security - puerta - Hackear y explotar: ¿Cómo lidias con los agujeros de seguridad que encuentras?
exploit (8)
"He descubierto que a menudo estoy probando otras aplicaciones en busca de vulnerabilidades y agujeros de seguridad, tal vez solo por curiosidad".
En el Reino Unido, tenemos la "Ley de uso indebido de la computadora". Ahora, si estas aplicaciones que están "observando" proverbialmente están basadas en Internet y los ISP interesados pueden ser molestados en investigar (por razones puramente políticas), entonces usted se está abriendo paso a los dedos. Incluso hacer la más mínima "prueba" a menos que seas la BBC es suficiente para que te condenen aquí.
Incluso las empresas de pruebas de penetración requieren la firma de las empresas que desean realizar un trabajo formal para garantizar la seguridad de sus sistemas.
Para establecer expectativas sobre la dificultad de informar sobre vulnerabilidades, he tenido esto con empleadores reales en los que se han planteado algunas cuestiones bastante serias y la gente se ha sentado en ellas durante meses, desde daños similares a marcas hasta incluso el cierre completo de operaciones para respaldar un £ anual. Entorno E-Com de 100m.
Hoy la seguridad en línea es un factor muy importante. Muchas empresas están completamente basadas en línea, y hay una gran cantidad de datos confidenciales disponibles para verificar solo con su navegador web.
Buscando el conocimiento para asegurar mis propias aplicaciones, me he dado cuenta de que a menudo estoy probando otras aplicaciones en busca de ataques y agujeros de seguridad, tal vez solo por curiosidad. A medida que mi conocimiento en este campo se ha expandido probando aplicaciones propias, leyendo exploits de día cero y leyendo el libro El Manual de piratería de aplicaciones web: Descubriendo y explotando fallas de seguridad , me he dado cuenta de que la mayoría de las aplicaciones web en línea son realmente Expuesto a una gran cantidad de agujeros de seguridad.
Entonces, ¿Qué haces? No me interesa destruir o arruinar nada, pero mi mayor "ruptura" en el hackeo decidí alertar a los administradores de la página. Mi consulta fue rápidamente ignorada, y el agujero de seguridad aún no se ha solucionado. ¿Por qué no quieren arreglarlo? ¿Cuánto tiempo pasará antes de que alguien con malas intenciones rompa una posada y elija destruir todo?
Me pregunto por qué no hay más enfoque en esto en estos días, y creo que habría muchas oportunidades de negocios al ofrecer probar aplicaciones web para detectar fallas de seguridad. ¿Soy yo quien tiene una curiosidad demasiado grande o hay alguien más que experimente lo mismo? En Noruega, es punible por ley intentar realmente ingresar en una página web, incluso si solo comprueba el código fuente y encuentra la "contraseña oculta" allí, la utiliza para iniciar sesión, ya está infringiendo la ley.
Experimenté lo mismo que tú. Una vez encontré un exploit en una tienda de oscommerce donde podías descargar libros electrónicos sin pagar. Escribí dos correos: 1) Desarrolladores de oscommerce, respondieron "Problema conocido, simplemente no use este módulo de PayPal, no lo arreglaremos" 2) Administrador de la tienda: no hay respuesta en absoluto
En realidad, no tengo idea de cuál es la mejor manera de comportarse ... tal vez incluso publicar la vulnerabilidad para obligar a los administradores a reaccionar.
Lo mejor que se puede hacer es informar al administrador, pero algunas empresas simplemente no aceptan consejos no solicitados. No confían o no creen en la fuente.
Algunas personas le recomendarían explotar la falla de seguridad de una manera perjudicial para llamar su atención sobre el peligro, pero yo recomendaría esto, y es posible que pueda tener graves consecuencias debido a esto.
Básicamente, si usted les ha informado ya no es su problema (no es que haya existido en primer lugar).
Otra forma de asegurarse de que reciba su atención es proporcionar pasos específicos sobre cómo puede ser explotado. De esa manera será más fácil para quien reciba el correo electrónico verificarlo y transmitirlo a las personas adecuadas.
Pero al final de la línea, no les debes nada, así que cualquier cosa que elijas hacer es sacarte el cuello.
Además, incluso podría crear una nueva dirección de correo electrónico para alertar a los sitios web, ya que, como mencionó, en algunos lugares sería ilegal incluso verificar el exploit, y algunas compañías elegirían ir tras de usted en lugar del defecto de seguridad. .
Normalmente me comunico con el administrador del sitio, aunque la respuesta es SIEMPRE "omg, usted rompió la validación de la página de javascript, lo demandaré".
A la gente simplemente no le gusta escuchar que sus cosas están rotas.
Póngase en contacto con el administrador, no una persona de tipo empresarial. En general, el administrador estará agradecido por el aviso y la posibilidad de solucionar el problema antes de que suceda algo y se lo culpe. Un canal superior, o los canales por los que pasará una persona de servicio al cliente, son los canales donde los abogados se involucran.
Formé parte de un grupo de personas que informaron sobre un problema con el que tropezamos en el sistema NAS de la Universidad. Los administradores estaban muy agradecidos de que encontramos el agujero y lo reportamos, y discutimos con sus jefes en nuestro nombre (los responsables querían crucificarnos).
Si no afecta a muchos usuarios, creo que notificar a los administradores del sitio es lo máximo que se puede esperar. Si el exploit tiene ramificaciones generalizadas (como un exploit de seguridad de Windows), debe notificar a alguien que pueda solucionar el problema y luego darle tiempo para solucionarlo antes de publicar el exploit (si su intención es publicarlo).
Mucha gente llora por la publicación de exploits, pero a veces esa es la única forma de obtener una respuesta. Tenga en cuenta que si encuentra un exploit, existe una alta probabilidad de que alguien con intenciones menos altruistas lo haya encontrado y haya empezado a explotarlo.
Edición: consulte a un abogado antes de publicar cualquier cosa que pueda dañar la reputación de una empresa.
Una vez informé sobre una vulnerabilidad de autenticación grave en una tienda de audiolibros en línea que le permitió cambiar la cuenta una vez que inició sesión. También me preocupé si informara esto. Porque en Alemania el hacking también está prohibido por ley. Así que denuncié la vulnerabilidad de forma anónima.
La respuesta fue que, aunque no pudieron comprobar esta vulnerabilidad por sí mismas, ya que el software fue mantenido por la empresa matriz, se alegraron de mi informe.
Más tarde recibí una respuesta en la que confirmaron la peligrosidad de la vulnerabilidad y que ya estaba solucionada. Y querían agradecerme nuevamente por este informe de seguridad y me ofrecieron un iPod y créditos de audiolibros como regalo.
Así que estoy convencido de que reportar una vulnerabilidad es la manera correcta.
Informamos al desarrollador principal sobre una vulnerabilidad de inyección de SQL en su página de inicio de sesión. En serio, es la variedad clásica ''<your-sql-here>--
. No puede omitir el inicio de sesión, pero puede ejecutar fácilmente sql arbitrario. Todavía no se ha solucionado en 2 meses! No estoy seguro de qué hacer ahora ... a nadie más en mi oficina le importa mucho, lo que me sorprende, ya que pagamos mucho por cada pequeña actualización y nueva función. También me asusta cuando pienso en la calidad del código y en la cantidad de stock que estamos poniendo en este software.