Korporativna sigurnost/security researcheri

[LiquidBrain]

Ne znam da li sam pogodio topik, ako nisam neka ga moderatori premeste...

U poslednje vreme, koliko sam ja mogao da primetim, sve vise se u svetu pokrecu tuzbe protiv security researchera. S'obzirom da i kod nas postoji ovaj zakon to dovodi u pitanje samu sigurnost naseg ali i svetskog web auditorijuma. Neka misljenja kao sto su:

Citat:

“ Keep (vulnerabilities) to yourself--being a good guy gets you prosecute. I can say honestly that I am no longer interested in assisting anyone with their vulnerabilities. ”

Eric McCarty, a security professional charged with computer intrusion

ili

Citat:

“ Any Web security researcher that has been around long enough will notice vulnerabilities without doing anything. When that happens, I don't tell anyone, rather than risk reputational damage to myself and my company. ”

Jeremiah Grossman, chief technology officer, WhiteHat Security

jasno govore sta svetski security reseacheri misle. Sta vi mislite o tome?

Sto se tice mene, i ako primetim neki propust, nakon par procitanih tekstova, ne verujem da cu to prijaviti bilo kome, jer ipak rizikujem, iako sam "dobar momak", a ne "maliciozni kreten". S' obzirom da to ne radim u komercijalne svrhe, zasto bih uopste rizikovao da zaglavim zatvor ili ko zna sta... posto su kazne kod nas za neovlasceni pristup racunaru ili racunarskoj mrezi bruka velike...

Da li
bi ste vi tuzili nekog, ukoliko pronadje propust na vasem servisu i prijavi vam to (on ipak nije imao prava da to radi)? Ili mozda ne bi, vec bi ste mu se zahvalili? I koji je po vama najbolji nacin da kada neko primeti gresku, da prijavi to, a da ne reskira da ce ga sam vlasnik tuziti?!?

[srdjan]

Svakako bih mu se zahvalio, jer je pokazao dobru nameru.

To sto je on uradio (pronasao gresku) moze da uradi svaki klinac iz Pakistana, koji ti nece prijaviti, a kome ne mozes nista...

[jablan]

Ja mislim da je cela frka nastala zato što zakon jednostavno ne može da se zamajava time da li je neko delo učinjeno iz dobre ili loše namere. Čim ti otkucaš sql injection string u search box nekog sajta, uradio si nešto što izlazi van njegove namene i niko zaista ne želi da se pogađa sa tobom da li si to uradio iz dobre ili loše namere.

Vlasnici veb sajtova treba da se pobrinu da su njihovi sajtovi sigurni, sami ili uz pomoć specijalizovanih konsultantskih firmi. A svi oni koji bi da se bave security ispitivanjem, čačkanjem i bušenjem, treba to da rade kroz te firme, isključivo na insistiranje klijenta.

Ja lično ne bih tužio nikog za koga smatram da ima dobru nameru i zahvalio bih mu se na pronađenim propustima, ali to je zato što bih imao vremena, volje i znanja da prosuđujem. Ne mora da znači da bi svako reagovao na isti način, ali nisam siguran da je pametno isprobavati bilo čiju etiku na taj način.

[Ivan]

Off Topic:

Citat:

Originalno napisao jablan

... Čim ti otkucaš sql injection string u search box nekog sajta, uradio si nešto što izlazi van njegove namene ...

Citat:

Originalno napisao Jeremiah Grossman

... Any Web security researcher that has been around long enough will notice vulnerabilities without doing anything. ...

...

[jablan]

Ma da, čitate misli...

Imaš stranicu na kojoj su samo text box i submit dugme. Kako ćeš, majke ti, gledanjem da vidiš da li postoji neki sigurnosni propust ili ne?

[ivanhoe]

Citat:

Originalno napisao jablan

Ma da, čitate misli...

Imaš stranicu na kojoj su samo text box i submit dugme. Kako ćeš, majke ti, gledanjem da vidiš da li postoji neki sigurnosni propust ili ne?

ako ti kaze morace da te ubije

sto se teme tiche, mislim da se ovi security experti previse femkaju... sumnjam da je bilo ko optuzen zato sto je slucajno otkrio bug i prijavio ga vlasniku sajta/sofwara bez dizanja medijske prasine, nego se radi o tome da ta ekipa koja zivi od security researcha, u svrhu samo-reklamiranja, ima obicaj da pravi buzz oko pronadjenih propusta, a time kvare posao firmama koje taj software prave, i naravno onda ih oni tuze...

[Pedja]

Kao i u svakom drugom poslu: ako te neko ne angazuje - ne radis.
U svakom slucaju kada mi neko prijavibilo kakav problem 9n e samo sigurnosni) ja mu se zahvalim i iskorsitim informaciju. Ali ako bi neko objavio neki sigurnosni propust n amom sajtu (bez obzira dali me je o propustu pre toga obavestio ili ne), to vec ne bih shvaao kao dobronamerno.

E sad, imamo situacije kao sto je ova skorasnja sa pogodak.co.yu, gde je otkriven problem koji nije sigurnosni propust za sajt, nego sigurnosni propust na sajtu koji pogadja posetioce sajta. Tu je vec pitanje koga obavestiti o problemu.