Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Prezi hibavadászat

2013.12.04. 10:54 | buherator | 15 komment

A 444-en jelent meg a hír, miszerint a gonosz Prezi nem volt hajlandó fizetni egy ügyes Google hackernek, aki kritikus hibát talált a magyar startup üdvöske rendszerében. 

Mint a felelős hibabejelentést (tudom, nem ez a legjobb kifejezést) évek óta gyakorló, és a nemzetközi hibavadász programokban résztvevő szakember, néhány dolgot fontosnak tartok leszögezni:

  • Shubham Shah a Prezi által megszabott területen kívül, vagyis a Prezi engedélye nélkül dolgozott
  • Ilyen esetben a Prezi simán ráküldhette volna a hatóságokat a srácra - mivel ausztrál illetőről van szó, ennek feltehetően lett is volna eredménye
  • A Prezi nem így cselekedett, helyette megköszönte a munkát, és némi jelképes ajándékot is felajánlott
  • Ez a gesztus - bár pitiánernek tűnhet - még mindig megelőzi pl. az Oracle-t, a Microsoftot vagy az Apple-t, akik nagyjából egy köszönőlevéllel intézik ezeket a dolgokat, esetleg kirakják a neved valahová
  • A hibavadász programok üzemeltetése ugyanis nem valamiféle kötelesség, hanem egy lehetőség, melyet néhány előremutatóan gondolkodó tech cég (a saját üzleti stratégiáját figyelembe véve) választ, a kifizetett jutalmakról pedig emiatt saját hatáskörében dönthet

A mostani eset emiatt egy dologra jó, mégpedig arra, hogy a hasonló programok indításában gondolkozó cégeket elbátortalanítsa, hiszen egy szerencsétlen visszajelzés (amiből a Prezinek sem kettőt kell kiküldeni naponta) a rinyáló versenyzők és a szenzációra vadászó sajtó összejátszásával könnyen PR katasztrófát okozhat. 

A Prezi reakciója itt olvasható, a bounty területe az eset hatására kiterjesztésre került.

Friss: Közben az Index is lehozott egy szokásosan fogalmatlan cikket, én a Prezi helyében kiadnék egy sajtóközleményt, amit újságírók is megértenek...

Friss: Az ITCafé összefoglalója viszont korrekt lett.

Címkék: prezi bug bounty

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

chr(27) 2013.12.04. 11:25:46

Igy mulik el a világ dicsősége. Pontosabban igy lesz egy szimpi startupból egy vízfejű multi.

chr(27) 2013.12.04. 11:36:13

@buherator: abból hogy elkezdték szívatni a tagot, majd miután felfúvódott az ügy (pl. 444.hu), már visszakoznak és irtó jó fejek lettek.

Gaius Baltar · http://cydonia.blog.hu 2013.12.04. 11:39:55

Nagyon korrekt osszefoglalo, teljesen egyetertek.

@chr(27): nyilvan, ha nagyobb egy ceg, akkor van hierarchia, es valahogy eszkalalni kell az ilyen dolgokat. Pont a vizfejuseg hianyat mutatja meg az, hogy egy ennyire azert nem jelentos bakira milyen gyorsan reagaltak a megfelelo manageri retegek, es ugy reagaltak, ahogy kellett.

buherator · http://buhera.blog.hu 2013.12.04. 11:43:33

@chr(27): Itt van a teljes levelezés:

blog.shubh.am/wp-content/uploads/2013/12/LetterLog_Prezi.pdf

Világosan leírják, hogy mi a problémájuk, és miért nem akartak bounty-t fizetni (nem akarnak precedenst teremteni, ami teljesen érthető). A hangvétel is teljesen korrekt, még a sec team kér elnézést a sráctól, hogy nem tudnak nagyobb jutalmat adni.

chr(27) 2013.12.04. 12:06:23

kifelé már vízfejek, hiába is jófejkednek :)

buherator · http://buhera.blog.hu 2013.12.04. 12:47:08

@chr(27): Meghajlok érveid súlya alatt!

@Pocokmocok: Az azért Redditen is látszik, hogy aki már látott bug bounty-t/pentesztet közelről, az minimum érzékeli a probléma kettősségét.

quaxi 2013.12.04. 17:10:42

@buherator: "nem akarnak precedenst teremteni, ami teljesen érthető". Azzal is precedenst teremtettek volna, ha végül nem fizetnek, olyat, ami egyáltalán nem kedvező nekik. Nem hiszem, hogy párszáz vagy ezer dollár sok pénz volna azért, hogy a következő ilyen lehetőleg ne pastebinre vagy máshova menjen egyből.
Még ha a szakmabeliek egy része el is fogadja, hogy out-of-scope, bla-bla, akkor is úgy jön le a többségnek, hogy a Prezi suttyó volt.

Venona project (törölt) 2013.12.04. 17:36:25

Szerintem ez s kommunikációs hiba volt a Prezi részéről. Egy nyilvános bounty hunting nem egy ugyanaz, mint egy jogászok által tízszer körbenyalat szerződések által megrendelt pentest. Itt lehet számítani a lelkes amatőrtől (aki nem tudja, hogy pontosan mi az, hogy out-of-scope, talán még örül is hogy nagy halat fogott és segíthet) kezdve a rosszindulatú suttyóig mindenre. Ebből következően ilyen esetekre számítani és készülni kell. Kommunikációs tervvel többek között.
Persze, jófejek, hogy az AUS yardot nem hívták rá (pedig annak milyen finom visszhangja lett volna), de arra készülni kellett volna, hogy ha most ők bögrét ajánlanak $5000 helyett, akkor legközelebb nem nekik, hanem a pénz ígérőknek megy majd a sérülékenységről a jelentés, plusz telikürtölik a netet az esettel így is úgy is.

Tudjuk, hogy amivel van kikövezve a pokolba vezető út, és itt valóban mindkét oldal hibázott, de számomra az jött le, hogy nagyon kis befektetéssel nagyon nagyot lehetett volna nyerni. Most nagyon kis pénz megtakarításával egy PR katasztrófa lett az ügyből.

buherator · http://buhera.blog.hu 2013.12.04. 17:41:14

@quaxi: Ez nem arról szól, hogy 500$ sok pénz-e vagy sem, hanem arról, hogy ha ezt meglépik, akkor magukra rántanak egy olyan feladatot, amire adott pillanatban nem voltak felkészülve. Gondold el, hogy egy ilyen után nem lenne komolyan vehető semmilyen jövőbeni bounty szabály, hiszen ha elég nagyot durrantok, a prezi majd úgyis enged - és így gondolkodna sok ezer wannabe!

"akkor is úgy jön le a többségnek, hogy a Prezi suttyó volt" - a többség életében nem üzemeltetett és nem vett részt ilyen programban, a média feladata lenne, hogy korrekt módon tájékoztasson, de ez láthatóan nem történik meg.

waces · http://blog.waces.hu 2013.12.05. 10:14:51

@Venona project: pontosan. irgalmatlan rossz kommunikacios "strategiat" kovettek, (es ez pont fuggetlen attol, hogy out-of-scope rendszeren talat bugot a tag vagy in-scope rendszeren). a penetration tesztekkel osszevetni meg nem biztos, hogy szerencses, mert bar gyumolcs-gyumolcs, de az alma nem eper. egy penetraton teszt szabalyozott a vegtelensegig, ez ahhoz kepest lenyegesen tobb szabadsagot enged meg a vizsgalodonak.

domi007 2013.12.08. 00:35:18

Nekem inkább most az a tanulság jött le ebből az esetből, hogy ha egy rendszert a biztonság teljes figyelmen kívül hagyásával terveztek meg és üzemeltettek, akkor utólag lehet mindenféle bugbountyval meg hardeninggel jönni de akkor is ilyen csontvázak fognak kiesni a szekrényből, és erre gondolni/számítani kell.

Szerintem nem véletlenül volt (van?) full publicon a verziókezelő, valamire biztos kellett/kell nekik. Ez alapvető koncepcionális hiba véleményem szerint, egyszerűen nem létezhet olyan use case amikor ez megengedhető lenne, vagy maximum nagyon nagyon limitált ideig.

buherator · http://buhera.blog.hu 2013.12.09. 19:03:45

@domi007: Ez egyrészt egy elég vad következtetésnek ("egy rendszert a biztonság teljes figyelmen kívül hagyásával terveztek meg és üzemeltettek") tűnik ennyi infó birtokában, másrészt egy akkora és olyan mértékben növekvő rendszer (és itt most én használtam mérnöki hasraütést) felügyeletét nem lehet annyival elintézni, hogy "biztonságtudatos tervezés". A Google is kint hagyott épületgépészeti vezérlést az interneten (www.darkreading.com/vulnerability/google-building-management-system-hack-h/240154553), meg nem rég volt CSRF-jük ha jól rémlik, pedig arrafelé elég magas a biztonsági kultúra.

domi007 2013.12.09. 21:17:54

@buherator: "elég vad következtetésnek tűnik ennyi infó birtokában"

Jogos, "ennyi infó birtokában" amit írtam valóban nem állja meg a helyét.