שְׁאֵלָה:
השלכות של פריצת כובע אפור
Salvador Dali
2012-11-14 00:42:20 UTC
view on stackexchange narkive permalink

בזמן שעבדתי על מערכת לזיהוי חריגות (מציאת רמאים בשירות משחק מקוון די פופולרי) מצאתי בטעות דרך להשיג סיסמה של משתמש בפרק זמן סביר. ביסודו של דבר, כל הרעיון לבנות מערכת לזיהוי חריגות היה להגיש מועמדות לעבודה עבור אותו שירות אינטרנט ולספק את הפיתרון הראשוני שלי.

לאחר שמצאתי את הפגיעות הזו אני חושב להגיש מועמדות לשם לא רק עם קורות חיים, אלא גם עם מערכת האיתור והסבר על פגיעות גם כן. אבל הנה דבר: אני זוכר ש קראתי על בחור שמצא בעיה ב- Yahoo! דיווח על כך וקיבל תגמול, ניסה זאת עם פייסבוק ונכלא.

מכיוון שאני חושב שכלא זה לא המקום הכי טוב בשבילי, הייתי רוצה לשאול מה הסיכוי שיואשמו בעבירה?

כדי לזכור

  • אני לא עובד עבור אותה חברה
  • המטרה העיקרית שלי היא לסיים את מסווג חיזוי הרמאות שלי
  • הסיסמאות היחידות שניסיתי לשבור היו הסיסמאות של חשבונות הדמה שלי
  • אני רוצה לעבוד עבור אותה חברה

נ.ב: אני חושב שלא עשיתי להבהיר את עצמי. אני עובד על מסווג בכדי לתת חיזוי, בין אם האדם בוגד במשחק ובין אם לא, ומכיוון שזו בעיה גדולה עבור השירות הזה - אני מתכנן להגיש מועמדות לעבודה, כאשר המסווג הזה יהיה פלוס נוסף עבור שלי קו"ח. בטעות מצאתי פגיעות וחשבתי אם עלי לדווח עליה או לא, ואם כן, עם אילו בעיות אני יכול להתמודד. זה הולך להיות משהו כזה, "הנה הבעיה והנה מה שאני חושב שהיית צריך לעשות. אם אתה רוצה, הייתי רוצה לעבוד בשבילך, אבל לא כמומחה אבטחה (אין לי ידע בשביל זה), אך ככורה נתונים ". אם הם ייקחו אותי או לא, בעצם לא אכפת לי.

זה לא קשור לתרחיש: "אני רוצה לעבוד בשבילך ואני יודע להשיג סיסמה של משתמש, אז תחשוב פעמיים לפני שתדחה אותי. "

זה לא 'פריצה אתית' - זה מה שמכונה 'האקינג של כובע אפור'.
אני לא מכיר מונח, אך על פי ויקיפדיה "האקרים של כובעים לבנים נוטים לייעץ לחברות בעלות אמצעי אבטחה בשקט, האקרים של כובעים אפורים נוטים" לייעץ לקהילת ההאקרים וגם לספקים ואז לצפות בנפילה ". אני לא ניסיתי לייעץ לאף אחד ובעצם אני הולך לספר לחברה לגבי נושא זה
ואף כובע צבעוני אינו 'פריצה אתית'. פריצה אתית דורשת מהבעלים לדעת על ניסיונות הפריצה לפני שתתחיל. זה החלק 'האתי'.
שים לב, בהתחשב בתנאי התנאי של מרבית האתרים (וכמה מחוקים ממשלתיים), פריצה אפילו לחשבון _own_ שלך אינה חוקית (עלולה להיות בלתי חוקית), גם אם אין בכך שום רווח (מהותי או אחר) עבורך. ויש להם רק _המילה_ שלך שגם פרצת את חשבונות הדמה שלך ...
אבל הם יכולים לבדוק את המילה שלי. אם הם לא יכולים - מי יכול להוכיח שלא סתם התהלכתי בלי לעשות כלום. אבל תודה על התשובה.
רנדל ל שוורץ, מחבר בולט בפרל, התמודד עם בעיות משפטיות מפיצוח קובץ סיסמאות באתר עבודה. שוורץ רצה להודיע ​​לעבודה על סיסמאות חלשות. סמנכ"ל נבוך, שאולי סיסמתו נסדקה, טען כי הבדיקה לא הייתה מורשית. ככה אני זוכר ששמעתי את זה. ראה http://en.wikipedia.org/wiki/Randal_L._Schwartz
אני לא חושב ששאלה זו קשורה כל כך לביטחון ה- IT כמו לנושאים משפטיים ומקומות עבודה.
אני מבקש חוות דעת מאנשי מקצוע בתחום אבטחת ה- IT. איך הם בדיוק חושבים שאני צריך להתנהג במקרה כזה ואילו השלכות זה יכול להיות. הרבה חומר היה חדש ומעניין מאוד. ואני די בטוח שיהיה חשוב לדעת עבור אנשים אחרים
@SalvadorDali - בטוח שהם יכולים לבדוק, הם יכולים גם על סמך כמה נזק, לטעון שהם לא הצליחו להוכיח את טענותיך. זה נשמע כאילו מה שאתה מגלה צריך לדווח פשוט, הדבר האתי לעשות, לא היה מצפה לפיצוי בגין דיווח על הבעיה. הם לא הלקוחות שלך, הם לא ביקשו ממך לגלות את הבעיה הזו, ומצפים לפיצוי בגין דיווח עליה על סחיטה גבולית.
תלוי ביישוב שלך. במדינות שאושרו DMCA, * כל בדיקות אבטחה אינן חוקיות. בדיוק העדת שאתה אשם בפשע.
ארבע תשובות:
AJ Henderson
2012-11-14 02:58:15 UTC
view on stackexchange narkive permalink

באמת אין כאן מספיק מידע כדי לקבוע החלטה לגבי שאלתך. סמכות השיפוט ומה בדיוק קרה עם האופן בו מצאתם פגם באבטחה וכיצד בדקתם אותם ותנאי השירות שלהם (המגדירים כיצד מותר לכם להשתמש במחשבים ובנתונים שלהם) כל זה חשוב. באופן כללי, "פריצה" אינה מה שחוקי או לא חוקי, מה שאינו חוקי הוא שימוש בחומרה של אנשים אחרים או ב- IP באופן שאינך מורשה לעשות כן.

אם היית מנצל נגד החומרה שלהם, זה היה חדירה, ללא קשר לכוונה והם היו יכולים ללכת אחריך על זה אם הם באמת רוצים. אם לקחתם נתונים שהעניקו להם רישיון רק למטרה מסוימת וניצלתם שימוש לרעה בנתונים באופן שלא הייתם זכאים לכך, יתכן שהם גם יוכלו ללכת אחריכם על סמך סמכות שיפוט. אם הם סיפקו נתונים בבהירות, ללא רישיון משויך ומצאת דרך להשתמש בנתונים אלה כדי לנצל לרעה את המערכת שלהם על החומרה שלך, אז אתה בטח בטוח מכיוון שלא השתמשת בחומרה שלהם או בנתונים מורשים כדי לקבוע את החלטתך. אך שוב, זה יכול להשתנות במידה רבה על סמך סמכות שיפוט, ולכן ידיעת החוקים המקומיים שלך היא המדיניות הטובה ביותר ו IANAL.

לגבי עצות מעשיות בנוגע לגישה אליה. הייתי מציע לך לא לגשת לזה כפגיעות מוכחת. בהחלט לספק את מערכת האנטי-צ'יט שלך נשמע כמו פלוס. אתה יכול גם להזכיר בפשטות שחשבת שראית משהו שעשוי להיות ניצל כשאתה עובד עליו ולבקש את רשותם לבדוק אותו או לתת להם לבדוק אותו. אולי עדיף לך שלא להזכיר את הפגיעות בכלל אם כי אחרי שתקבל עבודה אצלם או תידרש מכוח המערכת שלך נגד רמאות בלבד. קשה מאוד לחזות כיצד אנשים יגיבו כאשר פגם חיצוני נחשף לפגם, גם כאשר מדווחים עליהם באחריות. רבות מהתגובות האפשריות לא יעבדו לטובתך, בין אם הכחשה, כעס או חשד.

תודה רבה על תשובה כה מקיפה. הגישה שלך ממש נחמדה
+1 רק לייעוץ המעשי ליישום על סמך כוחו של שירות חיזוי הרמאות בלבד.
schroeder
2012-11-14 02:00:51 UTC
view on stackexchange narkive permalink

- עריכה: תשובה זו התייחסה לרעיון הגשת מועמדות למשרה בהתבסס על גילוי פגיעות. -

הסיכויים גדולים שלא תקבל את העבודה אם היית מועמד בכוח העובדה שפרצת בהצלחה את אבטחת המשתמשים שלהם. תאמין לי, אם מישהו נכנס איתי לראיון ואומר, "אה, אגב, מצאתי חור במערכות שלך, פרצתי את זה, והנה התיקון שלי," אותו אדם היה מלווה מהבניין ואני הייתי התקשר למשטרה.

גלה באופן מלא את הפגיעות אליהם ועבורם בלבד, ועבוד איתם כדי לסגור את הבעיה. ואז פתח את הדיון על קבלת עובדים לעבודה ביטחונית נוספת. ברגע שאתה מנסה לשלב קבלת עבודה עם גילוי פגיעות, זה יכול להתפרש כניסיון סחיטה.

באשר לסיכויי הליכים משפטיים, זה תלוי במיקום שלך, במיקום שלהם, במיקום של שרת האינטרנט שבדקת, חומרת ההפרה, ו (במידה מסוימת) עמדות ומדיניות של הארגונים המושפעים.

-

תודה שהשתמשת בזמנך וענית לשאלתי. שיניתי את התשובה שלי קצת יותר ליתר דיוק, כי אני חושב שפספסתי נקודה בשאלתי
מחדש: "אותו אדם היה מלווה מהבניין והייתי קורא למשטרה": למה זה?
@ruakh- מכיוון שבתחומי שיפוט רבים הם עלולים להפר את החוק.
@ruakh - מכיוון שהוא פרץ את השירות שלי, מצא פגיעות, ויגלה רק באופן מלא בתנאים מסוימים. דרך הפעולה האתית היחידה היא גילוי מלא של החברה את הבעיה. אפילו לחכות להיות שכיר לא יהיה מוסרי.
@Ramhound: למה אתה מתכוון, "יגלה רק באופן מלא בתנאים מסוימים"? התשובה כללה במפורש "'והנה התיקון שלי'".
אני לא יודע למה יש כאן שאלה. הבעיה היא עם "ואני פרצתי את זה". למצוא דבר פגיעות זה דבר אחד. חציית הגבול לניצול הפגיעות ללא הסכמה מראה על חוסר שיקול דעת, פעילות מסוכנת, חוסר מודעות לחוק, ובסמכותי, עבירה על החוק. יחד עם הכרזה על זה בראיון עבודה שבו ניתן לפרש זאת כניסיון סחיטה אומר שהאדם הזה לעולם לא יקבל עבודה אצלי, צריך להרחיק אותו מהבניין והמשטרה קראה למעשים הבלתי חוקיים. פרק זמן.
rook
2012-11-14 01:16:28 UTC
view on stackexchange narkive permalink

לעולם לא מקובל לחפש נקודות תורפה באתרים או בשירותים ללא אישור. זה מנוגד לחוק, ובצדק.

זה חוקי לחלוטין לחפש נקודות תורפה במערכת שלך ובתוכנה שאתה מפעיל. אתה יכול למצוא בקלות יום של 0 שמשפיע על אנשים רבים אחרים, והוא חוקי לכל מה שתרצה עם ה מידע זה (אתה רשאי להעביר את פרטי הפגיעות כרצונך, אך למעשה השתמש בו כדי לנצל מערכת ללא הרשאה הוא סיפור אחר). הפיכתו לציבורי והשגת מספר CVE או מכירתו למציע הצעה הגבוהה ביותר.

מעט מאוד חברות בעלות תוכנית שכר באגים. פייסבוק וגוגל כן, והם יכולים לשלם די טוב על פגיעות עם השפעה גבוהה.

תודה על המידע. אך לדעתי יש סתירה בתשובתך: "לעולם לא מקובל לחפש נקודות תורפה באתרים או בשירותים ללא אישור" ו"חוקי לחלוטין לחפש נקודות תורפה במערכת שלך ותוכנה שאתה מפעיל ". אני מריץ את התוכנה שלהם (משחק באתר שלהם) ואת האישורים שלי ניתן לגנוב אם מישהו יבין את הדרך. כדי להבהיר, אני לא מבקש שכר.
אין סתירה בתשובת @Rook. אתה מפעיל את התוכנה בשרת שלהם, מה שאומר שאתה פורץ למערכות שלהם. ההשפעות הפוטנציאליות עליך לא נותנות לך רישיון לעקוף את אבטחתן, גם אם המטרה היא לספר להם על כך בהמשך.
נחמד לדעת על זה. אני לא מנסה להצדיק שום דבר, אבל זה נשמע לי מוזר: זה כאילו שכרתי רכב, פתחתי מכסה מנוע וגיליתי שיש דרך קלה לשבור אותו. אבל זו התנהגות שגויה, כי אני לא יוצר מכונית ואין לי שום זכות לראות איך זה עובד. כמו כן נראה כי חוקרים שמצאו פגיעות ב- WEP גם עשו את הדבר הלא נכון, משום שלא היה להם הסכם קודם עם מי שיצר אותו.
@Salvador דאלי לא המכונית שלך אתה יכול לעשות איתה מה שאתה רוצה. אני יכול לכתוב 0 יום עבור IE ולמכור אותו, זה חוקי לחלוטין. הבעיה היא ללכת למכונית של מישהו אחר ולהתבאס.
@SalvadorDali מבחינה טכנית, הבעיה היא לא חוסר הסכמה עם יוצרי התוכנה (או הרכב). זה חוסר הסכמה עם בעלי המערכת עליה פועלת התוכנה. במקרה שלך, חסר לך הסכם עם בעלי שרתי המשחק שנגדם השתמשת בפגיעות זו. במקרה של רכב ההשכרה, אין לך אישור מחברת ההשכרה לשבור את רכבם.
"לעולם לא מקובל לחפש נקודות תורפה באתרים או בשירותים ללא אישור." זה תלוי. יש הבדל עצום בין התבוננות למניפולציה.
tylerl
2012-11-14 08:31:35 UTC
view on stackexchange narkive permalink

בין אם השימוש באתר חוקי ובין אם לאו, זה בלתי תלוי לחלוטין אם אתה מחפש פגיעות או לא אם אתה מוצא. מה שחשוב הוא האם אתה משתמש באתר באופן לא תואם לתנאים שלהם . לא משנה למה אתה עושה את זה.

לדוגמה, ניסיון כניסה באמצעות סיסמה של מישהו אחר כנראה אינו מותר ולכן אינו חוקי . עם זאת, קריאה בכתב ה- Javascript של העמוד המחפש טעויות כנראה ש היא חוקית לחלוטין. אבל אם אתה מוצא משהו, אם אתה מנסה לבדוק את הפגיעות שמצאת ... ובכן, כנראה שתחזור שוב לא חוקי.

בין אם הם יגישו האשמות נגדך ובין אם לא זו החלטה שלהם, אלא על ידי שבירת החוק העמיד את עצמך במצב גרוע לנהל משא ומתן.

כעת, אם יש לך הרשאה מפורשת של בעל האתר לחפש פגיעויות, ובכן, אתה שוב חוזר לצד המשפטי. רק הקפד לקבל את זה בכתב, כפי שגילו כמה דמויות בולטות.

תודה. אז בעצם אתה אומר שאני צריך לעשות משהו כזה: 'היי, ניסיתי לבנות מסווג ואני חושב שיש לך פגיעות בשירות שלך. האם אוכל לחקור עוד? '
@SalvadorDali - ההצהרה האתית יותר תהיה "היי, ניסיתי לבנות מסווג ואני חושב שיש לך פגיעות בשירותך ..... הנה כל מה שאני יודע על הפגיעות ...." תעזוב את העובדה בדקת את זה מול חשבונותיך (אלא אם כן הם מבקשים).


שאלה ותשובה זו תורגמה אוטומטית מהשפה האנגלית.התוכן המקורי זמין ב- stackexchange, ואנו מודים לו על רישיון cc by-sa 3.0 עליו הוא מופץ.
Loading...