Korporativna sigurnost/security researcheri

zark0vac · 18. 06. 2007.

Po meni, kako sam ja to radio, prvo pokusas da stupis u kontakt sa vlasnikom sajta i prijavis mu gresku i ako nisi u guzvi objasnis mu kako da se zastiti ili makar sta da kaze onom koji ce popraviti, koja je vrsta ranjivosti i gde.

Samo sto te kada pokusas da pomognes ljudima vlasnik kulira, ne odgovara na mailove, i sl.

Ali ako je u pitanju neka rasprostranjena aplikacija u kojoj si pronasao ranjivost, objavis je kako bi mogli ostali da se zastite jer te autor kulira, dobijes tuzbu? Logika?

To je sto se tice objavljivanja propusta, a sto se tice nalazenja, Cvele je dao dobro poredjenje sa avionom u filmu. Nemoze te neko tuziti jer si pronasao nesto ako nisi iskoristio da naneses bilo kakvu stetu vlasniku/autoru sajta/aplikacije. Ali da treba prvo kontaktirati autora, treba.

degojs · 18. 06. 2007.

Citat:

Originalno napisao zark0vac

To je sto se tice objavljivanja propusta, a sto se tice nalazenja, Cvele je dao dobro poredjenje sa avionom u filmu. Nemoze te neko tuziti jer si pronasao nesto ako nisi iskoristio da naneses bilo kakvu stetu vlasniku/autoru sajta/aplikacije. Ali da treba prvo kontaktirati autora, treba.

Kako ne može?

Jedna je stvar naći propust nekim normalnim korišćenjem, a druga je ako uzmeš namerno da npr. ukucavaš u textbox-ove stvari tipa:

'; DELETE FROM ...
<script>....

To je očigledno onda šta se radi.. ne verujem da u tom slučaju ne bi mogao neko da te tuži. Misliš da smeš tek tako da odeš na sajt npr. fbi.gov i počneš da ukucavaš takve stvari? Šta misliš koliko dugo bi to radio, ako si još nastanjen u USA, a da neko ne zakuca na vrata da malo porazgovara sa tobom šta to radiš?

Pa zamisli da neko tako dođe oko tvoje kuće pa probava - da li su vrata zaključana, da li su prozori zatvoreni, itd? Da li je to OK? I šta bi bilo kad bi neko pozvao policiju i panduri dođu, a tip kaže kao: "Ma to sam ja samo probavao alarm u kući kod tih ljudi.. nisam ništa oštetio..?"

Samo tetki da odnesem lek

adelante · 18. 06. 2007.

Pa kakva je pravna strana toga, šta zakon kaže o pronalasku i prijavama propusta. Sama etika je drugo, ako neko prijavi propust vlasniku sajta vlasnik može to gleti kao uslugu ali i kao nešto zlonamerno. Drugo ako taj propust može da ugrozi i inkrimiše korisnike sajta etički je i ukazati im na to. Ali opet zakon može sasvim drugačije biti koncipiran i gledati sve to sa određenog stanovišta.

zark0vac · 19. 06. 2007.

^^Ja sam konkretno kada pominjes www.fbi.gov pronasao xss propust pre nekih godinu dana u jednom odeljku www.nasa.gov. Nisi mogao da ownas server nasa-e ili bilo sta ozbiljnije sa tim bugom, jedino zadovoljstvo sto si pronasao nesto u takvom jednom sajtu. Naravno odmah sam prijavio bug posle cega su bolje izfiltrirali formu. I da, niko mi nije kucao na vrata zbog toga

Ti ne zloupotrebis takve stvari, nije to kao sto je onaj englez pre par godina ownao neke .gov servere, sto znaci da je preuzeo root privilegije, imao uvid u mozda zasticene odseke koje ne bi smeo da vidi, pa ga tuzili i osudili, ako se dobro secam.

Alarm u necijoj kuci da proveravas nije isto kao da gledas sajt jer je sajt javno dostupan. To bi bilo kao da je tastatura za sifru na alarmu predvidjena da ljudi kucaju po njoj, svi prolaznici da kucaju. I ti dodjes i ukucas neku kombinaciju i ispise ti da ako potvrdis dobices kljuc od te kuce. I ti se okrenes i odes i jos ostavis pismo ispred vrata sa opisom kako da srede ili makar sta. Ti saznas 'kombinaciju'(recimo RFI vuln) koja ne bi smela da prolazi, i ne iskoristis je, a mogao bi da ownas sistem sa njom, to nemoze da bude ilegalno.

Mozda je moja logika pogresna, ali ja tu ne vidim nista ilegalno, cak dobrotvorni rad.

degojs · 19. 06. 2007.

Citat:

I da, niko mi nije kucao na vrata zbog toga

Nije, zato što im se ne isplati da te traže i slično.

Citat:

Alarm u necijoj kuci da proveravas nije isto kao da gledas sajt jer je sajt javno dostupan.

Ništa.. odi lepo u neku banku (muzej i slično) pa uzmi da drndaš alarm, probavaj, pa vidi šta će biti, da li je dozvoljeno da to radiš. Eto, jednostavno, kad si zapeo da je drugačije sa kućom (a nije, isto je nečije vlasništvo, kao i sajt ili muzej, itd).

zextra · 19. 06. 2007.

@degojs: bas neces da razmislis o tome sto covek pokusava da kaze, moras da budes uvek u pravu...

Evo ti malo opipljiviji primer.

Web portal. Powered by phpNuke. Default instalacija. Nepromenjena default admin/admin (ili neka slicna, ali dobro poznata) superuser login kombinacija. Admin login forma (po defaultu) javno dostupna svima preko linka u meniju. Nakon sto se uveris da pomenuta kombinacija funkcionise (dakle, NE sedis dva sata pokusavajuci da provalis neciji password), posaljes e-mail adminu sajta sa obavestenjem da bi to neko drugi mogao da uradi i da unisti portal, pa da ne bi bilo zgoreg da nesto preduzme, radi sopstvene sigurnosti i sigurnosti svojih korisnika.

I ko je tu kriv?

Necija logika bi bila, nemas sta da trazis na admin loginu. Zasto? Linkovan je sa glavne strane.

Druga logika bi bila, zasto bi uopste pokusao da se ulogujes kroz admin login sajta koji ne posedujes? Mislim da bar 3 coveka sa ovog foruma mogu da posvedoce o tome sta su sve u stanju da urade pojedini korisnici iz neznanja (pa recimo i da se loguju sa svojim e-mail user/pass na forum na koji nikad nisu otisli...)

Dakle?

jablan · 19. 06. 2007.

Neznanje nije opravdanje ni za jedno krivično delo. Ti si došao na tuđ sajt i neovlašćen upao u administrativni interfejs. Tačka.

Ako upadneš u tuđu kuću neće ti mnogo pomoći činjenica da je taj neko zaboravio da je zaključa.

18. 06. 2007.	#3
adelante član Certified Datum učlanjenja: 07.08.2005 Poruke: 67 Hvala: 15 0 "Hvala" u 0 poruka	Pa kakva je pravna strana toga, šta zakon kaže o pronalasku i prijavama propusta. Sama etika je drugo, ako neko prijavi propust vlasniku sajta vlasnik može to gleti kao uslugu ali i kao nešto zlonamerno. Drugo ako taj propust može da ugrozi i inkrimiše korisnike sajta etički je i ukazati im na to. Ali opet zakon može sasvim drugačije biti koncipiran i gledati sve to sa određenog stanovišta. __________________ Online prodavnica rukotvorina

19. 06. 2007.	#4
zark0vac Rade Joksimović Professional Datum učlanjenja: 27.10.2006 Poruke: 220 Hvala: 0 1 "Hvala" u 1 poruci	^^Ja sam konkretno kada pominjes www.fbi.gov pronasao xss propust pre nekih godinu dana u jednom odeljku www.nasa.gov. Nisi mogao da ownas server nasa-e ili bilo sta ozbiljnije sa tim bugom, jedino zadovoljstvo sto si pronasao nesto u takvom jednom sajtu. Naravno odmah sam prijavio bug posle cega su bolje izfiltrirali formu. I da, niko mi nije kucao na vrata zbog toga Ti ne zloupotrebis takve stvari, nije to kao sto je onaj englez pre par godina ownao neke .gov servere, sto znaci da je preuzeo root privilegije, imao uvid u mozda zasticene odseke koje ne bi smeo da vidi, pa ga tuzili i osudili, ako se dobro secam. Alarm u necijoj kuci da proveravas nije isto kao da gledas sajt jer je sajt javno dostupan. To bi bilo kao da je tastatura za sifru na alarmu predvidjena da ljudi kucaju po njoj, svi prolaznici da kucaju. I ti dodjes i ukucas neku kombinaciju i ispise ti da ako potvrdis dobices kljuc od te kuce. I ti se okrenes i odes i jos ostavis pismo ispred vrata sa opisom kako da srede ili makar sta. Ti saznas 'kombinaciju'(recimo RFI vuln) koja ne bi smela da prolazi, i ne iskoristis je, a mogao bi da ownas sistem sa njom, to nemoze da bude ilegalno. Mozda je moja logika pogresna, ali ja tu ne vidim nista ilegalno, cak dobrotvorni rad. Poslednja izmena od zark0vac : 19. 06. 2007. u 01:48.

19. 06. 2007.	#6
zextra Boris Grand Master Datum učlanjenja: 01.12.2005 Lokacija: Novi Sad Poruke: 775 Hvala: 5 156 "Hvala" u 2 poruka	@degojs: bas neces da razmislis o tome sto covek pokusava da kaze, moras da budes uvek u pravu... Evo ti malo opipljiviji primer. Web portal. Powered by phpNuke. Default instalacija. Nepromenjena default admin/admin (ili neka slicna, ali dobro poznata) superuser login kombinacija. Admin login forma (po defaultu) javno dostupna svima preko linka u meniju. Nakon sto se uveris da pomenuta kombinacija funkcionise (dakle, NE sedis dva sata pokusavajuci da provalis neciji password), posaljes e-mail adminu sajta sa obavestenjem da bi to neko drugi mogao da uradi i da unisti portal, pa da ne bi bilo zgoreg da nesto preduzme, radi sopstvene sigurnosti i sigurnosti svojih korisnika. I ko je tu kriv? Necija logika bi bila, nemas sta da trazis na admin loginu. Zasto? Linkovan je sa glavne strane. Druga logika bi bila, zasto bi uopste pokusao da se ulogujes kroz admin login sajta koji ne posedujes? Mislim da bar 3 coveka sa ovog foruma mogu da posvedoce o tome sta su sve u stanju da urade pojedini korisnici iz neznanja (pa recimo i da se loguju sa svojim e-mail user/pass na forum na koji nikad nisu otisli...) Dakle? __________________ "It’s important to have goals when you pet. Otherwise you’re just rubbing another mammal for no reason." - Scott Adams

Slične teme
Tema	Početna poruka teme	Forum	Odgovori	Poslednja poruka
Sigurnost i zastita informacija, na jednom mestu	Ivan	Opušteno	13	05. 07. 2008. 20:54
Skolski e-dnevnik i sigurnost?!	salebab	Opušteno	59	17. 10. 2007. 15:40
Sigurnost i poslovna politika...	LiquidBrain	Web Hosting, web serveri i operativni sistemi	11	06. 05. 2007. 01:25
ptt i sigurnost	nixa	Opušteno	5	23. 03. 2007. 15:50
Firefox i sigurnost	Ilija Studen	Web aplikacije, web servisi i software	43	04. 03. 2006. 23:24

19. 06. 2007.	#7
jablan VD IT Direktora Invented the damn thing Datum učlanjenja: 08.06.2005 Lokacija: Beograd Poruke: 2.118 Hvala: 503 1.307 "Hvala" u 282 poruka	Neznanje nije opravdanje ni za jedno krivično delo. Ti si došao na tuđ sajt i neovlašćen upao u administrativni interfejs. Tačka. Ako upadneš u tuđu kuću neće ti mnogo pomoći činjenica da je taj neko zaboravio da je zaključa.