White Hat

Sveiki, forumiečiai.

Iškilo klausimas toks.

Viename lietuviška gigantiškame puslapyje, kuris generuoja milijonines apyvartas radau pažeidžiamumą. Nesinaudoju tuo, niekada neužsiimu tokiais dalykais, tiesiog žinau, kad jis yra. Ir klausimas kaip dabar pasielgti, ar paskambinti ir pranešti jiems yra geras žingsnis ar tiesiog nutylėti ir pamiršti? Kaip elgtis tokioje situacijoje.

Parašyk, pasakyk, kad radai ir pasakysi už kuklų atlygį... arba be jo. Gal priims į darbą saugumo konsultantu, ką žinai... :)

Žinoma kad pranešti, galbūt už tai dar kažką nuo administracijos gausi <_<

Spręsk pats, mano situacija buvo tokia:

pazintys.lt turėjo SQL injection, pranešiau gavau grąsinimą kad paduos į teismą ir t.t. nes aš jų veiklą ar kažką tokio sutrikdžiau. Čia tas buvo prieš 2-3 metus. Nuo to laiko pasimokiau kad tie didieji tegu eina **

Spręsk pats, mano situacija buvo tokia:

 

pazintys.lt turėjo SQL injection, pranešiau gavau grąsinimą kad paduos į teismą ir t.t. nes aš jų veiklą ar kažką tokio sutrikdžiau. Čia tas buvo prieš 2-3 metus. Nuo to laiko pasimokiau kad tie didieji tegu eina **

Vat aš irgi bijau tokio dalyko.

Beet, su pažintys.lt girdėjąs, kad ten oluxai sėdi ir ne pirmą kartą iš jų pusės pareina nesąmonės.

Bučiau to "didžiojo" tinklalapio savininkas ir gaučiau iš kito asmens apie pažeidžiamumą, tai tikrai bučiau labai dėkingas ir nepagailėčiau atlygio jam, nebūtų pranešimo apie pažeidžiamumą sumokėtu vėliau 100x daugiau, tai tikrai negailėčiau. Mano nuomonė. Bet visokių būna.

Anonimiškai pranešti gali tiek per fake/temporary email tiek naudodamas proxius ir pan. O jeigu tikiesi kažkokio atlygio, bet pats jo prašyti neketini, manau, kad gali drąsiai skambinti ir pranešti apie aptiktą pažeidžiamumą tiesiai iš savo telefono :) Kitas atvejis jeigu tu ruošiesi iškart prašyti už tai atlygio, nes svetainės savininkai tai gali interpretuoti kaip reketą ir kreiptis į policiją. Šiaip pačiam yra tekę keletą kartų dėl edukacinių tikslų įsilaužinėti į ivairias sistemas tai įprastai pirmas dalykas ka nori padaryti tai gauti svetaines/projekto savininkų leidimą. Šiuo atveju gali tiesiog jiems paskambinti/parašyti ir pranešti, kad praktikuojiesi/mokiniesi aptikti svetainių klaidas ir ar jie nesupyktų jeigu jų svetainę patikrintum nuo pažeidžiamumų (mokamai arba nemokamai), o suradus klaidą praneštum. Jeigu sutinka - praneši jau surastą pažeidžiamumą ir visi būna patenkinti.

Truputi apie pačius įsilaužimus/pažeidžiamus:

Iš mano praktikos ir kiek teko domėtis "whitehat" hakinimas yra tokioje "grey area". Kitaip tariant daug kas priklauso nuo šalies, kurioje gyvena svetainės savininkas įstatymų, šalies, kurioje ta svetainė yra talpinama. Daug kas priklauso nuo to kaip patys svetainės savininkai interpretuoja tavo bandymus surasti skyles jų svetainėje. Vieni gali padėkoti, o kiti kreiptis į policiją. Kai(jeigu) kreipiasi į policiją vėl gi yra daug niuansų. Pavyzdžiui ar buvo padaryta kokia nors žala, ar buvo pavogta informacija ir t.t. JEIGU toks tyrimas vyktų tai pirmoje vietoje tavo visi PC namuose būtų konfiskuoti ir būtų bandoma surasti ar turi pavogtos informacijos ir t.t. Geriausias būdas apsidrausti - prašyti leidimo projekto savininkų.

Yra teke daugybe kartu pranesti saugumo spragas lietuviskiems portalams, pvz kaip: uzdarbis.lt, delfi.lt, balticservers.com ir pan.. Siulyciau atsargiai vertinti situacija ir nesitiketi premijos, kadangi pats klaidu ieskojimas jau yra "nusikaltimas" bei serverio veiklos trikdymas ir pan.

Pranesk klaida, o tada matysi ka sako savininkai, po visko kai klaida bus uztaisyta gali paprasyti suvenyro ar tiesiog alaus ar keliu deziu alaus ir tt :). Buve ateju kai zmones patys pasiulo sumoketi uz IT saugumo konsultacija, buve atveju kai teko zyzti kokio menkniekio su oficialiu zenklinimu.

Nors is kitos puses, yra tokiu portalu (Valstybines istaigos) kuriems klaidas geriau rasyti is anonimisku emailu, naudojantis pilnomis apsaugomis.

Vieną kartą buvo ir man tokia situacija. Banko sistemoje radau `reflected xss` . Turėjau dvėjonių, bet pranešiau. Padėko ir viskas