Falha de Segurança - Reportar?

Navegue suas respostas
4

Isso pode ser um wiki da comunidade, não tenho certeza.

Imagine um cenário em que você descobre uma falha de segurança no site de uma empresa enquanto navega na web. Algo que envolve uma alteração nos parâmetros de URL que libera informações para as quais você não deveria ter acesso, por exemplo. Ao alterar esses campos, você é culpado de "hacking"? Em caso afirmativo, você deve denunciar a falha de segurança para a empresa, ou existe um medo legítimo de repercussões legais se você admitir sua "culpa"?

Esclarecimento conforme solicitado: Isso é tudo externo. Páginas .NET totalmente acessíveis que aceitam variáveis que podem ter resultados indesejados quando modificadas.

Segunda Edição: Para esclarecer, não é uma empresa para a qual trabalho, mas outro site na Internet com o qual não tenho qualquer relação.

    
por Kyle Smith 07.06.2011 / 15:56

2 respostas

3

Aqui estão algumas diretrizes de bom senso ao revelar vulnerabilidades para evitar problemas:

  1. Use um canal privado. Nenhuma empresa gosta de ter suas falhas de segurança apontadas em um site de notícias. É melhor você ter muita experiência antes de postar na Full Disclosure.
  2. Nunca, jamais, jamais ameace ou exija quando divulgar uma vulnerabilidade. Além de ser rude, você provavelmente se encontrará diante do esquadrão de tiro legal. Ameaças incluem "se você não corrigir isso eu vou postar em toda a net" e extorsão inclui "Eu quero dinheiro para ajudar você a consertar isso". Apenas não faça isso.
  3. Faça a comunicação oficial e rastreável. O ideal é se a comunicação vem de uma empresa que você controla ou similar. Isso também oferece uma camada de proteção, caso eles decidam que você é um malvado Haxxor.
  4. Comunique-se com as pessoas certas. Você não quer falar com o suporte de primeira linha nem com o CEO. Com um pouco de esforço, muitas vezes você pode encontrar o departamento correto. Na pior das hipóteses, procure um CISO ou CERT em uma grande empresa. Ninguém gosta que o chefe da empresa vá invadir o escritório exigindo saber por que essa coisa perigosa do SEE-KU-L não é fixa.

Para um conjunto de diretrizes mais formal, você pode consultar o Fórum CCSS e o OIS Diretrizes para Relatório e Resposta de Vulnerabilidade de Segurança . Você está interessado principalmente nas etapas de "descoberta" e "notificação" que acredito.

Nenhuma empresa sã causará problemas para você por reportar uma vulnerabilidade em particular. Deixar os cães do inferno perderem muito dinheiro. No entanto, se eles interpretarem isso como uma tentativa de extorsão ou se você sair da sua maneira de envergonhá-los, eles podem decidir trazer a equipe jurídica para lidar com você.

    
por 07.06.2011 / 17:08
4

Alerta: alguns estereótipos são feitos abaixo, que podem ou não ser precisos.

A empresa tem uma grande equipe jurídica ou existe há, digamos, mais de 15 anos? Se sim, então não se incomode. Sua divulgação bem intencionada provavelmente será vista como invasão e eles não hesitarão em liberar sua equipe jurídica para você.

Por outro lado, se a empresa for nova, se for vista como entender bem as mídias sociais e, em geral, for solidária e aberta com seus clientes, então sim, vá em frente.

    
por 07.06.2011 / 16:17

Tags

Software de Gerenciamento de Configuração para Linux para “coletar” arquivos de configuração Por que o Ubuntu Server 9.04 não atualizará para o 9.10?