Обычно во всех лабораториях есть предупреждения о подобном.
Ничего страшного в этом нет. Ниже пример с OffensiveSecurity
HAZARDS
Please read this part extremely carefully.
By joining the Offensive Security VPN, you will be exposing your computers' VPN IP to other students taking the course with you. Due to the nature of the course (and its participants!), your computer may be subjected to attacks originating from the VPN network. This is true even if you are located behind a NAT device. Kali users, please change the default root password!
Просто берём и пишем пост. Мои посты подобного толка:
Ошибка выжившего.
По формулировке статьи PoC-exploit просто не должен быть заведомо деструктивным, вот и всё.
То есть по вашему можно разрабатывать не деструктивные эксплойты?
На вопросы про нюансы законодательства отвечать не буду, так как не юрист, но в статье я точно обозначил что есть подобные риски и далее уже придется ходить по судам и доказывать что один документ имеет приоритет над другим и тп. Мало кому захочется это сделать.
Местным компаниям (особенно окологосударственным) открыто дорогу переходить я бы, конечно, не советовал. Но и в этом случае совершенно понятно, как обнародовать проблему, чтобы она была гарантированно решена — на Хабре и такие посты были.
Заключение статьи о том, что хочется жить в обществе, где можно открыто говорить о проблеме и уведомлять пользователей, а вы тут же после своих изречений что это пугалка, сами говорите, что дорогу лучше не переходить местным компаниям. О местной компании и речь.
Предлагаю вам придерживаться какой-то одной позиции, если хотите подискутировать.
Спасибо за мнение, только думаю, что не все случаи взлома можно продемонстрировать не раскрывая технические детали. И никакого согласия вендора не будет, если ему это не интересно.
С этической стороны согласен с вами, но с юридической откуда вы взяли цифру 90 дней?
Квалификация и анонимность никак не связаны, закон должен работать на обе стороны и исследователи не обязаны скрывать свою личность, когда делают благое дело.
Если вендор обнаруженной уязвимости не входит в список CNA на странице cve.mitre.org/cve/request_id.html#cna_participants, то идентификатор можно быстро зарегистрировать через форму митре по сути даже не представляя весомых доказательств подтверждающих уязвимость и не дожидаясь ответа самого вендора
Далее они рассматривают заявку в течении суток и высылают на указанную почту письмо с зарезервированным CVE-xxx-xxx и полями которые вы заполнили в форме.
После чего необходимо опубликовать эту информацию на каком-либо публичном источнике, можно даже на github.
Далее частой ошибкой является отправка публичной ссылки ответом на почту, которая у них криво работает, поэтому стоит высылать через cveform.mitre.org в категории «Notify CVE about a publication»
Еще сутки и CVE успешно опубликована по ссылке cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-XXXX-XXXX
Спустя время также появится и на nvd.nist.gov/vuln/detail/CVE-XXXX-XXXX
Итого:
запрос через веб-форму -> публикация -> запрос через веб-форму =
2 дня по длительности и CVE опубликовано
Если вендор не успел запатчиться, то просто не стоит раскрывать полные технические детали сразу (не публиковать эксплойт), а можно их будет добавить спустя время также через форму.
Я обычно имею дело со средним и крупным бизнесом, которые заказывают пентесты не первый год, поэтому и делюсь своим опытом. Рассказывать о том, как nmap ломает всю сеть могут и другие авторы.
Что касается программы которая падает от нулевого байта и вопроса почему компания несколько лет не устраняла его, нужно понять:
насколько он был критичен? был ли UDP порт доступен из интернета? как часто он эксплуатировался?
сколько стоило его устранение (переписать код, протестировать, обновить и т.п.)? было ли это дешевле всех рисков которые он нёс?
Чтобы открывали искусственно дыры — в моей практике не было, но официально было: протестировать информационную систему, изначально имея привилегированные права.
Всегда пожалуйста) Конечно бывали, многие специалисты по ИБ в самой компании заинтересованы в качественных работах по пентесту и нахождению максимального количества недостатков. Это позволяет им увидеть реальное положение дел, а также позволяет обосновать бюджет на дозакупку дополнительных СЗИ.
1)Типовой пентест — это сжатое по времени мероприятие, около 3-10 рабочих дней. При включенных наложенных и проактивных средствах защиты львиная доля времени тратится на попытку их обхода вместо тестирования самой инфраструктуры. Поэтому, учитывая сжатые сроки, пентест лучше проводить без них — но это, еще раз повторю, типовой случай. Ничто не мешает проводить пентест полгода со всеми включенными СЗИ и реагированием ИБ на атаки, правда это уже будет называться «редтим».
2) WAF не отключается, а только хосты пентестеров добавляются в исключения на время работ.
Требования по тестированию на проникновение заложено в ряд нормативных документов по ИБ, в РФ:
382-П, гост 57580.1-2017, а также из международных: PCI DSS, требования по безопасности платежной системы SWIFT.
Спасибо за статью, приятная подача материала. Есть ли какая-то разница работы NetBIOS на старых и новых операционных системах?
И все таки хотелось бы увидеть более конкретные рекомендации, чтобы всё было более безопасно и не сломалось.
Да все кто не связан с IT, подвержены большому риску кибер-мошенничества, особенно удар приходится на старшее поколение, которые часто совершенно не понимают не то что «какие привилегии приложения безопасны», а банально «как выйти из приложения».
Спасибо за некоторые технические примечания — они уместны. Жаль Вы не поняли, что цель статьи решить реальную проблему и привлечь читателя в прекрасное путешествие под названием «реверс-инжиниринг» пусть и простыми, не самыми эффективными инструментами.
Спасибо за вашу статью. Видно, что Вы проделали большую работу по решению искусственно придуманной задачи-головоломки, но это обычно нужно для соревнований или при устройстве на работу.
Сухая подача ведь тоже режет глаз Вы не находите ?)
Скорее всего это адаптация ранее написанных вредоносных программ, «малварщики» вообще ленивый народ: взять готовое, вписать свои сервера, обфусцировать (чтобы хотя бы денёк антивирусом не ловился) и вот вам готовая схема. Есть и более продвинутые с пулом-адресов, качественным ассиметричным шифрованием, коммерческим обфускатором и многое другое, но это явно не тут случай)
Ничего страшного в этом нет. Ниже пример с OffensiveSecurity
Ошибка выжившего.
То есть по вашему можно разрабатывать не деструктивные эксплойты?
На вопросы про нюансы законодательства отвечать не буду, так как не юрист, но в статье я точно обозначил что есть подобные риски и далее уже придется ходить по судам и доказывать что один документ имеет приоритет над другим и тп. Мало кому захочется это сделать.
Заключение статьи о том, что хочется жить в обществе, где можно открыто говорить о проблеме и уведомлять пользователей, а вы тут же после своих изречений что это пугалка, сами говорите, что дорогу лучше не переходить местным компаниям. О местной компании и речь.
Предлагаю вам придерживаться какой-то одной позиции, если хотите подискутировать.
Квалификация и анонимность никак не связаны, закон должен работать на обе стороны и исследователи не обязаны скрывать свою личность, когда делают благое дело.
Далее они рассматривают заявку в течении суток и высылают на указанную почту письмо с зарезервированным CVE-xxx-xxx и полями которые вы заполнили в форме.
После чего необходимо опубликовать эту информацию на каком-либо публичном источнике, можно даже на github.
Далее частой ошибкой является отправка публичной ссылки ответом на почту, которая у них криво работает, поэтому стоит высылать через cveform.mitre.org в категории «Notify CVE about a publication»
Еще сутки и CVE успешно опубликована по ссылке cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-XXXX-XXXX
Спустя время также появится и на nvd.nist.gov/vuln/detail/CVE-XXXX-XXXX
Итого:
запрос через веб-форму -> публикация -> запрос через веб-форму =
2 дня по длительности и CVE опубликовано
Если вендор не успел запатчиться, то просто не стоит раскрывать полные технические детали сразу (не публиковать эксплойт), а можно их будет добавить спустя время также через форму.
Пример одной из моих CVE оформленных за 2 дня: cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-25749.
Что касается программы которая падает от нулевого байта и вопроса почему компания несколько лет не устраняла его, нужно понять:
насколько он был критичен? был ли UDP порт доступен из интернета? как часто он эксплуатировался?
сколько стоило его устранение (переписать код, протестировать, обновить и т.п.)? было ли это дешевле всех рисков которые он нёс?
2) WAF не отключается, а только хосты пентестеров добавляются в исключения на время работ.
382-П, гост 57580.1-2017, а также из международных: PCI DSS, требования по безопасности платежной системы SWIFT.
И все таки хотелось бы увидеть более конкретные рекомендации, чтобы всё было более безопасно и не сломалось.
Спасибо за вашу статью. Видно, что Вы проделали большую работу по решению искусственно придуманной задачи-головоломки, но это обычно нужно для соревнований или при устройстве на работу.
Скорее всего это адаптация ранее написанных вредоносных программ, «малварщики» вообще ленивый народ: взять готовое, вписать свои сервера, обфусцировать (чтобы хотя бы денёк антивирусом не ловился) и вот вам готовая схема. Есть и более продвинутые с пулом-адресов, качественным ассиметричным шифрованием, коммерческим обфускатором и многое другое, но это явно не тут случай)