Comments 65
На самом деле: если звезды правильны на небе, и найдет баг, который может стоит миллион, то его надо продать за полляма.
Ну, а уязвимости у мелких сайтов, в опенсорс софте или где еще по мелочи — сообщить по почте, или создать issue.
Ну, а уязвимости у мелких сайтов, в опенсорс софте или где еще по мелочи — сообщить по почте, или создать issue.
Не флейма ради, а токма ликбеза для. Хотелось бы комментарий практикующего юриста про торговлю якобы «открытыми» и «доступными» способами в контексте соучастия в преступлении, хотя бы для юрисдикции России. А то как наркоту делать — ай-ай!, а как банки ломать — милости просим!
Знаете, я вот радикально не соглашусь с прошлой статьёй. Пора уже вводить понятие GrayHat, потому что, какой ты, на фиг, WhiteHat, если ты *требуешь* вознаграждения?
А текущая ситуация давно превратилась в вымогательство. «Заплатите нам или мы воспользуемся уязвимостью.»
Насчёт картинки выше — совершенно согласен. Очень справедливая. Собственно, каждый сам выбирает приемлимые и неприемлимые для себя действия. Для кого-то приемлимо наркотиками торговать, для кого-то — поехать в горячую точку, подзаработать. Кто-то организует секту. Кто-то — пирамиду. Ну, или вот так тоже можно. И ужин будет соответсвующий.
А текущая ситуация давно превратилась в вымогательство. «Заплатите нам или мы воспользуемся уязвимостью.»
Насчёт картинки выше — совершенно согласен. Очень справедливая. Собственно, каждый сам выбирает приемлимые и неприемлимые для себя действия. Для кого-то приемлимо наркотиками торговать, для кого-то — поехать в горячую точку, подзаработать. Кто-то организует секту. Кто-то — пирамиду. Ну, или вот так тоже можно. И ужин будет соответсвующий.
Так потому мы и видим в еновостях сколько хакеры денег наломали и кому из них не удалось избежать наказания. Для White Hat никто не создает условия, это попросту не выгодно.
Ещё раз: «Мне не заплатят — продам или использую уязвимость» — это ни разу не WhiteHat. Я ничего не имею против вознаграждений. Но если у кого-то позиция «Я тут только ради денег» — ради бога, только шляпку пусть белую снимет. Не идёт.
Т.е. с одной стороны денги — поощряют, а с другой — развращают. Читать статьи «я нашёл баг, написал, у них не было баг баунти, мне не заплатили. гады» — мне уже противно.
Любая работа должна быть оплачиваема. Если ты волонтер — это личный выбор, никто заставить быть волонтером (как вы тут пропогандируете в случае с whitehat) не может. Советский союз давно развалился.
Вы не поняли, просто был случай тут, вроде даже на хабр попадало, но ссылок не сохранил. Человек нашёл на каком-то сайте уязвимость и сообщил хозяевам. Те её закрыли и всё. Программы баг баунти у них не было. Парень обиделся. (Напоминаю, работу ему никто не заказывал и обещаний никаких не давал.) Сильно резануло то, что в комментариях (вроде даже на реддите было) многие согласились с ним, типа ему были обязаны заплатить.
Вот это мне не нравится. Начинают считать, что подобные программы — обязательная вещь.
Вот это мне не нравится. Начинают считать, что подобные программы — обязательная вещь.
Вот это мне не нравится. Начинают считать, что подобные программы — обязательная вещь.
Но если у кого-то позиция «Я тут только ради денег» — ради бога, только шляпку пусть белую снимет
Вы сейчас сразу на 2х стульях. Надо или корпорации защищать или whitehat'а.
У вас же получается и первые плохие, когда денег не дают или спасибо не говорят, и второй, когда денег требует.
В итоге получается, что богатые становятся еще богаче (экономия на IT специалистах и отказ платить), а бедные как на картинке с ролтоном.
Вот вы опять. «Отказ платить». Какой отказ там, где договора не было? Никто никому ничего не должен.
Никто не обязан искать уязвимости в чужих сайтах. Но и запрещать кому-то делать это бесплатно из альтруистических соображений — нельзя. И не надо переживать какой там кто ролтон ест.
Нет ничего плохого в том, что для кого-то это легальный заработок. И кто-то целенаправленно ищет баги там, где за них обещают вознаграждение. Но какого чёрта он ищет там, где не обещают?
На двух стульях как раз пытается сидеть тот, кто объявляет что делает это ради того, чтобы сделать мир лучше, но при этом требует награды. С тех, кто ему ничего не предлагал. :) Так что, получается, я защищаю И корпорации И WhiteHat, от тех, кто мимикрирует под первых и шантажирует вторых. :)
Никто не обязан искать уязвимости в чужих сайтах. Но и запрещать кому-то делать это бесплатно из альтруистических соображений — нельзя. И не надо переживать какой там кто ролтон ест.
Нет ничего плохого в том, что для кого-то это легальный заработок. И кто-то целенаправленно ищет баги там, где за них обещают вознаграждение. Но какого чёрта он ищет там, где не обещают?
На двух стульях как раз пытается сидеть тот, кто объявляет что делает это ради того, чтобы сделать мир лучше, но при этом требует награды. С тех, кто ему ничего не предлагал. :) Так что, получается, я защищаю И корпорации И WhiteHat, от тех, кто мимикрирует под первых и шантажирует вторых. :)
Но какого чёрта он ищет там, где не обещают?
Я в основном на баги натыкаюсь случайно. Потом только раскручиваю, чтобы понять насколько они опасные. Правда, эту информацию приходится оставлять при себе. И 0-day так и остаётся 0-day. Почему так происходит — побробно описал ниже
Ну, отлично. Вы же сами прекрасно понимаете какие варианты у вас есть. Можете бодаться с поддержкой чисто ради «мира во всём мире». :) Можете пройти мимо. Можете воспользоваться сами. Можете попробовать продать. Можете попытаться шантажировать угрозой продажи или использования.
Вам нужно чтобы кто-то объяснил вам какие варианты этичны, какие нет? Или нужно чьё-то разрешение или моральное оправдание на некоторые из пунктов? ;-)
Или хотите оспорить мою мысль в этих комментариях, что мне не нравиться, что вариант с шантажом вдруг начал считаться этичным?
Вам нужно чтобы кто-то объяснил вам какие варианты этичны, какие нет? Или нужно чьё-то разрешение или моральное оправдание на некоторые из пунктов? ;-)
Или хотите оспорить мою мысль в этих комментариях, что мне не нравиться, что вариант с шантажом вдруг начал считаться этичным?
Какой отказ там, где договора не было? Никто никому ничего не должен.
Так и я о том же. Спросить, если ли баунти система. Если баунти система есть — отрепортить. Если нет — спросить, как они поступают с багами. Технич. подробностей не говорить. Далее, по личному желанию и соображениям или выйти глупым альтруистом (компания экономит на вас деньги), или продать сей баг на рынке. Все.
И кто-то целенаправленно ищет баги там, где за них обещают вознаграждение.
Как уже написал shanker, на баги и случайно натыкаются в том числе.
Или хотите оспорить мою мысль в этих комментариях, что мне не нравиться, что вариант с шантажом вдруг начал считаться этичным?
О шантаже речи не идет. Идет речь о том, что компания, в которой кривые продукт или подрядчики может, если хочет, выплачить некую плюшку, которую можно намазать на хлеб если уж не с икрой, то с обычным маслом.
Если компания не хочет поощрить, а хочет и дальше экономить бабки на кодерах или на подрядчиках (=аутсорс), то ей просто отказывают в инфе и все. Пусть сами копаются, платят и делают проверку всей системы, что им дороже встанет.
Еще добавлю, для сообщения инфы о баге используйте новые ящики и смените IP, чтобы в случае отказа они не могли найти место, где вы светились и таким макаром сам баг. Упертым — флаг в руки. В данном случае упертая компания.
Мне кажется, надо разграничивать шантаж и участие в bug bounty.
Т.е. если хакер нашел уязвимость у компании, которая не объявляла награду за уязвимости, и требует деньги в обмен на неопубликование — это шантаж.
А если компания объявляет «Ребята, мы готовы платить за уязвимости» то здесь скорее что-то вроде работы по найму по договору оферты. Увидел предложение поискать дыры, согласился с условиями, нашел дыру — ждешь награду. Честный обмен своего времени на деньги
Т.е. если хакер нашел уязвимость у компании, которая не объявляла награду за уязвимости, и требует деньги в обмен на неопубликование — это шантаж.
А если компания объявляет «Ребята, мы готовы платить за уязвимости» то здесь скорее что-то вроде работы по найму по договору оферты. Увидел предложение поискать дыры, согласился с условиями, нашел дыру — ждешь награду. Честный обмен своего времени на деньги
UFO just landed and posted this here
Скорее уж поменять понятие whitehat: хакер, сообщает компании об уязвимости в соответствии с программой поиска этих самых уязвимостей.. Нет программы — нет сообщений!
В текущем же варианте выходит, что whitehat'у никто ничего не должен, а он всем обязан. Так неправильно и в корне неверно.
Если ты помог чьему-то бизнесу, будь добр получить награду.
На моей памяти было несколько ситуаций, когда из-за тех или иных факторов (которые даже и не ищещь специально) можно поднять тот или бакшиш, но программы и баунти нету, а заморачиваться (с подготовкой к «даркнету», биткоинам, левым серверам) просто лень. Конечно там и суммы были бы небольшие, и если правильно подойти, то вас никто в жизни не найдет.
Так что про $миллионный баг — обязательно продать за €полляма. А то, что попроще, и где можно поднять пару $тысяч, и нет программы баунти — не серьезный аргумент для перехода на другую сторону.
В текущем же варианте выходит, что whitehat'у никто ничего не должен, а он всем обязан. Так неправильно и в корне неверно.
Если ты помог чьему-то бизнесу, будь добр получить награду.
На моей памяти было несколько ситуаций, когда из-за тех или иных факторов (которые даже и не ищещь специально) можно поднять тот или бакшиш, но программы и баунти нету, а заморачиваться (с подготовкой к «даркнету», биткоинам, левым серверам) просто лень. Конечно там и суммы были бы небольшие, и если правильно подойти, то вас никто в жизни не найдет.
Так что про $миллионный баг — обязательно продать за €полляма. А то, что попроще, и где можно поднять пару $тысяч, и нет программы баунти — не серьезный аргумент для перехода на другую сторону.
Собственно я GrayHat и предложил. Правильный подход в общем случае — никто никому ничего не должен. Собственно, возможны альтруисты, просто желающие сделать сеть безопаснее. Находят уязвимости и сообщают, не ожидая вознаграждения (но не обязательно отказываясь). Своеобразные фрилансеры, которые подрабатывают поиском уязвимостей (последним стоит узнать про условия и наличие программы баг баунти ДО начала анализа). Ну и откровенные преступники, что ищут уязвимости в корыстных целях.
Вообще-то должен. Правило «никто никому ничего не должен» работают если между субъектами нет никаких отношений. А у пользователя продукта и компании владельца продуктом возникают отношения.
Компания обязана сохранять персональные данные своих пользователей и устранять критические уязвимости (ошибки программистов). При наличии Vulnerability Disclosure Policy у компании — это попытка сделать должником white hat'a и установить свои правила игра.
Поэтому находки white hat hacker'a это как минимум попытка самозащиты своих же персональных данных и он вправе обязывать компанию к действиям, как минимум он имеет право разгласить информацию о найденной им уязвимости кому он посчитаем нужным и на тех условиях, на которых он посчитает нужным.
Поступает ли он как Gray Hat в случае не этичного выбора управления этой информацией? Возможно, но это уже формальный сленг индустрии
Извиняюсь что почти спустя 2 года отвечаю, но перечитывал свои статьи и переосмысливал их.
Компания обязана сохранять персональные данные своих пользователей и устранять критические уязвимости (ошибки программистов). При наличии Vulnerability Disclosure Policy у компании — это попытка сделать должником white hat'a и установить свои правила игра.
Поэтому находки white hat hacker'a это как минимум попытка самозащиты своих же персональных данных и он вправе обязывать компанию к действиям, как минимум он имеет право разгласить информацию о найденной им уязвимости кому он посчитаем нужным и на тех условиях, на которых он посчитает нужным.
Поступает ли он как Gray Hat в случае не этичного выбора управления этой информацией? Возможно, но это уже формальный сленг индустрии
Извиняюсь что почти спустя 2 года отвечаю, но перечитывал свои статьи и переосмысливал их.
«Должна сохранять» в лучшем случае попадает под охрану персональных данных. В подобных законах может быть предусмотрена ответственность компании. Но перед государством. Вряд ли там есть что-то про выплаты вознаграждений или права публиковать найденные уязвимости.
Кроме того не стоит забывать, что проникновение в чужую сеть без разрешения само по себе является незаконным. Так что право к принуждению немного сомнительно.
Кроме того не стоит забывать, что проникновение в чужую сеть без разрешения само по себе является незаконным. Так что право к принуждению немного сомнительно.
Я уверен, что чисто юридически можно придумать множество легальных схем продажи уязвимостей начиная от research paper до программного продукта сканера, который находит нужную уязвимость после нажатия кнопки Scan. К тому же, если говорить о транснациональных(старое понятие), а вернее, глобальных IT компаниях, которые регистрируются в особенных юридических зонах близких к офшорным, то не понятно, как граждане других стран будут отстаивать свои права. Поэтому юридическую плоскость стоит учитывать, но никак не рассматривать как приоритетную. Более приоритетны моральные и финансовые понятия.
«Компания должна охранять пользовательские данные» — это история о морали, которая ярко иллюстрируется на примере разгоревшегося конфликта Cambridge Analitics и Facebook. Разве недовольство пользователей тотальной слежкой и продажей их персальной информации — это сугубо юридический вопрос? Нет. И для того, чтобы юридически правильно оформить и задокументировать тот или иной инцидент — за каждой стороной стола будут работать юристы. Это уже больше походит на последнее сражение, но не на первую битву.
Поэтому у компании есть обязанность сохранять данные и если она не может спланировать работы по безопасности и заложить бюджет на них, то это сделают другие люди, на которых уже не получится сэкономить.
А по поводу проникновения без разрешения, если вы говорите о юридическом аспекте, то закон не запрещает использовать какую-либо определенную клавишу клавиатуре при вводе своих персональных данных в поля сайта, в url, post/get запросах и в остальных местах. Походит на слабую отмазку? Возможно, опытные следователи смогут грамотно задокументировать, доказав наличие умысла и т.д. Но это лишь инструмент в умелых руках в рамках какой-либо страны. Если компании используют офшорные зоны, чтобы уйти от различных видов налогооблажения и ответственности, то почему хакер не может прибегнуть к такой же хитрости?
Моральная же сторона данного вопроса, которая заботит больше, позволяет каждому пользователю системы убедится в ее надежности, путем ее тестирования. Каждый имеет право проверить насколько система безопасна и не представляет ли она опасности его персональным данным. И не только его личным данным, но и его семьи, родственников, друзей, знакомых, да и общества, в принципе.
Требовать деньги для того, чтобы раскрыть уязвимость компании — это однозначно не этично и можно назвать gray hat, а в некоторых случаях и black hat. Но не стоит забывать, что white hat имеет право как находить, так и самостоятельно распоряжаться информацией об уязвимости. И белых, этичных, путей, существует 3 самых популярных и применяемых:
Responsible disclosure — уязвимость вперед, 90 дней на фикс, без намека на вознаграждение, довольно устарелый и не актуальный принцип. Имеет низкие шанс на достойное вознаграждение.
Full disclosure — вечно актуальный принцип публичного раскрытия уязвимости, зачастую, ответное действие на пофигизм компании. Никаких шансов на вознаграждение, кроме репутационного, если соблюсти все негласные правила.
Сoordinated disclosure — делегирование/привлечение независимой и авторитетной третьей стороне (Не 0day брокеры, а например CERT). Супер низкие шансы на вознаграждение.
3 перечисленных популярных подхода имеют плюсы\минусы, все белые, но ничего не гарантируют и по факту, являются неудачными. Поэтому много исследователей пишут свои write-up и растет недовольство тем, что при responsible disclosure, по факту, ответственный только исследователь, а компания не особо.
«Компания должна охранять пользовательские данные» — это история о морали, которая ярко иллюстрируется на примере разгоревшегося конфликта Cambridge Analitics и Facebook. Разве недовольство пользователей тотальной слежкой и продажей их персальной информации — это сугубо юридический вопрос? Нет. И для того, чтобы юридически правильно оформить и задокументировать тот или иной инцидент — за каждой стороной стола будут работать юристы. Это уже больше походит на последнее сражение, но не на первую битву.
Поэтому у компании есть обязанность сохранять данные и если она не может спланировать работы по безопасности и заложить бюджет на них, то это сделают другие люди, на которых уже не получится сэкономить.
А по поводу проникновения без разрешения, если вы говорите о юридическом аспекте, то закон не запрещает использовать какую-либо определенную клавишу клавиатуре при вводе своих персональных данных в поля сайта, в url, post/get запросах и в остальных местах. Походит на слабую отмазку? Возможно, опытные следователи смогут грамотно задокументировать, доказав наличие умысла и т.д. Но это лишь инструмент в умелых руках в рамках какой-либо страны. Если компании используют офшорные зоны, чтобы уйти от различных видов налогооблажения и ответственности, то почему хакер не может прибегнуть к такой же хитрости?
Моральная же сторона данного вопроса, которая заботит больше, позволяет каждому пользователю системы убедится в ее надежности, путем ее тестирования. Каждый имеет право проверить насколько система безопасна и не представляет ли она опасности его персональным данным. И не только его личным данным, но и его семьи, родственников, друзей, знакомых, да и общества, в принципе.
Требовать деньги для того, чтобы раскрыть уязвимость компании — это однозначно не этично и можно назвать gray hat, а в некоторых случаях и black hat. Но не стоит забывать, что white hat имеет право как находить, так и самостоятельно распоряжаться информацией об уязвимости. И белых, этичных, путей, существует 3 самых популярных и применяемых:
Responsible disclosure — уязвимость вперед, 90 дней на фикс, без намека на вознаграждение, довольно устарелый и не актуальный принцип. Имеет низкие шанс на достойное вознаграждение.
Full disclosure — вечно актуальный принцип публичного раскрытия уязвимости, зачастую, ответное действие на пофигизм компании. Никаких шансов на вознаграждение, кроме репутационного, если соблюсти все негласные правила.
Сoordinated disclosure — делегирование/привлечение независимой и авторитетной третьей стороне (Не 0day брокеры, а например CERT). Супер низкие шансы на вознаграждение.
3 перечисленных популярных подхода имеют плюсы\минусы, все белые, но ничего не гарантируют и по факту, являются неудачными. Поэтому много исследователей пишут свои write-up и растет недовольство тем, что при responsible disclosure, по факту, ответственный только исследователь, а компания не особо.
tl;dr;
Вру, конечно, прочитал. Просто по пунктам лень расписывать. Если кратко — в каждой стране по разному. В большинстве случаев людей защищает статус «неуловимого Джо». Ну и репутационные потери при посадке очередного скрипт кидди, который кричит, что хотел сделать мир лучше, не стоят того.
Перед поиском уязвимостей очень желательно получить юридическую консультацию у настоящих юристов по поводу законности своих действий. Причём, как насчёт законов своей страны, так и той, где расположен целевой веб-сайт.
Вот сходу найденый ответ от человека, который целенаправленно ищет уязвимости:
В США ковыряние локальных программ защищено первой поправкой, в Германии и Франции можно сеть. Даже в США ковыряние чужого сайта без разрешения может быть расценено как преступление. И за вами придут ФБР. :)
В РФ ковыряние сайта попадает под ук рф 272, которая грозит проблемами, если в процессе ковыряние что-то было скачано или работа сайта нарушена. Ну или владелец заявит об этом. Тут уже ему предстоит обосновывать, а вам доказывать, что не верблюд.
Вру, конечно, прочитал. Просто по пунктам лень расписывать. Если кратко — в каждой стране по разному. В большинстве случаев людей защищает статус «неуловимого Джо». Ну и репутационные потери при посадке очередного скрипт кидди, который кричит, что хотел сделать мир лучше, не стоят того.
Перед поиском уязвимостей очень желательно получить юридическую консультацию у настоящих юристов по поводу законности своих действий. Причём, как насчёт законов своей страны, так и той, где расположен целевой веб-сайт.
Вот сходу найденый ответ от человека, который целенаправленно ищет уязвимости:
В США ковыряние локальных программ защищено первой поправкой, в Германии и Франции можно сеть. Даже в США ковыряние чужого сайта без разрешения может быть расценено как преступление. И за вами придут ФБР. :)
В РФ ковыряние сайта попадает под ук рф 272, которая грозит проблемами, если в процессе ковыряние что-то было скачано или работа сайта нарушена. Ну или владелец заявит об этом. Тут уже ему предстоит обосновывать, а вам доказывать, что не верблюд.
GrayHat — есть понятие и оно гласит о том, что хакер называя себя белым, берет заказы и использует это для законного проникновения внутрь периметра и потом крадет данные для личного пользования или продажи. Ну с дырками таже беда.
UFO just landed and posted this here
А как быть с теми кто нарушает практики безопасности и подвергает риску ваши персональные данные, как пользователя? Я не имею желания менять банк, из-за того, в его ПО есть ошибка, из-за которой я могу пострадать. Я хочу чтобы работники банка и отв. лицо компании поработали над устранением уязвимости и в будущем их не допускали, заложив бюджет на информационную безопасность.
Ты заметил, что сосед забыл закрыть входную дверь. Насколько справедливо требовать с него денег за эту информацию?
Если он захочет, то отблагодарит тебя сам или скажет просто спасибо. Требовать это уже шантаж. Пойти продать эту информацию Васе-форточнику — гнустность, тем более писать о факте продажи в паблике.
Искать уязвимости и уметь взламывать сети — это круто, может быть даже искусство. Но последнее время все больше появляется людей, которые считают что им все должны за XSS и просто так это оставить не могут. Это значит одно — такой человек настолько редко находит достойные уязвимости, что ценность каждой у него зашкаливает и он тратит кучу времени на доказательство своего «интелектуального» труда. Если ваша уязвимость настолько важна и у разраба нет баг баунти, то есть легальные глобальные общественные объединения, которые платят деньги за любые супер важные(в контексте интернета) уязвимости, их цель грамотно свести к минимому риски при исправлении этой супер-уязвимости и «остаться на светлой стороне».
А такие люди не только позорят имя исследователей, но и портят жизнь таким как я. Я сдаю уязвимости бесплатно, всем попавшим под мое внимание крупным компаниям. Мне ни разу не предложили за это деньги и я не требовал ничего, и в замен я получил пулл постоянных клиентов из этих компаний, потому что показал свою компетентность и адекватность, на фоне вымогателей за каждый чих.
Некоторые хотят сидеть в блэке, но зарабатывать как вайты, сохраняя мировозрение блэка. Вы уже определитесь, вы блэк или вайт? Или хотя бы подблэкивайте втихоря, так чтобы никто не знал. Но никак не шантаж от имени вайтов.
pda0:
Если он захочет, то отблагодарит тебя сам или скажет просто спасибо. Требовать это уже шантаж. Пойти продать эту информацию Васе-форточнику — гнустность, тем более писать о факте продажи в паблике.
Искать уязвимости и уметь взламывать сети — это круто, может быть даже искусство. Но последнее время все больше появляется людей, которые считают что им все должны за XSS и просто так это оставить не могут. Это значит одно — такой человек настолько редко находит достойные уязвимости, что ценность каждой у него зашкаливает и он тратит кучу времени на доказательство своего «интелектуального» труда. Если ваша уязвимость настолько важна и у разраба нет баг баунти, то есть легальные глобальные общественные объединения, которые платят деньги за любые супер важные(в контексте интернета) уязвимости, их цель грамотно свести к минимому риски при исправлении этой супер-уязвимости и «остаться на светлой стороне».
А такие люди не только позорят имя исследователей, но и портят жизнь таким как я. Я сдаю уязвимости бесплатно, всем попавшим под мое внимание крупным компаниям. Мне ни разу не предложили за это деньги и я не требовал ничего, и в замен я получил пулл постоянных клиентов из этих компаний, потому что показал свою компетентность и адекватность, на фоне вымогателей за каждый чих.
Некоторые хотят сидеть в блэке, но зарабатывать как вайты, сохраняя мировозрение блэка. Вы уже определитесь, вы блэк или вайт? Или хотя бы подблэкивайте втихоря, так чтобы никто не знал. Но никак не шантаж от имени вайтов.
pda0:
Читать статьи «я нашёл баг, написал, у них не было баг баунти, мне не заплатили. гады» — мне уже противно.+1, ух уж это новое поколение новоиспеченных хацкиров.
Сейчас всё стоит денег, особенно время. Бесплатно, ради светлого завтра, баги в чужом софте будут искать полтора гика. За денюжку — тысячи и тысячи. В каком случае багов будет меньше? При этом тот, кто это умеет, всё равно будет этим подрабатывать. Можно либо от имени «всея интернета» дать им возможность делать это легально И стабильно, либо они пойдут в тень.
Компании и так все подряд подсовыват юзверям договор, по которому как бы компания не накосячила, сколько данных и бабла клиентов не потеряла — они рафики ниучём неуиноуатыя. Так что не вижу ничего плохого в том, чтобы заставлять компании не делать багов и раскошеливаться за сделаные. Иначе они совсем забьют на безопасность данных пользователей.
Компании и так все подряд подсовыват юзверям договор, по которому как бы компания не накосячила, сколько данных и бабла клиентов не потеряла — они рафики ниучём неуиноуатыя. Так что не вижу ничего плохого в том, чтобы заставлять компании не делать багов и раскошеливаться за сделаные. Иначе они совсем забьют на безопасность данных пользователей.
Когда программисты лезут в бизнес, и выносят важность качества кода выше прибыли — получается фигня.
Каждая компания имеет право решать вести свой бизнес так, как ей выгодно, в рамках законодательства, и в мире уйма бизнеса, которые отлично существуют со своими багами.
А шантаж «дайте мне денег» — неважно с какими целями — это нарушение закона. Если будет страдать бизнес — компания либо разорится, либо найдет выход как порешать. Хочешь быть добрым хакером — цени свое время не только за счет компаний, которым хочешь продать свой баг, но и заранее думай, стоит ли тратить такое драгоценное время на компанию, которая ничего не предлагает, а потом жаловаться.
Каждая компания имеет право решать вести свой бизнес так, как ей выгодно, в рамках законодательства, и в мире уйма бизнеса, которые отлично существуют со своими багами.
А шантаж «дайте мне денег» — неважно с какими целями — это нарушение закона. Если будет страдать бизнес — компания либо разорится, либо найдет выход как порешать. Хочешь быть добрым хакером — цени свое время не только за счет компаний, которым хочешь продать свой баг, но и заранее думай, стоит ли тратить такое драгоценное время на компанию, которая ничего не предлагает, а потом жаловаться.
В том то и дело, что интересы бизнеса стоят выше не только качества кода, но и прав клиентов. Есть много способов как компания сегодня может обмануть клиентов, и ничего ей за это не будет. Не обеспечить должной безопасности пользователям, сэкономить на ней — один из таких обманов. Как показала практика, крупная компания, допустившая слив, не несёт никаких убытков, даже репутационных. Так будет ли она стараться недопустить?
Получается парадоксальная ситуация: чёрный шляп, шантажом вынудивший компанию закрыть баг, действует незаконно, но при этом приносит пользу сообществу пользователей в целом. Белый шляп, решивший «у этой компании нет bug bounty, пойду дальше», действует законно, но этим не приносит пользу обществу допускает совершение преступлений, которые мог бы предотвратить. Парадокс.
Получается парадоксальная ситуация: чёрный шляп, шантажом вынудивший компанию закрыть баг, действует незаконно, но при этом приносит пользу сообществу пользователей в целом. Белый шляп, решивший «у этой компании нет bug bounty, пойду дальше», действует законно, но этим не приносит пользу обществу допускает совершение преступлений, которые мог бы предотвратить. Парадокс.
Какая проблема у белого шляпа опубликовать баг?
Не требовать «или дайте денег или ничего не скажу», а просто сообщить о баге.
А а если нет реакции, и ты считаешь, что баг должен быть исправлен — опубликовать его. Если что то через тот же https://www.openbugbounty.org/?
Не требовать «или дайте денег или ничего не скажу», а просто сообщить о баге.
А а если нет реакции, и ты считаешь, что баг должен быть исправлен — опубликовать его. Если что то через тот же https://www.openbugbounty.org/?
Проблема в возможности потратить свои таланты на 100500 других занятий, которые либо веселее, либо приносят дленьги. Не проблема даже, а зачем ему вообще ковырять чужой код забесплатно? Есть любители, конечно. Но их наамного меньше, чем было бы, существуй надёжная система как найденный баг оценить и продать.
А как опубликовать — как раз проблемы нет.
А как опубликовать — как раз проблемы нет.
Ну так тратьте свои таланты на другие занятия? Вас кто-то заставляет?
Вы никак не хотите понять, что жизнь не крутится вокруг багхантеров?
Платить багхантером — это интересный ход, который особенно полезен для крупных публичных сервисов, но совсем не факт, что он нужен в 95% остальных случаев.
Вы никак не хотите понять, что жизнь не крутится вокруг багхантеров?
Платить багхантером — это интересный ход, который особенно полезен для крупных публичных сервисов, но совсем не факт, что он нужен в 95% остальных случаев.
Жизнь не крутится вокруг багхантеров. Жизнь не крутится вокруг врачей, археологов и астрофизиков. Но без них как-то хуже, чем с ними. Деятельность багхантеров полезна уже тем, что они банально вытесняют из ниши преступников, так как расходуют общий с ними ресурс — дыры. Их бы поддерживать и развивать, а им вместо этого фиги, угрозы и «не хочешь — не занимайся».
Меня радует, как вы багхантеров приписали к врачам, археологам и астрофизикам.
Но на самом деле, баги — должны искать тестировщики, это их прямая задача и зарплата.
Просто да, мир неидеален, и настроить производственный процесс таким образом, чтобы обойтись только своими силами — крайне сложно. И никто не против багхантеров. Но вот требовать, чтобы багбаунти программы была на КАЖДОМ ресурсе, на каждом сайте, у каждого продукта?..
Но на самом деле, баги — должны искать тестировщики, это их прямая задача и зарплата.
Просто да, мир неидеален, и настроить производственный процесс таким образом, чтобы обойтись только своими силами — крайне сложно. И никто не против багхантеров. Но вот требовать, чтобы багбаунти программы была на КАЖДОМ ресурсе, на каждом сайте, у каждого продукта?..
Как минимум такая, что WH могут потом и засудить.
UFO just landed and posted this here
Ты заметил, что сосед забыл закрыть входную дверь. Насколько справедливо требовать с него денег за эту информацию?
Сосед — это opensource (=денег с квартиры не имеет). Если же у него дома бордель (=деньги с квартиры имеет), то сообщить конкурентам в другой бордель, получить денежку, намазать икру и наблюдать за разделом имущества.
Еще играют немаловажную роль личные отношения и гражданская позиция (в случае, если это случается с ассоциациями или организациями). Но опять же, дверь != баг, об этом в общих словах не сообщить. Поэтому решение «позвонить соседу или спалить конкурентам» надо принимать на месте, пока другой сосед не принят за вас, руководствуясь своими личными интересами.
Нет. Сосед — это не коммерческая компания, сравнение не корректно.
А вот если у соседа в квартире есть угроза для жизни его гостям: они могут подскользнуться, сесть на трухлявый стул, который сломается или даже встретить опасного тарантула или змею, которая убежала из клетки — то об этой возможности, которую допустил владелец квартиры, можно пристыдить любого соседа и при взаимовежливой коммуникации, он вас поблагодарит за предостережения.
Странно было бы требовать у него вознаграждение за это. Он же не зарабатывает на этом.
Поэтому ответ на ваш комментарий: требовать с соседа денег не справедливо, требовать деньги с компании — не этично (not a white hat)
И дело не в поколении новоиспеченных хакеров, которые косят под white hat но мыслят как black hat виновато. А в компаниях, которым наплевать на репорты которые им присылают бесплатно и их оценки риска потери пользовательских данных и своей репутации.
P.S. Про XSS действительно, наболевшее. С тех пор как появилось много неплохо зарабатывающих баг хантеров, это стало мейнстримом :)
А вот если у соседа в квартире есть угроза для жизни его гостям: они могут подскользнуться, сесть на трухлявый стул, который сломается или даже встретить опасного тарантула или змею, которая убежала из клетки — то об этой возможности, которую допустил владелец квартиры, можно пристыдить любого соседа и при взаимовежливой коммуникации, он вас поблагодарит за предостережения.
Странно было бы требовать у него вознаграждение за это. Он же не зарабатывает на этом.
Поэтому ответ на ваш комментарий: требовать с соседа денег не справедливо, требовать деньги с компании — не этично (not a white hat)
И дело не в поколении новоиспеченных хакеров, которые косят под white hat но мыслят как black hat виновато. А в компаниях, которым наплевать на репорты которые им присылают бесплатно и их оценки риска потери пользовательских данных и своей репутации.
P.S. Про XSS действительно, наболевшее. С тех пор как появилось много неплохо зарабатывающих баг хантеров, это стало мейнстримом :)
Если же программы нет, тогда назначайте свою цену, почему нет? Это ваше время и только вы можете его оценить по достоинству.
Вас кто-то просил это время тратить? Автор, купи кирпич, я сейчас цену назначу, я время потратил, чтобы тебе его принести, полезная в хозяйстве вещь. Вы обыкновенный вымогатель и шантажист с таким подходом.
Вы даже тут себе цену набиваете так, что читать противно. К чему эта душещипательная история со скриншотом о том, что ваш пост попал в «самое интересное»? Это намек на то, что вы потратили время и нам следует заплатить?
Оценка — вообще довольно часто субьективная вещь. Вот как Лукацкий однажды говорил: допустим, над Африкой разбился самолёт со сверхсекретными сведениями о новом оружи. Вроде, ущерб от разглашения налицо… Но если туземцы не умеют читать — какой тут ущерб?
Ущерб в том, что неграмотные туземцы продадут эфиопам, а эфиопы иранцам.
(Правда Δt будет существенно больше, нежели если разобьется над Аризоной или Сибирью.)
(Правда Δt будет существенно больше, нежели если разобьется над Аризоной или Сибирью.)
Для начала — туземцы должны понимать, что этот товар представляет ценность. Если иранцы узнали о случившемся и сами вышли на туземцев — это ещё возможно. Но чтобы туземцы сами понимали ценность и искали покупателя — маловертояно.
Также и с уязвимостями: нужно знать кому продать и как продажу осуществить. Стоять с плакатом «продаю уязвимости» у метро — вряд ли КПД будет высоким
Также и с уязвимостями: нужно знать кому продать и как продажу осуществить. Стоять с плакатом «продаю уязвимости» у метро — вряд ли КПД будет высоким
Интересно, а сами компании покупают в даркнете уязвимости к своим продуктам?
Мне кажется, что все таки статье место на Geektimes, а то разработкой тут даже не пахнет.
Я за такой вариант:
— Есть баг-баунти: получил награду
— Нет баг-баунти: сообщил в саппорт
— Сказали спасибо: с чувством выполненного долга спишь спокойно
— Нагрубили, угрожали, отмахнулись: сливай все в даркнет пока не научатся.
— Есть баг-баунти: получил награду
— Нет баг-баунти: сообщил в саппорт
— Сказали спасибо: с чувством выполненного долга спишь спокойно
— Нагрубили, угрожали, отмахнулись: сливай все в даркнет пока не научатся.
Поддерживаю.
Бывают случаи, когда сказали спасибо, а смотришь — через месяц баг все еще не закрыт.
И какой бы ты ни был уникальный хакер, всегда найдется другой, который тоже найдет этот баг, и возможно втихоря будет им пользоваться, а компания — провайдер услуг или банк, и страдают пользователи.
Тогда как вариант, можно баг опубликовать в открытых источниках, с ссылками на свои обращения в саппорт, чтобы мотивировать их исправление. Это уже ближе к плохому, но все еще white hat.
И какой бы ты ни был уникальный хакер, всегда найдется другой, который тоже найдет этот баг, и возможно втихоря будет им пользоваться, а компания — провайдер услуг или банк, и страдают пользователи.
Тогда как вариант, можно баг опубликовать в открытых источниках, с ссылками на свои обращения в саппорт, чтобы мотивировать их исправление. Это уже ближе к плохому, но все еще white hat.
— Нагрубили, угрожали, отмахнулись: сливай все в даркнет пока не научатся.Заменить этот пункт на:
— Нагрубили, угрожали, отмахнулись: забить.
В остальном — поддерживаю.
— Сказали спасибо: с чувством выполненного долга спишь спокойно
— Нагрубили, угрожали, отмахнулись: сливай все в даркнет пока не научатся.
«Сказали спасибо» — очень редко. Сливать в даркнет — это же тоже самое что и «взломать», только чужими руками. Это все равно вам в карму зачтется.
Есть еще один вариант, недавно наткнулся — https://www.openbugbounty.org/
можно зарепортить и отложить публикацию деталей уязвимости. система сама пошлет уведомление по контактам в whois или dns.
если нет реакции — full disclosure публикуется автоматически.
P.S. Там много чего интересного и до сих пор неприкрытого
https://www.openbugbounty.org/incidents/164922/
https://www.openbugbounty.org/incidents/94922/
Какое вымогательство? какой шантаж? Граждане, вы о чём?
Кто-то занимается благотворительностью, а кто-то — коммерческой деятельностью… Товар в данном случае — информация о баге.
Кто-то занимается благотворительностью, а кто-то — коммерческой деятельностью… Товар в данном случае — информация о баге.
Я бы сказал, что есть три разных варианта:
«Привет, я нашел у вас уязвимость. Вот ее описание… Вот чем она опасна .....» — это благотворительность.
«Привет, я нашел у вас уязвимость. Если вы готовы заплатить, то я все вам о ней сообщу и посоветую, как исправить» — это что-то вроде коммерческой деятельности.
«Привет, я нашел у вас уязвимость. Если вы заплатите, я сообщу о ней вам. Если нет, то я продам ее злым хакерам или опубликую» — вот это уже шантаж.
«Привет, я нашел у вас уязвимость. Вот ее описание… Вот чем она опасна .....» — это благотворительность.
«Привет, я нашел у вас уязвимость. Если вы готовы заплатить, то я все вам о ней сообщу и посоветую, как исправить» — это что-то вроде коммерческой деятельности.
«Привет, я нашел у вас уязвимость. Если вы заплатите, я сообщу о ней вам. Если нет, то я продам ее злым хакерам или опубликую» — вот это уже шантаж.
Все очень просто. Если в западных компаниях эта программа нормально работает, то у нас (страны СНГ) это не позволяет делать менталитет, большинство руководителей просто напросто думает что «Почему я должен ему платить, ведь он взломал меня», ну и опять же, как это у нас может работать, если во всем мире менеджер это управляющая должность, а у нас менеджером может быть кто угодно.
Я однозначно считаю, что компании должны заботиться об информационной безопасности. Поэтому я поддерживаю введение bug bounty программ, поощрений для хакеров, которые сообщили об уязвимости компании, негодую, если какая-то компания проигнорировала исследователя и не заплатила ему, нагрубила или проигнорировала.
Но есть определенная граница, которую я не перехожу. Когда я нахожу какую-то критичную уязвимость (например, которая позволяет получить полный доступ к аккаунтам всех пользователей какого-то хостинга), я сообщаю о ней компании. И если ответ меня не устраивает, то я ною на Хабре, готовлюсь писать статью об этом, просто забываю про это, но не продаю эту уязвимость и не публикую. Именно потому, что это WhiteHat. А сообщение об уязвимости с требованием вознаграждения и угрозами использования или публикации уже выглядит как шантаж. Это вполне серьезный BlackHat. Мало того, что это аморально, неэтично и незаконно (тут нужен юрист), но подобное поведение портит имидж всех белых хакеров в целом.
Но есть определенная граница, которую я не перехожу. Когда я нахожу какую-то критичную уязвимость (например, которая позволяет получить полный доступ к аккаунтам всех пользователей какого-то хостинга), я сообщаю о ней компании. И если ответ меня не устраивает, то я ною на Хабре, готовлюсь писать статью об этом, просто забываю про это, но не продаю эту уязвимость и не публикую. Именно потому, что это WhiteHat. А сообщение об уязвимости с требованием вознаграждения и угрозами использования или публикации уже выглядит как шантаж. Это вполне серьезный BlackHat. Мало того, что это аморально, неэтично и незаконно (тут нужен юрист), но подобное поведение портит имидж всех белых хакеров в целом.
По-моему, если строго следовать закону, то даже просто целенаправленный поиск уязвимостей в сервисе, если нет договорённости с владельцами (в форме публичной bug bounty, либо персональной), является преступлением. Не важно с целью ли взломать сервис/продать уязвимость или сообщить владельцу.
Это интересный вопрос, на самом деле. Например, я создал в каком-то сервисе аккаунт, ищу XSS или CSRF. К чужим данным не лезу, получаю доступ к своим, только разными способами. Возникает вопрос, можно ли меня за это как-то наказать (исключительно с точки зрения закона).
Ну доступ к данным это одно дело. Но вы же в любом случае будете пользоваться сервисом при этом, возможно слать специально сформированные запросы. А вдруг сервис упадёт, или что внутри сломается — будет нанесён ущерб. Конечно, тоже самое может произойти если пользователь введёт что-то не то. Но с точки зрения закона небезразлично наткнулись ли вы на проблему совершенно случайно, или же целенаправленно искали слабые места — это может в корне всё поменять.
Если ничто не упало и не сломалось, ущерба не нанесено, но вашу "нехорошую" активность обнаружили — не знаю. Вроде есть "Статья 272. Неправомерный доступ к компьютерной информации" и формулировки там настолько общие, что можно что угодно притянуть. Думаю, всё на дано откуп экспертов.
Если не подписывали соглашение с владельцами сервиса (не регались, нажимая галочку «согласен»), то само исследование — еще не нарушение. Но тут уже суд решит, насколько осознанно вы взламывали или исследовали.
Вот мой скромный опыт:
1. Обход проактивной защиты Agnitum Outpost Security Suite
(bug bounty не было)
2. Обход проактивной защиты продуктов лаборатории Касперского (bug bounty не было)
3. Попал в Yandex Hall of Fame за найденный баг в Яндекс.Браузере (тогда у них не было ещё bug bounty)
Итог: куча потраченного времени на общение с саппортом и попытку донести важность проблемы. В случае с Agnitum — фикс появился уже после того, как я сначала выступил с докладом на ZeroNights, а потом выложил статью на Хабре.
Внимание, вопрос!
Имеются актуальные найденные баги (уже год как нашёл и они ещё актуальны) в:
1. Серверах SuperMicro (хардкодные пользователи с паролями + возможность использовать устройство как socks-proxy неавторизованному пользователю)
2. Спутниковом оборудовании компании Intellian. (хардкодные пользователи с паролями, возможность покрутить спутниковую антенну). Через Shodan их в Интернете найти не удалось. А через наш поисковый механизм найдено 30 штук. Подозреваю, что в интернете их немного, т.к. у них в основном локальная адресация.
Как я понял, и у SuperMicro, и у Intellian нету bug bounty. И что мне с этим делать? Какая у меня мотивация тратить кучу времени и опять что-то доказывать саппорту? Если можно было бы законно продать — я бы потратил время на общение с саппортом, развёрнутое описание проблем. Тратить время на продажу через даркнет? Тут тоже проблемы: времени портачу точно. Найду ли покупателя — не факт. И + вопросы законности, которые совсем уж ставят финальный крест на этом пути
1. Обход проактивной защиты Agnitum Outpost Security Suite
(bug bounty не было)
2. Обход проактивной защиты продуктов лаборатории Касперского (bug bounty не было)
3. Попал в Yandex Hall of Fame за найденный баг в Яндекс.Браузере (тогда у них не было ещё bug bounty)
Итог: куча потраченного времени на общение с саппортом и попытку донести важность проблемы. В случае с Agnitum — фикс появился уже после того, как я сначала выступил с докладом на ZeroNights, а потом выложил статью на Хабре.
Внимание, вопрос!
Имеются актуальные найденные баги (уже год как нашёл и они ещё актуальны) в:
1. Серверах SuperMicro (хардкодные пользователи с паролями + возможность использовать устройство как socks-proxy неавторизованному пользователю)
2. Спутниковом оборудовании компании Intellian. (хардкодные пользователи с паролями, возможность покрутить спутниковую антенну). Через Shodan их в Интернете найти не удалось. А через наш поисковый механизм найдено 30 штук. Подозреваю, что в интернете их немного, т.к. у них в основном локальная адресация.
Как я понял, и у SuperMicro, и у Intellian нету bug bounty. И что мне с этим делать? Какая у меня мотивация тратить кучу времени и опять что-то доказывать саппорту? Если можно было бы законно продать — я бы потратил время на общение с саппортом, развёрнутое описание проблем. Тратить время на продажу через даркнет? Тут тоже проблемы: времени портачу точно. Найду ли покупателя — не факт. И + вопросы законности, которые совсем уж ставят финальный крест на этом пути
В добавок: а писать статьи, пока это 0-day — не этично. Т.е. чтобы быть этичным и позволить себе написать статьи о багах, я должен пройти ад общения с саппортом.
Ну берем как в случае c Agnitum и выступаем на конференции. Также если конференции нет, пишем в саппорт и через 3-7 дней публикуем статью. Я считаю, что это куда будет продуктивнее. Да не заплатят, но свое имя в сфере ИБ надо же как-то делать :)
Да никакой мотивации.
Сообщил на свою голову Яндексу о баге FBL, наивно думал, что исправят.
Несколько месяцев общения и… они выпилили эту функцию вообще.
Так что о двух других мелочах я теперь просто промолчу.
Сообщил на свою голову Яндексу о баге FBL, наивно думал, что исправят.
Несколько месяцев общения и… они выпилили эту функцию вообще.
Так что о двух других мелочах я теперь просто промолчу.
Sign up to leave a comment.
Как поступить с найденной уязвимостью и что делать если нет Bug Bounty программы?