Raportarea vulnerabilităților – Hacking-ul nu este o crimă!
12Update2: Sfaturi raport vulnerabilitate.
Update : Reactia celor de la Adevarul.ro.
Criminalitatea informatică în România e predominată și confundată în general cu vânzările unor produse fictive, de crearea unor pagini false ale unor site-uri populare dar în particular există un număr semnificativ de persoane ce se ocupă cu descoperirea de vulnerabilități în servicii și aplicații ce sunt accesibile pe Internet într-o formă sau alta. Aceste persoane le vom denumi pe parcursul materialul ca Security Researcher (Cercetător în Securitate Informatică), termen preluat din mediul INFOSEC internațional, folosit extrem de mult.
Hacking is evolution! Hacking is not a crime!
Darren White, agent al Serviciilor Secrete a declarat pentru ProTV în cadrul reportajului „Hackerville” de la „România, te iubesc” că pe o scară de la 1 la 10 ne aflăm pe treapta 10, aceasta fiind cea mai înaltă treaptă a criminalității cibernetice. Majoritatea vendorilor importanți ai planetei au dezvoltat mecanisme de raportare a bug-urilor și de răsplătire a entuziaștilor ce raportează vulnerabilitățile într-un mod responsabil. Astfel, serviciile lor sunt mai sigure, cercetătorii în securitate informatică preferă să folosească aceste mecanisme pentru că uneori primesc rasplate financiare sau sunt incluși în cunoscutele pagini „Wall of Fame”, permițându-le în viitor să le folosească ca referințe într-un proces de angajare din domeniu.
Cum putem raporta responsabil o vulnerabilitate în România?
Răspunsul scurt e că NU putem. Legislația în vigoare nu ne permite să raportăm sub nici o formă o vulnerabilitate fără să nu riscăm să ne suprapunem cu formele de acces neautorizat asupra unui serviciu informatic.
Care sunt consecințele lipsei unui mecanism de raportare responsabil?
Intervine riscul ca o persoană bine intenționată să primească în loc de un simplu „mulțumesc” sau de „mulțumesc, cu ce am putea să te răsplătim?” o reacție complet irațională și iresponsabilă de genul „Ne vedem la proces.”. Astfel, se încurajează destul de activ black-hat-hackingul. Un Security Researcher, având un feedback negativ, este automat încurajat să nu mai raporteze responsabil, să nu mai raporteze deloc vulnerabilitățile găsite ci să le folosească în alte scopuri care pot fi chiar mai profitabile, și chiar dacă de bun început conștiința nu-i permitea să facă asta într-un viitor apropiat cu un constant slap peste fată din partea vendorilor există riscul ca el să treacă de partea celorlalți.
Trei exemple inspirate din viața reală ale aceleiași persoane
Alexandru (nume fictiv) este student la Informatică, a experimentat și a lucrat cu numeroase limbaje de programare dar s-a oprit la tehnologii web. A prins gustul securității informatice și l-a transformat în hobby. Acum studiază și aprofundează cunoștințele în domeniul securității informatice, face research și experimentează. Descoperă și raportează vulnerabilitățile găsite în servicii online (fie site-uri, sau aplicații), unele găsite chiar întâmplător. Socializează, urmărește și menține legătura cu alții ce au aceeași pasiune, oameni atât din mediul romanesc cat și din spațiul cibernetic internațional, mediu din care își trage foarte multe cunoștințe și informații despre cele mai noi breșe și probleme de securitate.
1. Alexandru găsește vulnerabilități într-un serviciu al unui telecom din top 3 folosit în România. Ia legătura cu aceștia, le menționează faptul că ar dori să mediatizeze vulnerabilitățile găsite după ce acestea sunt rezolvate. Vendorul reacționează pozitiv și își dă acordul prin e-mail cu privire la condiția cerută de Alexandru, atâta timp cat nu publică informații private ale serviciului în cauză.
2. Același Alexandru găsește câteva vulnerabilități într-un alt serviciu al unui alt telecom din același top 3 din România. Are o abordare similară, are aceleași condiții iar vendorul reacționează, din nou, pozitiv. Mai mult decât atât, Alexandru se întâlnește cu Chief Technology Officer și Information Security Consultant de la acel telecom. Aceștia își arată interesul pentru rezolvarea cat mai urgentă a problemelor de securitate și îl invită în unul din magazine, oferindu-i posibilitatea de a primi GRATUIT un telefon mobil de ultimă generație, la alegere.
3. Din nou, Alexandru descoperă câteva vulnerabilități grave într-un serviciu romanesc de VOIP. Folosește exact aceeași abordare ca în celelalte cazuri, acel mesaj, informații clare fără a lăsa loc de interpretări care să ducă în direcția de black hat. Totuși, spre surprinderea lui în mesajul primit de la administrator, acesta este jignit cu amenințări de deschidere a unui proces pe numele lui, cu etichete precum „criminal” samd.
Ce ne rămâne de făcut?
– să raportăm în continuare vulnerabilitățile dar menținându-ne anonimitatea
– să numai raportăm niciodată la site-uri din România și să ne mulțumim cu soarta ce o avem
– o altă soluție ar fi apropierea de Centrul de Cercetare în Securitate Informatică din România care își propune să încerce încurajarea raportărilor de vulnerabilități responsabile, preluând rapoartele și înaintându-le vendorilor, păstrând anonimitatea sursei
Vreau să vă reamintesc și de sloganul DefCamp, „Hacking is evolution!”, nu o crimă.
Interesant
imagineaza-ti ca cineva vine la tine si iti zice:
„ti-am spart masina, nu am luat nimic, doar m-am uitat. vrei sa cumperi un sistem de alarma ?”
cred ca daca intr-adevar esti bine intentionat si vrei sa te feresti de reactii gen „pasul 3” mai bine intrebi dinainte daca vor un audit de securitate.
nu spun ca reactiile genul „pasul 3” sunt rationale dar omul se poate gandi „ok, nu-l cunosc pe tipul asta. de unde stiu eu ca nu a facut chestii grave cu datele mele ?”
si mai e o chestie. una e sa descoperi accidental (ex „treci pe langa usa vecinului si vezi casi-a uitat cheile in usa”) si alta e sa cauti dinadins „victime”.
Toata lumea incearca sa caute apropieri de lume reala pentrua compara. Ce ai spus tu acolo e echivalentul deface-ului care nu are treaba in contextul impus de subiect.
Echivalentul ar fi ca tu ai gasit o metoda prin care poti evita cheia de la usa, sau poti sa deschizi masina cu altceva si ii spui omului. Ai testat, ai verificat, si il contactezi.
Iar in momentul in care omul iti spune clar ca nu are nicio intentie distructiva, iar mailul contine detalii clare despre vulnerabilitati si tipul lor (deci implicit numai nu iti spune si rezolvarea), spune-mi te rog care e intentia distructiva a sa. 😀
N-am zis nimic despre deface, poate fi orice fel de exploit si oricum nu asta e subiectul.
Tu pornesti de la ideea ca admin-ul automat are incredere in tot ce ii spui tu.
Simplul fapt ca ii trimiti un mail in care descrii vulnerabilitatile nu il va face sa aiba incredere in tine 100%. El nu are cum sa stie intentiile tale.
in scenariul 3 : Alexandru gaseste vulnerabilitati la operatorul telecom, sa zicem ca reuseste cu un sql injection sa obtina un dump cu toata baza de date. si il informeaza pe admin ca a reusit si cum a facut. Admin-ul are tot dreptul sa se simta amenintat, pentru ca cel putin teoretic tu detii informatii critice.
Asta e tot black hat security.
Firmele mai serioase apeleaza la audituri de securitate. Practic auditorului i se pune la dispozitie un environment al aplicatiei pe care incearca sa-l compromita cum poate el mai bine. Baza de date in cauza nu va fi niciodata cea din productie si in eventualitatea unui atac reusit datele nu vor fi in nici un fel compromise.
E o mica diferenta.
Am gasit si eu accidental vulnerabilitati la site-uri pe care le-am raportat si a fost ok.
Dar sa faci din asta un mod de conduita mi se pare ‘gray hat’.
Ce vreau eu sa zic ca e ok sa raportezi problemele cand dai de ele, nu e ok sa le cauti dinadins (daca nu ti se cere explicit) pentru simplul fapt ca poti crea mai multe probleme decat rezolvi. 😉
Corect. Dar in momentul in care tu ii detalii complete (implicit nume/prenume, numar de telefon unde poti fi contactat samd), nu crezi ca ar fi cam stupid sa faci ceva cu accesul ce il ai?
^ Exista camere video aka log-uri.
stupiditatea e extrem de relativa si oricum nu asta e problema.
problema e ca datele ipotectic obtinute nu mai sunt in controlul administratorului deci sunt considerate compromise.
oricare ar fi motivele actiunea ta tot acces neautorizat se numeste. legea nu va permite niciodata savasirea actiunilor ilegale in scopuri considerate (de tine) nobile.
Hai sa nu intindem discutia spre directia legala/ilegala conform legislatiei romane pentru ca tocmai asta a fost motivul pentru ca am publicat acest articol. Stim toti ce scrie in lege.
PROBLEMA e ca in afara se poate si la noi nu. Vrei exemple? Simplu :
1. Programele bug bounty.
2. CERT.
Nu discutam despre faptul ca obtii acces neautorizat ci de faptul ca mai bine il obtine o astfel de persoana decat altele care au scopuri distructive. Dar daca omul nu e deacord si nu accepta astfel de ajutor, tot noi pierdem pe termen lung.
Aici sunt de parerea ta dar te-ai gandit prea departe,un exemplu:
Alexandru gaseste vulnerabilitati din greseala sau intentionat.aici contextul conteaza,poate sa zica ca a tastat url si a introdus un caracter gresit si a gasit un SQLi pe care la raportat .
Da,una ii sa raportezi exact url unde este greseala si alta este sa se foloseste de acel SQLi si sa faca un „dump” si sa il trimita la administrator ca o dodavada sau ca interes personal,cand putea sa trimita direct url fara sintaxa ,doar sa arate ca se poate face. Altfel datele serverului nu sunt compromise , deoarece nu sunt accesate de persoane neautorizate.
Intradevar, si contextul conteaza. Dar oamenii sunt obisnuiti sa lucreze ca in afara. Iar in afara la Google, Facebook si oricare alt sistem/serviciu mai mic sau mai mare, indiferent, fara un POC te baga foarte putin in seama.
[…] sa prezinta cineva interes si sa inteleaga problema din exteriorul Romaniei . Dupa cum a reamintit Andrei Avadanei , nu toti au aceasi idee cand primesc un asemenea raport, servicile cu care am colaborat erau […]
Andrei adevarul este ca in alta tare se poate deoarece acolo au putere de decizie si oamenii din IT. Ce sa-i spunem noi lu gigel de la nu stiu ce firma ca am gasit un SQLi in site-ul lui cand el se apuca sa faca comparatie cu o masina?