Legalidades do consultor de segurança freelance (SQLi) [closed]

2

Ao longo dos anos, ganhei uma grande experiência em programação (minha ocupação principal) e administração de servidores, e como resultado, tive um apoio bastante decente nas práticas de segurança. Eu também sou muito bom em detectar falhas de segurança em software (incluindo, mas não se limitando a, SQLi), e construí uma lista de sites que poderiam definitivamente usar alguns olhando.

Minha pergunta é: quais são as legalidades de eu entrar em contato com esses sites dizendo algo como "Eu olhei para o seu site e ele parece vulnerável - os dados dos clientes podem ser comprometidos - você gostaria que eu corrigisse isso?" . Poderia eu descobrir que o site é realmente vulnerável ser interpretado como um ataque em si? Se o possível cliente assim desejasse, eles poderiam me levar a tribunal sobre isso?

Quando encontro um site vulnerável, tudo o que faço é confirmar e tomar nota da vulnerabilidade. Eu não estou nisso para ganho pessoal (sendo pago pelo FIXING seria legal!), Apenas por curiosidade. Essa é uma maneira viável de encontrar clientes para esse tipo de trabalho, ou você recomendaria uma maneira mais "legítima"?

Qualquer sugestão / conselho seria muito apreciada:)

    
por Seidr 19.09.2011 / 09:49

2 respostas

5

Eu nunca contrataria você, trabalhando para empresas de médio porte que me contatam o tempo todo para oferecer serviços e vender kits. Varredura de segurança, gerenciamento de licença de software, hardware, serviços de rede gerenciados etc etc. Mas eu nunca uso uma empresa que me ligue de repente e tente colocar um pé na porta. É simplesmente uma prática contra a qual eu aconselho.

No entanto, eu levaria seu e-mail a sério e entraria em contato com um fornecedor de segurança de minha escolha para dar uma olhada e ver se eles podem encontrar um problema.

Mesmo que você tenha dito que era "para ganho pessoal", eu suspeitava que você tentaria obter contratos ou que algo não estava correto. Eu não questiono suas habilidades, apenas a prática é muito duvidosa.

Até suspeito que algumas empresas enviam seu e-mail para uma ação judicial e tentam processá-lo ou até mesmo colocar uma ordem sobre a vulnerabilidade que você encontrou para impedir que você compartilhe as informações com outras pessoas.

Resumindo, não faça isso.

    
por 19.09.2011 / 10:24
3

Por fazer isso profissionalmente por mais de 15 anos, eu diria - tenha muito cuidado! Mesmo se você tiver um contrato em vigor antes de analisar o aplicativo, algumas empresas ainda são bastante litigiosas. O legalista que preciso antes de tocar em um aplicativo é um requisito irritante, mas necessário.

Se a sua identificação da vulnerabilidade é através de atividades totalmente passivas, ou seja, antes de tentar 'confirmação', então você pode estar em um local relativamente seguro do ponto de vista legal (no entanto, eu não sou advogado).

As organizações mais maduras têm contatos de relatórios onde você pode notificar os problemas, e alguns até oferecem uma recompensa (por exemplo, Google, Facebook, etc.), mas a maioria não chega nem perto desse nível.

Se você tiver dado passos ativos para confirmar uma vulnerabilidade, então, da perspectiva de um alvo, você se parecerá com um invasor real e provavelmente estará em seus direitos de usar a lei e os tribunais para evitar que você faça mais nada.

Na perspectiva de ganhar novo trabalho, ele também o colocaria em um lugar ruim com organizações de nível empresarial. É provável que você acabe na sua lista negra por não passar pelos procedimentos contratuais e de contratação habituais.

    
por 19.09.2011 / 10:43

Tags