Az alábbi tanácsok pusztán elvi alapot igyekeznek adni biztonsági problémák bejelentéséhez. Bár a leírt folyamat tapasztalataim szerint nagyrészt sikerrel alkalmazható, ne tekints rá Szentírásként, mert minden helyzet más követelményeket támaszthat.
Találtam egy veszedelmes biztonsági problémát az XY szoftverben, mit tegyek?
Először is gondold végig, hogy mit is találtál: valóban egy tátongó biztonsági résről van szó, vagy csak apróbb bökkenőröl, ami nem okoz különösebb eltérülést az elvárt működési iránytól? Vedd figyelembe a környezetet: ugyanaz a probléma Pistike 856. programozási házifeladatában valószínűleg nem okoz akkora galibát, mint mondjuk egy banki rendszerben. Gondold végig, hogy egy rosszindulatú támadó mire tudná felhasználni a birtokodba jutott információt, és hogy egyáltalán megérné-e számára ezen az úton elindulni! Jelentéktelen dolgokba nem biztos, hogy érdemes energiát fektetni.
A hiba über-veszélyes, halott csecsemők fognak záporozni az égből, ha nem javítják ki hamar!
Ahogy kedvenc útikalauzom hátán is szerepel: Ne Ess Pánikba! Viszonylag kicsi az esély arra, hogy éppen téged követően lel rá a kirgiz maffia ugyanarra a biztonsági résre - sokkal valószínűbb, hogy már megtalálták, vagy hogy még jó ideig nem fognak ezzel a területtel foglalkozni. Fogalmazz tehát egy udvarias e-mailt, amiben leírod, hogy
- Találtál egy hibát, melynek kihasználásával ezt és ezt lehet csinálni
- Ez egy segítő szándékú bejelentés, ezért szívesen megosztod a probléma részleteit az illetékesekkel, amennyiben T napon belül szíveskednek válaszra méltatni.
T legyen 3-7 nap, attól függően, hogy mekkora cégről van szó, és hogy milyen súlyos a probléma (a multik malmai lassan őrölnek, lehet hogy 3 nap alatt el sem jut az üzenet az illetékesig). Regisztrálj egy e-mail címet valamelyik szimpatikus szolgáltatónál (pl. hushmail), és erről a címről küldd a levelet - sajnos egyes IT felelősök hajlamosak átmenni aggresszívba, ha úgy érzik, fény derül arra milyen munkát végeztek... A levél címzettjei között - a tetszőleges helyről összeszedett kontaktinfók mellett - szerepeljenek az érintett gyártó info@, security@, support@ kezdetű címei, akár léteznek ilyenek, akár nem. Miután ezzel megvagy várj türelmesen!
Várok, várok, letelt a T idő, de még semmi.
Vedd elő az előbb regisztrált fiókot, és nézd meg a Spam-gyűjteményt is. Ha ott sincs üdvözítő találat, küldd el az előző levelet, annyival kiegészítve, hogy ha T/2 időn belül sem hederítenek rád, átadod az információt a kirgiz maffiának azt úgy értékeled, hogy az érintett cég szerint a probléma nem jelent veszélyt rájuk nézve, ezért a hiba részleteit lelkiismeretfurdalás nélkül közzé fogod tenni. Ezt a levelet - az eredeti címek mellett - próbáld meg a górék postafiókjába is belőni. És várj.
A türelem szobrát rólam mintáznák, de ezek vagy meghaltak, vagy nem tudnak olvasni.
A nyilvánosságrahozatal általában megteszi a hatását: nemzetközi piaccal rendelkező termékek/szolgáltatások esetén a Full-Disclosure lista használatát tudom javasolni, a magyar vonatkozású esetében velem célszerű felvenni a kapcsolatot (buherator,gmail). Persze jó átgondolni, hogy mit is mutatsz meg a nagyvilágnak:
- Valódi személyes adatokkal játszani nem szép dolog, főleg, ha csak végfelhasználókról van szó.
- Ha exploitot teszel közzé, lehetőleg ne mondjuk egy "DROP DATABASE"-el kezdd az erődemonstrációt, mert biztos lesz valaki, aki betalál vele éles adatokat. Tehát próbálj minél ártalmatlanabb kódokra szorítkozni, aki ért a témához, úgyis meg fogja látni a lehetőségeket
- Az egyklikkes történeteket nagyon szeretik a szkriptkölykök, törekedj arra, hogy maradjon kihívás a feladatban!
Végül minden jól alakult, de köszönetnyilvánító e-mailekért nem adnak tejet a boltban.
Ha pénzt akarsz keresni ilyen fajta tevékenységgel, akkor le kell tened a szürke kalapot, és találni valakit, aki jópénzért megbíz az ilyen jellegű munkákkal - de az, hogy kinek és milyen célra adod bérbe a tudásod, az csak rajtad múlik, légy óvatos!
Jobban belegondolva köcsögök voltak mind, így fogok én legközelebb helyettük gürcölni!
Eddig sem helyettük dolgoztál, hanem magadnak. Persze néha rossz látni egyes emberek/cégek hozzáállását, de ne felejtsd el, hogy az ütőkártya a te kezedben van. T tetszés szerint csökkenthető, ha pedig valóban figyelemreméltó felfedezésekről számolsz be, úgyis felfigyelnek rá olyanok, akikkel már szívesebben fogsz tárgyalni.
Hála a Web2.0-nek, a cikk folyamatosan bővül, javaslatokat, kritikát nyomjatok nyugodtan a kommentek közé!
Meister · https://www.facebook.com/Meister1977 2009.08.29. 17:20:16
as.hu/blog/2008/06/28/1316
:-)
dagger 2009.08.30. 10:20:19
leet 2009.08.30. 13:23:46
Amúgy ez a "szürkekalaposkodás" a legszarabb amit egy "hacker" tehet. Pénzt se lehet vele keresni és még rizikós is. Hülye lennék szólni ha a linux kernelbe valami távolról kihasználható hibát találnék.
Hunger 2009.08.30. 17:57:57
keriati · http://blog.fsck.hu 2009.09.01. 12:51:43
"If you do publish then, worst case, all that will be accomplished is that you may cause a business somewhere to be compromised, and they may turn to you or your company for compensation for their financial losses. In the best case, due to September 11, 2001, you may end up on various government agencies' "watch lists," and your potential career in the computer business may be altered in ways you did not intend."