt Ihnen nicht helfen.

Einige Leute, die nicht in der Sicherheitsindustrie arbeiten, stimmen möglicherweise nicht mit mir überein (alias downvote), aber war dort, das getan.

Endlich ein Weg zu diesem Thema, wenn du einen Freund da drüben oder einen persönlichen Kontakt hast, informiere dich einfach mit ihm (etwas, das du später leugnen kannst und kein Beweis sein kann) dann er/Sie kann darüber reden und wie ein interner Befund berichten.

Für die Berichterstattung in Open-Source/kommerziellen Anwendungen könnten Sie diese interessant und hilfreich finden: http://www.wiretrip.net/rfp/policy.html -verantwortliche Offenlegung- Aber das Ganze eine andere Geschichte als eine Schwachstelle in einer Firma Live-Website/Infrastruktur zu finden.

Wenn es ein kommerzielles Produkt ist und wenn Sie es rückentwickelt haben, ist es in vielen Ländern immer noch illegal. Also selbst in einem Produkt muss man vorsichtig sein. In jüngster Zeit haben Unternehmen wie Google/MS damit begonnen, über die Meldung von Sicherheitsproblemen in ihren Produkten zu informieren.

Answer 8

Eine Menge hängt von der Person ab, die für diese Sicherheitslücken verantwortlich ist. Um seinen eigenen Hintern zu bedecken, könnte er Ihnen vor Gericht nachgehen. Außerdem hätte man, wenn man Zugang zum Admin-Panel hätte, auch auf private Informationen und Geschäftsgeheimnisse zugreifen können. Es gibt einfach zu viele Variablen, um sicher zu sein. Wie andere Leute bereits gesagt haben, konsultieren Sie Ihren Anwalt. In einigen Ländern gibt es auch Anwälte, die sich auf Computerkriminalität und verwandte Themen spezialisiert haben, das wären die besten.

Vor einem Jahr war ich für ein paar Linux-Server verantwortlich, die ständig von SSH-Brute-Force-Angriffen angegriffen wurden. Ich habe E-Mails an die meisten Admins einer beliebigen IP gesendet, die einen Namen wie mail.some_company.com hatte, da dies meistens ein kompromittiertes System bedeutete.Sobald ich die Protokolle überprüft habe, habe ich eine IP von einer Firma in meinem Land gefunden. Mit wenig Nachdenken rief ich sie an, um das Problem zu melden. Die Antwort ihres Admins lautete "Was ?! Wer bist du? Was machst du mit unseren Servern ?!".

Answer 9

Sie könnten die Sicherheitsanfälligkeit einer Organisation wie Secunia melden und sie bitten, die Offenlegung zu verwalten. Sie haben diese Art der Sache vorher getan ...

http://secunia.com/advisories/report_vulnerability/