Pytanie:
Jak postąpić z hakerem w białym kapeluszu, który zgłasza lukę?
Vcode
2019-02-14 01:59:04 UTC
view on stackexchange narkive permalink

Jestem członkiem ds. bezpieczeństwa w małej firmie, z którą niedawno skontaktował się ktoś podający się za członka Hackenproof. Zgłaszali, że nasza witryna jest indeksowana przez Googlebota (metadane, cienka zawartość strony, problemy z tekstem kotwicy) oraz luka w zabezpieczeniach XSS .

Nie mamy jeszcze żadnego oświadczenia prawnego, o którym wiem, dotyczącego VDP (polityki ujawniania luk).

Moje pytania:

  1. Zasadniczo, jak kontynuować, czy nawet powinniśmy? (Czy są prawidłowe?)
  2. Czego zwykle oczekuje biały haker?
  3. Jak sprawdzić lukę?
zgodnie z https://hackenproof.com/#how-it - „Luki są zgłaszane i zarządzane za pośrednictwem naszej platformy koordynacyjnej”.czy na pewno nie skontaktowali się z Tobą sami hackenproof?cały ich model biznesowy polega na tworzeniu programów zgłaszania błędów dla firm takich jak Twoja, które tak naprawdę nie koncentrują się na bezpieczeństwie.ich „członkowie” po prostu rywalizują o nagrody za błędy, sami nie kontaktują się z firmami. Jeśli to nie jest firma, ktoś wydaje się być inżynierią społeczną.
Możesz przynajmniej powiadomić osobę odpowiedzialną za bezpieczeństwo w Twojej firmie, że skontaktowano się z Tobą i powiedziano o luce w zabezpieczeniach xss.Część o nieujawnianiu informacji to zdrowy rozsądek.
Wydaje się bardzo podobny do [this] (https://security.stackexchange.com/q/178076/168620)
Możliwe powiązane: [Nasze biuro się pali.Nie mamy jeszcze zasad reagowania na ogień.Czy powinniśmy pozostać na miejscu, czy też napisać coś w pośpiechu, co oczywiście jest mniej niż idealne?] (
Pamiętaj, że zgodnie z RODO jesteś zobowiązany do powiadomienia odpowiednich organów w ciągu 72 godzin od naruszenia danych.Może nie dotyczyć Ciebie, jeśli nie masz żadnych klientów w UE, ale jeśli chcesz, zacznij od tego wczoraj.
@Harper Niezbyt dobre porównanie, myślę, że moje pytanie jest jasne, jak odpowiedzieć zgłaszającemu i jakie punkty powinniśmy rozważyć, aby upewnić się, że osoba zgłaszająca / luka jest legalna.
Cokolwiek robisz, nie [wyciągaj wyroczni] (https://web.archive.org/web/20150811052336/https://blogs.oracle.com/maryanndavidson/entry/no_you_really_can_t) i spróbuj pozwać białąkapelusz.
Kiedy mówisz „skontaktowano się”, czy masz na myśli „wysłano e-mailem”?„metadane, cienka zawartość strony, problemy z tekstem kotwicy” - to ta część, która budzi we mnie alarm i krzyczy _spamer_, próbując zdobyć biznes / pieniądze.Po co zgłaszać „potencjalne” problemy, które nie są związane z podstawowym problemem dotyczącym bezpieczeństwa (chyba że nie ma „podstawowego problemu dotyczącego bezpieczeństwa”, a tak naprawdę chcą po prostu pracować w Twojej witrynie)?
Luka @Cubic XSS nie jest naruszeniem danych, chyba że firma stwierdzi, że luka została wykorzystana do naruszenia czegoś.To także 72 godziny od kiedy dowiedziałeś się o naruszeniu, a nie od przypadkowego gościa, który powiedział, że jest.
Pięć odpowiedzi:
#1
+64
Buffalo5ix
2019-02-14 03:19:05 UTC
view on stackexchange narkive permalink

Aby odpowiedzieć na każde z twoich pytań:

1. Zasadniczo, jak postępować, a nawet powinniśmy?

Zalecam kontynuowanie. Będziesz mógł zdobyć cenne informacje, które od razu będziesz mógł wykorzystać na poprawę bezpieczeństwa swojej firmy. Nie powiedziałeś nam, co przysłał ci badacz, ale będą mieli opis luki lub metody jej odtworzenia. Aby kontynuować, będziesz potrzebować od nich:

  • Opis / scenariusz ataku znalezionej luki. Dlaczego jest to problem, co konkretnie błąd pozwala atakującemu zrobić, czego nie powinien być w stanie zrobić, jaki jest najgorszy scenariusz / powaga wyniku.

  • Kroki powielania. Jakie kroki możesz dać każdemu inżynierowi i pozwolić mu na odtworzenie błędu za każdym razem.

  • Czego haker szuka w zamian. Jak wspomniano, może to być zezwolenie na publikację wyników po fixingu lub wpłaceniu pieniędzy.

  • Możesz również poprosić badacza o porady dotyczące środków zaradczych, oceny ryzyka itp.

BARDZO WAŻNE: wyjaśnij badaczowi, że oczekujesz od niego zachowania poufności do czasu rozwiązania problemu. Mogą przeciwdziałać za pomocą okna naprawczego, np. mogą publikować i artykułować, jeśli problem nie zostanie rozwiązany w ciągu 60 dni. Jest to powszechna praktyka i powinna być akceptowalna dla większości firm o silnej pozycji w zakresie bezpieczeństwa.

2. Czego zwykle oczekuje się od białego (w kapeluszu) hakera?

Zależy od badacza, ale prawdopodobnie będzie chciał pozwolenia na opublikowanie wyniku, gdy zostanie naprawiony, a także nagrody pieniężnej. Ceny nagród są oparte na ogólnej wadze i wielkości programu nagród. Hackerone, duża platforma do zgłaszania błędów, ma macierz sugerującą wypłaty w zależności od wielkości firmy / programu nagród: https://www.hackerone.com/resources/bug-bounty-basics. Ustalenie ceny wypłaty to subtelna sztuka - polecam przeszukiwanie hakerów lub innych platform bug bounty pod kątem podobnych błędów i oparcie wypłaty na tym, ile inne firmy płacą za ten sam problem.

Znowu - powszechne oczekiwanie badaczy polega na tym, że mogą opublikować wynik w określonym czasie, niezależnie od tego, czy został już naprawiony. 60 dni jest powszechne, ale nie zgodziłbym się na ilość czasu, jeśli nie masz pewności, że Twoja firma może dostarczyć w tym oknie. Po załataniu problemu haker może chcieć sprawdzić, czy poprawka została poprawnie zaimplementowana.

3. Jak zweryfikować?

Skorzystaj z kroków powielania podanych przez hakera. Powinny być na tyle jasne, aby każdy inżynier mógł dokładnie wykonać kroki i odtworzyć błąd. Jeśli pojawią się tutaj jakieś problemy, możesz wrócić do badacza i uzyskać wyjaśnienie. Na badaczach spoczywa odpowiedzialność za dostarczenie firmie kroków reprodukcji, które opisują i identyfikują błąd.

Po naprawieniu problemu możesz poprosić badacza o sprawdzenie poprawności i upewnienie się, że została ona całkowicie załatana.

Raport dotyczy XSS i zawiera część dotyczącą rekultywacji i reprodukcji.jest to wyskakujące okienko, w którym, jak twierdzą, osoba atakująca może przeprowadzić zaawansowane ataki phishingowe, wykonać nieautoryzowaną transakcję płatniczą lub wykonać dowolne działania w imieniu ofiary.
Dzięki za kontekst!XSS może mieć różną wagę, jeśli naprawdę mogą wykonywać nieautoryzowane transakcje płatnicze, jak mówią, to z pewnością jest to krytyczny problem.Oczywiście upewnij się, że potwierdzasz to roszczenie!Bardzo trudno jest mówić o liczbach, nie mając pojęcia, jak duża jest Twoja firma lub zespół ds. Bezpieczeństwa - uważam, że cokolwiek poniżej 3000 USD jest obraźliwie niską wypłatą ** zakładając, że ** naprawdę możesz wykorzystać ten XSS do drenażu funduszy.W przeciwnym razie, dowiedz się, jaka jest najgorsza rzecz, jaką możesz zrobić z tym atakiem, gdziekolwiek od 500 do 3000 USD byłoby typowe dla XSS.
+1, dobra odpowiedź.Jedna mała krytyka.O ile nie ustalono już nagrody za błędy, nie sądzę, że powinieneś ją płacić, nawet jeśli jest to wymagane.Zmienia to relację z umowy społecznej w kontrakt rynkowy.Umowy społeczne generalnie zapewniają większą wartość niż umowy rynkowe i dobrze sprawdzają się w przypadku mniejszych firm, ponieważ mogą one znacznie łatwiej utrzymać umowy społeczne niż duże firmy.Jeśli zamienisz to na pieniądze, będzie to zupełnie inna gra.Udzielanie kredytu tam, gdzie jest on należny, jest bardziej zgodne z umową społeczną.
Dobra uwaga, @SteveSether i zdecydowanie warte rozważenia.Ryzykując, że ten wątek komentarza zmieni się w rozszerzoną dyskusję: osobiście zalecam płacenie za wyniki, aby uspokoić badacza, gdy błąd jest aktywny.Masz rację, że wniesienie pieniędzy do tej mieszanki mętnia wody, ale uważam to za zło konieczne, aby zbudować dobrą wolę u badacza i dać im powód do zachowania poufności do czasu wprowadzenia poprawki.
@Buffalo5ix Myślę, że problem polega na tym, że twoja odpowiedź przedstawia to jako oczekiwanie.Osobiście, jeśli nie zostanie ustanowiony żaden program do zgłaszania błędów, oczekuję, że błąd zostanie naprawiony w odpowiednim czasie i że będę mógł go opublikować.Nie oczekuję pieniędzy (iz pewnością nie zażądałbym ich ze względu na implikacje etyczne i prawne).Sformułowałbym to jako działanie opcjonalne, które można by wykorzystać do zbudowania dobrej woli, zamiast oczekiwania, które należy spełnić.
Jak mógłbym twierdzić, że jestem w stanie dokonywać nieautoryzowanych transakcji płatniczych, nie będąc przestępcą, który _ w oczywisty sposób_ popełnił przestępstwo warte do 10 lat więzienia?Jak byś mi zaufał, będąc przestępcą?
@Damon Uświadomienie sobie luk w zabezpieczeniach strony internetowej (nawet takiej, która może inicjować transakcje płatnicze) nie jest przestępstwem.Nie musisz faktycznie przeprowadzać ataku, aby wiedzieć, że jest to możliwe.
@Damon, wykonując każdy krok, z wyjątkiem faktycznego wykonania ostatecznej transakcji, tak abyś teraz z rozsądną pewnością wiedział, że * gdybyś wcisnął przycisk *, transakcja przeszłaby.Oczywiście, ponieważ twoim celem było jedynie sprawdzenie, czy atak był możliwy, nie robiąc tego, nie jesteś przestępcą.Testujesz witrynę pod kątem błędów, aby zaalarmować właściciela.
@SteveSether Odpowiedź wymaga znacznego wkładu czasu i wysiłku ze strony zgłaszającego błędy.To prawda, że są ludzie, którzy robią to tylko dla uznania, ale jeśli oczekujesz od nich profesjonalnego podejścia do tego, to sprawiedliwe jest, aby firma również zajęła profesjonalne podejście.Co, jak każda inna zlecona podwykonawcom praca specjalistyczna, zasługuje na zapłatę w zamian za wiedzę i czas.
@Graham Możesz zajrzeć do OSS i tego właśnie forum, gdzie znajdziesz kontrprzykłady tego, co opisujesz powyżej.Wiele osób robi rzeczy z miłości, a nie dla pieniędzy.Nie musisz się z tym zgadzać, ale powinieneś to przyznać.
@SteveSether Nie zaprzeczam, że ludzie mogą robić to tylko dla przyjemności, ale firma oferująca im zapłatę za włożony wysiłek jest wyznacznikiem tego, jak firma ceni ten wysiłek.Jeśli biały kapelusz zdecyduje się przekazać go na cele charytatywne lub odmówi, to w porządku.Wtedy jednak staje się wyborem dla białego kapelusza, zamiast zakładać tylko, że firma włoży całą tę pracę za zerową nagrodę.
@Graham Chodzi mi o to, że umowy społeczne są cenniejsze niż umowy rynkowe, zwłaszcza dla (w tym przypadku) małej firmy.Firmy mają możliwość ustanowienia jednej lub drugiej, a umowa społeczna powinna zostać oceniona, czy pasuje.Niektóre firmy mogą być bardziej dostosowane do rynku i to jest w porządku.Po prostu wartość społeczna i umowy społeczne nie są dobrze rozpoznawane w świecie biznesu i zasługują na więcej uwagi.
@SteveSether Czy są bardziej wartościowe?Z pewnością mogą budować świadomość, ale świadomość nie jest równa wartości, jak każdy w Internecie na początku 2000 roku może ci powiedzieć.A jeśli chcesz dać ludziom prawo do chwalenia się, musisz nagłośnić to, co zrobili.Za tego rodzaju epicki upadek małej firmy, firma jest toast, jeśli zostanie upubliczniona.Jeśli znaleźli prawdziwego sępa, zapłać im i zachowaj poufność.
#2
+61
Steve Sether
2019-02-14 02:50:35 UTC
view on stackexchange narkive permalink

Hackenproof wydaje się być witryną, w której każdy może się zarejestrować, więc stwierdzenie, że jesteś członkiem Hackproof, jest równoznaczne z powiedzeniem, że jesteś członkiem Facebooka. To nie jest ekskluzywna grupa hakerów.

Nie ma sformalizowanego standardowego sposobu postępowania w takiej sytuacji, ponieważ Twoja firma, Twoja firma, błąd i biały kapelusz będą się bardzo różnić. Jeden rozmiar nie pasuje do wszystkich.

Ogólnie zaleca się ostrożność, ale ciekawość. Bądź ostrożny, ale nie paranoiczny i mściwy. Nie podawaj białemu kapeluszowi żadnych wewnętrznych informacji, staraj się uzyskać jak najwięcej informacji z góry, ujawniając niewiele lub nic. Wiele z tych osób lubi rozmawiać, aby pokazać własne doświadczenie. Pozwól im to zrobić. Niewiele szkód może się zdarzyć, jeśli informacja przepływa tylko w jedną stronę. Zapytaj go / ją o kod źródłowy lub szczegółowy opis problemu. Następnie przeanalizuj kod / opis i napisz swój własny exploit (i nie kompiluj ani nie uruchamiaj kodu białych kapeluszy), uruchamiając go na instancji testowej, najlepiej tak odizolowanej, jak to tylko możliwe od dowolnego innego środowiska.

Jak Jeśli chodzi o obowiązki każdej ze stron, większość ludzi, którzy obecnie twierdzą, że są hakerami z białego kapelusza, będzie ćwiczyć odpowiedzialne ujawnianie informacji i nie wypuszcza błędu na świat, dopóki nie będzie można go naprawić. Twoim obowiązkiem jest naprawienie błędu (jeśli jest wystarczająco poważny) w rozsądnym czasie (kilka tygodni, a nie lat). Jeśli Twoja firma oferuje nagrody, należy je wypłacić, jeśli błąd spełnia kryteria. Jeśli nie, biały kapelusz powinien zaakceptować, że prawdopodobnie nie otrzymają zapłaty, ale musisz zaakceptować, że mogą opublikować błąd, jeśli nie zostanie naprawiony w rozsądnym czasie.

„Postaraj się uzyskać jak najwięcej informacji z góry, ujawniając niewiele lub nic”.Prosty sposób na zrobienie tego: „Dziękujemy za powiadomienie nas! Czy możesz podać instrukcje dotyczące rozmnażania?”Niczego nie ujawnia, niczego nie obiecuje, prosi o wszystkie potrzebne informacje.Nie prosiłbym nawet o kod źródłowy, chyba że jest to absolutnie konieczne, biorąc pod uwagę, że nie chcesz go wykonywać.
@jpmc26 Myślę, że pytanie o kod źródłowy oddziela pretendentów i próbujących od prawdziwych białych kapeluszy.Niektórzy ludzie mogą po prostu marnować czas, a kod źródłowy sprowadza się do prostych pinezek.
Jestem prawie pewien, że zapewnienie uzasadnionych kroków w celu odtworzenia byłoby równie trudne, gdyby faktycznie nie znaleziono luki.Jeśli naprawdę jest to na tyle skomplikowane, że wymaga kodu źródłowego, ktoś uprawniony prawdopodobnie po prostu dostarczy go, gdy zostanie poproszony o wykonanie kroków, lub przynajmniej zaoferuje dostarczenie go.
#3
+49
Mike Ounsworth
2019-02-14 02:52:26 UTC
view on stackexchange narkive permalink

Nie wiem, czy są tutaj jakieś sztywne zasady. Potraktujmy to jako teorię gry:

Czego chce badacz

Zwykle:

  • Publiczne uznanie za odkrycie, takie jak CVE lub artykuł badawczy.
  • Czasami pieniądze w formie nagród za błędy.

Czego chcesz

Zwykle:

  • Nie upokarzać publicznie.
  • Aby poprawić bezpieczeństwo swojego produktu.

Jak postępować

Z teorii gier z perspektywy, sytuacja, w której wszyscy wygrywają, polega na tym, że muszą ujawnić ci szczegóły, abyś to naprawił i aby uzyskać ich publiczny kredyt. Powinieneś umówić się na telefon z badaczem i poprosić o demo - możesz dużo zyskać i nic nie stracić. Pamiętaj, że zanim zechce pokazać Ci szczegóły, badacz może zażądać NDA lub innej umowy prawnej zapewniającej, że na końcu otrzyma kredyt.

#4
+1
ANone
2019-02-15 17:03:18 UTC
view on stackexchange narkive permalink

Może warto zauważyć, że oni też są w tym całkiem nowi, jest wielu „plusów” i jeśli w ten sposób zarabiasz na życie, prawdopodobnie masz proces, ale zwykle wiąże się to z umową z firmą zanim rozpoczniesz pracę. Ale nawet wtedy różni się to w zależności od firmy i rodzaju pracy.

Jednak wydaje mi się to entuzjastą. Naprawdę wątpię, czy rozmowa z facetem jest cokolwiek do stracenia. Może mieć nierealistyczne oczekiwania, ale co tracisz?

Na marginesie, przepraszam, jeśli jest to protekcjonalne, ale czuję, że trzeba to powiedzieć: jest przynajmniej do pomyślenia, że ​​ma to być droga do bycia '' had ',' czy możemy porozmawiać o niektórych szczegółach implementacji twojego systemu 'to coś, co powinieneś prawdopodobnie powiedzieć' nie ', nawet , zwłaszcza jeśli przychodzą z marchewką.

#5
  0
thomasrutter
2019-02-18 07:12:07 UTC
view on stackexchange narkive permalink

Aby powtórzyć to, co ktoś powiedział w komentarzu, byłoby uczciwe, gdyby spróbował wykluczyć oszustwo lub wymuszenie. Oto kilka kwestii do rozważenia.

  • Czy w ogóle jest mowa o płatnościach w odpowiedzi na informacje - nawet o jakiejś „opłacie administracyjnej”? Zakładając, że nie masz żadnej wcześniejszej nagrody za błąd, prawowity badacz prawdopodobnie nie poprosi o pieniądze - chce naprawić błąd i uzyskać uznanie za jego znalezienie. Proszenie o pieniądze może być postrzegane jako próba wymuszenia lub w najlepszym przypadku nieetyczne.

  • Czy kroki prowadzące do reprodukcji są na tyle niejasne, że nie mogą pomóc w ich odtworzeniu? Poproś inżynierów o wcześniejsze zbadanie ich, aby dokładnie wiedzieć, co masz, i zweryfikować, czy istnieje luka, nawet niewielka. Czy są trochę niechętni do podawania szczegółów, mimo że przestrzegasz normalnych praktyk? Jeśli bez względu na to, co zrobisz, luka w zabezpieczeniach pozostaje niejasna i niepotwierdzona, możesz nie mieć do czynienia z wiarygodnym zgłoszeniem.

  • Czy wydaje się, że zbytnio chcą poznać informacje o tym, jak oprogramowanie działa, a nawet informacje o Twojej firmie lub firmie?

  • Jeśli osoba twierdzi, że reprezentuje jakąś grupę, czy możesz zweryfikować, że faktycznie to robi?

Normalnym sposobem postępowania jest zapewnienie reportera, że ​​jesteś zdecydowany naprawić błąd, podanie ram czasowych na wysłanie poprawki (mogli już określić żądane ramy czasowe, ale jeśli wydaje się to nierozsądne , negocjować), po czym mogą opublikować. Lub sprawdź, czy możesz później poprosić o okres karencji na wypadek, gdyby ponownie przetestowali i stwierdzili, że luka w zabezpieczeniach nadal istnieje w jakiejś formie.

Dawanie pieniędzy w nagrodę to trochę dylemat etyczny, z jednej strony dobrze jest wynagradzać, ale z drugiej strony, jeśli nie masz nagrody za błędy, grozi to zachęcaniem do praktyki znajdowania luk w zabezpieczeniach i oczekiwania wypłat, co jest zbliżone do zachowania czarnego kapelusza. Znowu bądź ostrożny, jeśli najpierw poruszyli kwestię pieniędzy, nawet jeśli masz zamiar trochę dać. Ale jeśli to zrobisz, byłoby lepiej dla wszystkich, gdybyś założył jakiś rodzaj formalnego programu do usuwania błędów.



To pytanie i odpowiedź zostało automatycznie przetłumaczone z języka angielskiego.Oryginalna treść jest dostępna na stackexchange, za co dziękujemy za licencję cc by-sa 4.0, w ramach której jest rozpowszechniana.
Loading...