• Acasă
  • Despre noi
  • Autori
  • Mărturii
  • Arhivă
  • Trimite Articol
  • Contact

WORLDIT

Lumea în 1 și 0.

  • Știri
    • Tehnologie
    • Tehnologie mobilă
    • Securitate
    • Developers
    • Știință
    • Benzi desenate
    • Jocuri
    • Intern
  • Tehnic
    • Browser
    • C#
    • C/C++
    • Challenge
    • HTML/CSS
    • Javascript, Ajax, jQuery
    • Open Source
    • PHP
    • Python
    • Securitate IT
    • Socializare
    • WordPress
    • Altele
  • Recenzii
  • Interviuri
  • Evenimente

Raportarea vulnerabilităților – Hacking-ul nu este o crimă!

12
  • Publicat de Andrei Avădănei
  • în Recomandate · Securitate IT · Socializare
  • — 26 mart., 2013 at 12:06 pm

Update2: Sfaturi raport vulnerabilitate.
Update : Reactia celor de la Adevarul.ro.

Criminalitatea informatică în România e predominată și confundată în general cu vânzările unor produse fictive, de crearea unor pagini false ale unor site-uri populare dar în particular există un număr semnificativ de persoane ce se ocupă cu descoperirea de vulnerabilități în servicii și aplicații ce sunt accesibile pe Internet într-o formă sau alta. Aceste persoane le vom denumi pe parcursul materialul ca Security Researcher (Cercetător în Securitate Informatică), termen preluat din mediul INFOSEC internațional, folosit extrem de mult.

Hacking is evolution! Hacking is not a crime!

Hacking is evolution! Hacking is not a crime!

Darren White, agent al Serviciilor Secrete a declarat pentru ProTV în cadrul reportajului „Hackerville” de la „România, te iubesc” că pe o scară de la 1 la 10 ne aflăm pe treapta 10, aceasta fiind cea mai înaltă treaptă a criminalității cibernetice. Majoritatea vendorilor importanți ai planetei au dezvoltat mecanisme de raportare a bug-urilor și de răsplătire a entuziaștilor ce raportează vulnerabilitățile într-un mod responsabil. Astfel, serviciile lor sunt mai sigure, cercetătorii în securitate informatică preferă să folosească aceste mecanisme pentru că uneori primesc rasplate financiare sau sunt incluși în cunoscutele pagini „Wall of Fame”, permițându-le în viitor să le folosească ca referințe într-un proces de angajare din domeniu.

Cum putem raporta responsabil o vulnerabilitate în România?

Răspunsul scurt e că NU putem. Legislația în vigoare nu ne permite să raportăm sub nici o formă o vulnerabilitate fără să nu riscăm să ne suprapunem cu formele de acces neautorizat asupra unui serviciu informatic.

Care sunt consecințele lipsei unui mecanism de raportare responsabil?

Intervine riscul ca o persoană bine intenționată să primească în loc de un simplu „mulțumesc” sau de „mulțumesc, cu ce am putea să te răsplătim?” o reacție complet irațională și iresponsabilă de genul „Ne vedem la proces.”. Astfel, se încurajează destul de activ black-hat-hackingul. Un Security Researcher, având un feedback negativ, este automat încurajat să nu mai raporteze responsabil, să nu mai raporteze deloc vulnerabilitățile găsite ci să le folosească în alte scopuri care pot fi chiar mai profitabile, și chiar dacă de bun început conștiința nu-i permitea să facă asta într-un viitor apropiat cu un constant slap peste fată din partea vendorilor există riscul ca el să treacă de partea celorlalți.

Hacking is not a crime

Trei exemple inspirate din viața reală ale aceleiași persoane

Alexandru (nume fictiv) este student la Informatică, a experimentat și a lucrat cu numeroase limbaje de programare dar s-a oprit la tehnologii web. A prins gustul securității informatice și l-a transformat în hobby. Acum studiază și aprofundează cunoștințele în domeniul securității informatice, face research și experimentează. Descoperă și raportează vulnerabilitățile găsite în servicii online (fie site-uri, sau aplicații), unele găsite chiar întâmplător. Socializează, urmărește și menține legătura cu alții ce au aceeași pasiune, oameni atât din mediul romanesc cat și din spațiul cibernetic internațional, mediu din care își trage foarte multe cunoștințe și informații despre cele mai noi breșe și probleme de securitate.

  • Exemplul #1
  • Exemplul #2
  • Exemplul #3

1. Alexandru găsește vulnerabilități într-un serviciu al unui telecom din top 3 folosit în România. Ia legătura cu aceștia, le menționează faptul că ar dori să mediatizeze vulnerabilitățile găsite după ce acestea sunt rezolvate. Vendorul reacționează pozitiv și își dă acordul prin e-mail cu privire la condiția cerută de Alexandru, atâta timp cat nu publică informații private ale serviciului în cauză.

 

2. Același Alexandru găsește câteva vulnerabilități într-un alt serviciu al unui alt telecom din același top 3 din România. Are o abordare similară, are aceleași condiții iar vendorul reacționează, din nou, pozitiv. Mai mult decât atât, Alexandru se întâlnește cu Chief Technology Officer și Information Security Consultant de la acel telecom. Aceștia își arată interesul pentru rezolvarea cat mai urgentă a problemelor de securitate și îl invită în unul din magazine, oferindu-i posibilitatea de a primi GRATUIT un telefon mobil de ultimă generație, la alegere.

3. Din nou, Alexandru descoperă câteva vulnerabilități grave într-un serviciu romanesc de VOIP. Folosește exact aceeași abordare ca în celelalte cazuri, acel mesaj, informații clare fără a lăsa loc de interpretări care să ducă în direcția de black hat. Totuși, spre surprinderea lui în mesajul primit de la administrator, acesta este jignit cu amenințări de deschidere a unui proces pe numele lui, cu etichete precum „criminal” samd.

Ce ne rămâne de făcut?

– să raportăm în continuare vulnerabilitățile dar menținându-ne anonimitatea
– să numai raportăm niciodată la site-uri din România și să ne mulțumim cu soarta ce o avem
– o altă soluție ar fi apropierea de Centrul de Cercetare în Securitate Informatică din România care își propune să încerce încurajarea raportărilor de vulnerabilități responsabile, preluând rapoartele și înaintându-le vendorilor, păstrând anonimitatea sursei

Vreau să vă reamintesc și de sloganul DefCamp, „Hacking is evolution!”, nu o crimă.

Etichete: audit de securitateccsircentrul de cercetare in securitate informatica din romaniadefcamphackinghacking is evolutionhacking is not a crimeraportare vulnerabilitatisecuritatesecuritate informaticaTehnicvulnerabilitati

— Andrei Avădănei a scris 1246 articole

Andrei scrie pe worldit.info din vara lui 2011. Este fondatorul Asociatiei Centrul de Cercetare in Securitate Informatica din Romania - CCSIR si coordoneaza DefCamp, cea mai importanta conferinta de securitate informatica & hacking din Europa Centrala si de Est. Andrei ofera in cadrul Bit Sentinel servicii de securitate informatica, penetration testing, security management, recuperarea de pe urma unui atac cibernetic, training-uri si workshop-uri.

  • Articolul anterior Competiție de raportare a site-urilor de phishing de la Netcraft
  • Articolul următor Interviu cu Teodor Szente – cel mai tânăr participant de la DefCamp răsplătit printr-o bursă de la Distinct Datacenter

12 Comentarii

  1. Bogdan spune:
    martie 26, 2013 la 2:42 pm

    Interesant

  2. Adi spune:
    martie 26, 2013 la 2:45 pm

    imagineaza-ti ca cineva vine la tine si iti zice:
    „ti-am spart masina, nu am luat nimic, doar m-am uitat. vrei sa cumperi un sistem de alarma ?”

    cred ca daca intr-adevar esti bine intentionat si vrei sa te feresti de reactii gen „pasul 3” mai bine intrebi dinainte daca vor un audit de securitate.
    nu spun ca reactiile genul „pasul 3” sunt rationale dar omul se poate gandi „ok, nu-l cunosc pe tipul asta. de unde stiu eu ca nu a facut chestii grave cu datele mele ?”

    si mai e o chestie. una e sa descoperi accidental (ex „treci pe langa usa vecinului si vezi casi-a uitat cheile in usa”) si alta e sa cauti dinadins „victime”.

    • Andrei Avădănei spune:
      martie 26, 2013 la 3:20 pm

      Toata lumea incearca sa caute apropieri de lume reala pentrua compara. Ce ai spus tu acolo e echivalentul deface-ului care nu are treaba in contextul impus de subiect.

      Echivalentul ar fi ca tu ai gasit o metoda prin care poti evita cheia de la usa, sau poti sa deschizi masina cu altceva si ii spui omului. Ai testat, ai verificat, si il contactezi.

      Iar in momentul in care omul iti spune clar ca nu are nicio intentie distructiva, iar mailul contine detalii clare despre vulnerabilitati si tipul lor (deci implicit numai nu iti spune si rezolvarea), spune-mi te rog care e intentia distructiva a sa. 😀

      • Adi spune:
        martie 26, 2013 la 4:22 pm

        N-am zis nimic despre deface, poate fi orice fel de exploit si oricum nu asta e subiectul.

        Tu pornesti de la ideea ca admin-ul automat are incredere in tot ce ii spui tu.
        Simplul fapt ca ii trimiti un mail in care descrii vulnerabilitatile nu il va face sa aiba incredere in tine 100%. El nu are cum sa stie intentiile tale.

        in scenariul 3 : Alexandru gaseste vulnerabilitati la operatorul telecom, sa zicem ca reuseste cu un sql injection sa obtina un dump cu toata baza de date. si il informeaza pe admin ca a reusit si cum a facut. Admin-ul are tot dreptul sa se simta amenintat, pentru ca cel putin teoretic tu detii informatii critice.
        Asta e tot black hat security.

        Firmele mai serioase apeleaza la audituri de securitate. Practic auditorului i se pune la dispozitie un environment al aplicatiei pe care incearca sa-l compromita cum poate el mai bine. Baza de date in cauza nu va fi niciodata cea din productie si in eventualitatea unui atac reusit datele nu vor fi in nici un fel compromise.
        E o mica diferenta.

        Am gasit si eu accidental vulnerabilitati la site-uri pe care le-am raportat si a fost ok.
        Dar sa faci din asta un mod de conduita mi se pare ‘gray hat’.

        Ce vreau eu sa zic ca e ok sa raportezi problemele cand dai de ele, nu e ok sa le cauti dinadins (daca nu ti se cere explicit) pentru simplul fapt ca poti crea mai multe probleme decat rezolvi. 😉

      • Andrei Avădănei spune:
        martie 26, 2013 la 4:43 pm

        Corect. Dar in momentul in care tu ii detalii complete (implicit nume/prenume, numar de telefon unde poti fi contactat samd), nu crezi ca ar fi cam stupid sa faci ceva cu accesul ce il ai?

  3. Vali spune:
    martie 26, 2013 la 2:52 pm

    ^ Exista camere video aka log-uri.

  4. Adi spune:
    martie 26, 2013 la 5:37 pm

    stupiditatea e extrem de relativa si oricum nu asta e problema.
    problema e ca datele ipotectic obtinute nu mai sunt in controlul administratorului deci sunt considerate compromise.

    oricare ar fi motivele actiunea ta tot acces neautorizat se numeste. legea nu va permite niciodata savasirea actiunilor ilegale in scopuri considerate (de tine) nobile.

    • Andrei Avădănei spune:
      martie 26, 2013 la 6:26 pm

      Hai sa nu intindem discutia spre directia legala/ilegala conform legislatiei romane pentru ca tocmai asta a fost motivul pentru ca am publicat acest articol. Stim toti ce scrie in lege.

      PROBLEMA e ca in afara se poate si la noi nu. Vrei exemple? Simplu :

      1. Programele bug bounty.
      2. CERT.

      Nu discutam despre faptul ca obtii acces neautorizat ci de faptul ca mai bine il obtine o astfel de persoana decat altele care au scopuri distructive. Dar daca omul nu e deacord si nu accepta astfel de ajutor, tot noi pierdem pe termen lung.

    • Sergiu spune:
      martie 26, 2013 la 6:26 pm

      Aici sunt de parerea ta dar te-ai gandit prea departe,un exemplu:

      Alexandru gaseste vulnerabilitati din greseala sau intentionat.aici contextul conteaza,poate sa zica ca a tastat url si a introdus un caracter gresit si a gasit un SQLi pe care la raportat .

      Da,una ii sa raportezi exact url unde este greseala si alta este sa se foloseste de acel SQLi si sa faca un „dump” si sa il trimita la administrator ca o dodavada sau ca interes personal,cand putea sa trimita direct url fara sintaxa ,doar sa arate ca se poate face. Altfel datele serverului nu sunt compromise , deoarece nu sunt accesate de persoane neautorizate.

      • Andrei Avădănei spune:
        martie 26, 2013 la 6:30 pm

        Intradevar, si contextul conteaza. Dar oamenii sunt obisnuiti sa lucreze ca in afara. Iar in afara la Google, Facebook si oricare alt sistem/serviciu mai mic sau mai mare, indiferent, fara un POC te baga foarte putin in seama.

  5. [Sfaturi] Raport de Vulnerabilitate » Romanian Security Team spune:
    aprilie 14, 2013 la 8:57 pm

    […] sa prezinta cineva interes si sa inteleaga problema din exteriorul Romaniei . Dupa cum a reamintit Andrei Avadanei , nu toti au aceasi idee cand primesc un asemenea raport, servicile cu care am colaborat erau […]

  6. Ionut B. spune:
    iunie 26, 2013 la 7:57 pm

    Andrei adevarul este ca in alta tare se poate deoarece acolo au putere de decizie si oamenii din IT. Ce sa-i spunem noi lu gigel de la nu stiu ce firma ca am gasit un SQLi in site-ul lui cand el se apuca sa faca comparatie cu o masina?


  • Facebook

    WorldIT.info
  • Ultimele Atacuri Cibernetice din Romania – RO Hacked

    [wp_rss_retriever url="https://rohacked.bit-sentinel.com/feed/" excerpt="none" items="5" read_more="false" new_window="true" thumbnail="false" cache="0"] RO Hacked este registrul atacurilor cibernetice din România.
  • Caută

  • Articole Recomandate

    • Recent Posts
    • Tags
    • Număr record de participanți la DefCamp 2015, cel mai important eveniment dedicat securității cibernetice din Europe Centrala si de Estdecembrie 2, 2015
    • La DefCamp 2015 vei afla prin ce tehnici pot fi evitate măsurile de securitate ale sistemelor informatice criticeoctombrie 16, 2015
    • Ultima sansa sa rezervi bilete de tip Early Bird la DefCamp 2015septembrie 1, 2015
    • 15 sfaturi despre cum poti deveni un programator bun venite de la specialisti romaniaugust 4, 2015
    • algoritmica Android antivirus Apple Avadanei Andrei benzi desenate BitDefender blog browser C++ Chrome concurs eveniment Facebook Firefox Google google chrome hacking html5 infografic informatica internet Internet Explorer IT javascript linux Microsoft Mozilla Firefox online PHP programare retea sociala review Romania securitate Tehnologie Twitter web Windows Windows 7 Wordpress WorldIT worldit.info Yahoo! YouTube
  • iunie 2022
    L Ma Mi J V S D
     12345
    6789101112
    13141516171819
    20212223242526
    27282930  
    « dec.    
  • Link-uri Sponsorizate

    • laptop second hand

    • Calculatoare Second Hand

    • cod voucher pc garage

  • Home
  • Recomandate
  • Raportarea vulnerabilităților – Hacking-ul nu este o crimă!
  • Important

    • Bit Sentinel
    • Centrul de Cercetare în Securitate Informatică din România
    • DefCamp
  • Prieteni

    • BetiT.ro
    • bijuterii handmade
    • Computerica | Resurse gratuite PC
    • Descopera.org
    • Gadgeturi si IT – Giz.ro
  • Prieteni

    • PC – Config
    • RO Hacked
    • Stiri IT

Copyright © 2009-2014 WORLDIT. Toate drepturile Rezervate.
Termeni și condiții | Contact | Licența Creative Commons