Korporativna sigurnost/security researcheri

[Pedja]

Kao i u svakom drugom poslu: ako te neko ne angazuje - ne radis.
U svakom slucaju kada mi neko prijavibilo kakav problem 9n e samo sigurnosni) ja mu se zahvalim i iskorsitim informaciju. Ali ako bi neko objavio neki sigurnosni propust n amom sajtu (bez obzira dali me je o propustu pre toga obavestio ili ne), to vec ne bih shvaao kao dobronamerno.

E sad, imamo situacije kao sto je ova skorasnja sa pogodak.co.yu, gde je otkriven problem koji nije sigurnosni propust za sajt, nego sigurnosni propust na sajtu koji pogadja posetioce sajta. Tu je vec pitanje koga obavestiti o problemu.

[LiquidBrain]

Citat:

Originalno napisao Pedja

E sad, imamo situacije kao sto je ova skorasnja sa pogodak.co.yu, gde je otkriven problem koji nije sigurnosni propust za sajt, nego sigurnosni propust na sajtu koji pogadja posetioce sajta. Tu je vec pitanje koga obavestiti o problemu.

Ja verujem da se oba slucaja svode na isto...

[degojs]

Citat:

Originalno napisao jablan

Ja mislim da je cela frka nastala zato što zakon jednostavno ne može da se zamajava time da li je neko delo učinjeno iz dobre ili loše namere.

Naravno, inače bi se svi izvlačili na taj fazon.

Zamislite da vam neko obija vrata, otvara prozore na autu ili kući.. i onda kaže da je to iz dobre namere?

[cvele]

Bila je tu neka zavrzlama, cak je pravljen dokumentarac o tome krajem 90ih.
Ako pocnem da detaljisem nesto cu da slazem jer se nesecam tacno kako je to islo. Uglavnom svojevremeno bio je veliki problem u sigurnosti mobilnih telefona neke poznate svetske marke, covek koji je dosao to tog otkrica je postovao na internetu sve detalje. Naravno usledila je tuzba, ali je glatko pala, nesto kao informacija te vrste nije poverljiva itd

Sto se tice komentara da je to kao kada ti neko obija vrata, nije. Kada ti neko obija vrata cini ti direktnu materijalnu stetu. Kada neko trazi rupe u tvom softveru, sajtu etc on samo dolazi do informacija koje su mu javno dostupne (ako zna gde i kako da pogleda) kao servis, time ne cini nikome materijalnu stetu, marketinsku, mozda ali direktnu materijalnu ne. Neko ko zna gde i kako da gleda je uocio i scenu kada avion prolece u filmu Troja, zar neko treba da tuzi njega zato sto je ovo video? budite sigurni da je nekome iz ekipe filma zboj ovoga ucinjena kolika tolika marketinska steta.

Cak sta vise veoma je pozitivno sto se svojevremeno pojavila informacija o pojavi Trojanaca na win sistemima jer MS iako je znao za pomenuti problem korisnike nije ni obavestio niti je bilo sta preduzeo mesecima, za to vreme su korisnici makar mogli da dodju do informacije i koliko toliko se zastite.

Slican je slucaj i sa web sajtovima, zamisli recimo tebi Blues neko otkrije sigurnosni problem u Romance Cafe koji bi dopustio ljudima da gledaju tudje privatne podatke. Potpuno je legalno da ljudi budu obavesteni o tome kako bi mogli sebe da zastite, opet, koliko toliko. Takodje je realno da ti snosis "marketinsku" odgovornost za ovaj propust. Cena ove odgovornosti je proporcijonalna vremenu za saniranje/kolicini podataka koji su kompromitovani.

PS.

bez namere da prozivam bluesmana, samo mi je to privi servis koji mi je pao napamet u vlasnistvu nekoga od clanova :P

[cvele]

Da, zaista neradi se o dobrim ili losim namerama... vec jednostavno o cinjenici da se propusti u tvom softveru ili servisu neticu samo tebe vec svih tvojih korisnika kojima moze biti ugrozena privatnost (u najmanju ruku) ili cak i finansije.

To sto bi vecina zelela sve propuste da prikrije, pa ih onda sredi iza zatvorenih vrata zarad reputacije je potpuno pogresno!

[Ilija Studen]

Jedina prava stvar koju možeš da uradiš kada se otkrije sigurnosti propust u nečemu što si napravio je da propraviš i objaviš patch što je pre moguće. Ukoliko je softver u pitanju, ne mora nužno nova verzija, ako ništa bar instrukcije kako da se propust zakrpi.

Naravno, kasnije daš do znanja ko je propust našao i zahvališ mu se...

Nikako ne odobravam situaciju gde "ekspret" javno objavljuje propust samo da bi sebi digao cenu ili bez konsultacije sa autorom softvera / vlasnikom sajta.

[degojs]

Citat:

Originalno napisao cvele

Sto se tice komentara da je to kao kada ti neko obija vrata, nije. Kada ti neko obija vrata cini ti direktnu materijalnu stetu. Kada neko trazi rupe u tvom softveru, sajtu etc on samo dolazi do informacija koje su mu javno dostupne (ako zna gde i kako da pogleda) kao servis, time ne cini nikome materijalnu stetu, marketinsku, mozda ali direktnu materijalnu ne.

Nema veze da li je počinjena direktna materijalna šteta ili ne. Ne mora da bude počinjena nikakva šteta pa da ti opet budeš kriv.

Ako ja imam znanje da obijam brave (bez izazivanja štete), da li to znači da smem da otključavam bilo koja vrata i vršljam po stanovima drugih ljudi. Onako, malo razgledam... Nema materijalne štete, zar ne? Pa čak i da ništa ne obijam, da nemam dupli ključ i slično, čak i da je stan otključan, teško da smem da ulazim i vršljam po tuđem, zar ne?

Čisto kao informacija, ovde nije dozvoljenu uzeti fotoaparat i slikati kuću komšije bez njegove dozvole. Naravno, možeš to da uradiš i verovatno se neće ništa desiti, ali mogao bi i da te tuži i da budeš kažnjen.

[zark0vac]

Po meni, kako sam ja to radio, prvo pokusas da stupis u kontakt sa vlasnikom sajta i prijavis mu gresku i ako nisi u guzvi objasnis mu kako da se zastiti ili makar sta da kaze onom koji ce popraviti, koja je vrsta ranjivosti i gde.

Samo sto te kada pokusas da pomognes ljudima vlasnik kulira, ne odgovara na mailove, i sl.

Ali ako je u pitanju neka rasprostranjena aplikacija u kojoj si pronasao ranjivost, objavis je kako bi mogli ostali da se zastite jer te autor kulira, dobijes tuzbu? Logika?

To je sto se tice objavljivanja propusta, a sto se tice nalazenja, Cvele je dao dobro poredjenje sa avionom u filmu. Nemoze te neko tuziti jer si pronasao nesto ako nisi iskoristio da naneses bilo kakvu stetu vlasniku/autoru sajta/aplikacije. Ali da treba prvo kontaktirati autora, treba.

[degojs]

Citat:

Originalno napisao zark0vac

To je sto se tice objavljivanja propusta, a sto se tice nalazenja, Cvele je dao dobro poredjenje sa avionom u filmu. Nemoze te neko tuziti jer si pronasao nesto ako nisi iskoristio da naneses bilo kakvu stetu vlasniku/autoru sajta/aplikacije. Ali da treba prvo kontaktirati autora, treba.

Kako ne može?

Jedna je stvar naći propust nekim normalnim korišćenjem, a druga je ako uzmeš namerno da npr. ukucavaš u textbox-ove stvari tipa:

'; DELETE FROM ...
<script>....

To je očigledno onda šta se radi.. ne verujem da u tom slučaju ne bi mogao neko da te tuži. Misliš da smeš tek tako da odeš na sajt npr. fbi.gov i počneš da ukucavaš takve stvari? Šta misliš koliko dugo bi to radio, ako si još nastanjen u USA, a da neko ne zakuca na vrata da malo porazgovara sa tobom šta to radiš?

Pa zamisli da neko tako dođe oko tvoje kuće pa probava - da li su vrata zaključana, da li su prozori zatvoreni, itd? Da li je to OK? I šta bi bilo kad bi neko pozvao policiju i panduri dođu, a tip kaže kao: "Ma to sam ja samo probavao alarm u kući kod tih ljudi.. nisam ništa oštetio..?" Samo tetki da odnesem lek

[Pedja]

Citat:

Originalno napisao LiquidBrain

Ja verujem da se oba slucaja svode na isto...

Ne bih rekao.

Ako propust omogucava da se steta nanese samo sajtu, ili vlasniku sajta onda je to jedna stvar jer ako vlasnik sajta ne preduzme nista da se zastiti, sam snosi rizik. U ovom slucaju mislim da nikako ne bi trebalo objavljivati propust, vec samo o tome obavestiti vlasnika sajta.

Ako propust omogucava da se nanese steta posetiocima sajta to je nesto drugo jer ako vlasnik sajta ne otkloni propust, onda on ugrozava svoje korisnike. Korisnici imaju pravo da znaju da su ugrozeni.

Problem u ovom drugom slucaju je taj sto bi, s jedne strane, korisnici trebalo da znaju da su ugrozeni, ali bi ih, sa druge strane, objavljivanje propusta jos vise ugrozilo. Tu je dilema.