Come segnalare le vulnerabilità senza essere considerato un hacker?

74

Ho appena scoperto che la pagina di accesso del mio alunni universitari è semplicemente HTTP. Wireshark ha confermato che le credenziali vengono inviate utilizzando un messaggio POST HTTP. Ho fatto un po 'di ricerche e, come pensavo, HTTPS dovrebbe sempre essere utilizzato nella pagina di accesso (vedi È sicuro per un sito servire la pagina di login con HTTP, ma avere il sito reale in HTTPS ? ).

Prima di tutto, mi piacerebbe fare un favore alla mia università, ma come posso farle fare qualche azione? È molto probabile che i miei dati personali, come laurea e anno di laurea, siano archiviati nel database degli alumni. Non sorprende che alcune organizzazioni non prendano sul serio questo rapporto (vedi Come fare Segnala una vulnerabilità a una grande organizzazione che non crede che abbia un problema? ). Ho inviato l'helpdesk IT dell'università tramite il mio account di posta elettronica degli ex allievi, ma il personale mi ha chiesto di indirizzare la mia richiesta a un messaggio di posta elettronica generale per gli ex alunni.

Oltre ai dettagli tecnici, come posso assicurarmi che nessuna polizia mi arresterà per aver hackerato? Non ho tentato di rubare alcuna informazione personale. Non sono interessato a segnalare questa vulnerabilità ad alcuni forum di sicurezza prima che l'università intraprenda un'azione.

P.S. Sono imbarazzato dal fatto che la mia laurea in CS fosse di quella scuola.

    
posta Community 29.10.2014 - 15:32
fonte

10 risposte

58

Segnalando semplicemente che sta utilizzando HTTP anziché HTTPS per l'accesso e che non è sicuro non dovrebbe essere accusato di hacking. È qualcosa che è immediatamente visibile pubblicamente guardando il sito.

Esistono molti modi per rilevare vulnerabilità che potrebbero essere considerate hacking (ad esempio, l'esecuzione di uno scanner di vulnerabilità contro una destinazione per la quale non si è autorizzati a eseguirla), ma non sono a conoscenza di alcuna giurisdizione che considererebbe guardando la pagina e riconoscendo un difetto immediatamente visibile per l'hacking. Sarebbe un po 'come camminare vicino a una casa, notando che qualcuno stava lasciando la loro porta aperta quando stavano andando via e accusato di essere un ladro quando li hai indicati loro hanno lasciato la porta aperta (mentre non sei nemmeno in piedi loro proprietà.)

    
risposta data 29.10.2014 - 15:45
fonte
28

Se ignorano le tue e-mail, puoi provare a segnalarle all'organizzazione responsabile dell'applicazione della legge sulla protezione dei dati. Non so da dove vieni, nel Regno Unito sarebbe link

Hanno la responsabilità di proteggere i tuoi dati.

    
risposta data 29.10.2014 - 16:33
fonte
13

Per prima cosa, non puoi far fare a nessuno qualcosa. Come allume, puoi sollevare le tue personali preoccupazioni riguardo all'esposizione delle tue credenziali, ma questo è quanto.

Non sono sicuro di come qualcuno considererebbe le tue azioni dichiarate come hacker, ma dipende dalla tua giurisdizione. Nel mio, catturare i tuoi pacchetti non è affatto illegale.

È spiacevole che il supporto IT ti abbia portato al cestino generale delle e-mail, ma devi seguire le loro procedure.

    
risposta data 29.10.2014 - 15:40
fonte
8

Ecco il mio approccio:

Cerca di scoprire se la tua università ha una persona responsabile della sicurezza. Forse hanno una compagnia che lo fa o hanno un dipartimento. Se è così, prova a contattare queste persone. Spesso sanno di cosa stai parlando.

Quando li contattano, non è necessario dir loro di "wireshark". Di '"Ho notato che il sito utilizza HTTP e, dal momento che lavoro in sicurezza informatica, so che significa che il mio nome e la password saranno inviati su Internet senza alcuna protezione di alcun tipo. rubare la mia identità in questo modo. Ne sei consapevole? "

Quindi il primo obiettivo è: "Ho trovato un rischio e so di cosa sto parlando". Quindi vedi come rispondono. Questa non è una situazione pericolosa per la vita. Va bene se ci vogliono un paio di giorni per risolvere. Puoi utilizzare diversi messaggi per esprimere il tuo punto.

Se rifiutano di crederti, dai loro una ricetta su come possono vedere da soli (installa Wireshark, usa questa regola, fai il login, guarda indietro cosa ti mostra Wireshark). In questo modo, eseguono lo strumento "cattivo". In nessun momento, devi dire loro cosa hai fatto sul tuo computer. Se premuto, puoi dire "Ho usato gli strumenti di sicurezza della mia azienda per acquisire i dati che il mio browser invia a te e ho visto che ..."

    
risposta data 30.10.2014 - 14:47
fonte
6

TL; DR - Essere professionali e umili farà molto. Essere segreto, orgoglioso o malizioso ovviamente non finirà così bene. Se lavori tranquillamente e in privato con loro, è probabile che facciano lo stesso.

Sembra quasi tagliare e incollare su come ho iniziato a trovare problemi con la sicurezza della mia università. La mia università stava inserendo l'ID dello studente in un cookie ed è per questo che ti sei registrato come. Se hai manipolato il cookie, hai eseguito l'accesso come chiunque tu volessi. È stata la scoperta che mi ha portato ad approfondire la loro sicurezza. Avevano anche un server di posta non sicuro che avrebbe inoltrato qualsiasi cosa senza autenticazione. I nomi file delle immagini nella directory della scuola erano solo una codifica strana dell'ID di quell'allievo . A un certo punto, ho potuto cercare un SSN e ottenere il nome di uno studente.

Ho trovato questi bug un po 'alla volta. È iniziato con il senso di "Le mie informazioni devono essere sicure e non lo sono" e vorrei sottolineare l'ultima pecca che ho scoperto per l'IT. Dopo circa la terza volta che ho riferito qualcosa, ho iniziato a sentirmi arrabbiato e superiore al dipartimento. Ogni due settimane sarei nell'ufficio del Vicepresidente delle tecnologie, sottolineando un nuovo modo per ottenere SSN o documenti finanziari degli studenti fin dal 1995 o qualche tecnica di stalker per determinare l'intero programma di classe di qualcuno (compreso il voto di lettera in quella classe ). Anche il vicepresidente cominciò a diventare ostile con me. Ammetto che forse non ho avuto il miglior atteggiamento dopo il 6 ° mese. Ad un certo punto sono stato espulso per circa 3 settimane quando hanno sentito che stavo cercando di decodificare la codifica (link sopra). Volevo mostrare loro quali buchi erano vulnerabili quando un individuo non lavorava con loro e loro erano al buio. Alla fine lo abbiamo risolto, ma c'era un sacco di rabbia, scartoffie e ego in giro nel frattempo da entrambe le parti.

Il punto che sto cercando di fare è che il dipartimento IT abbia lavorato con me nonostante io fossi un cretino. Hanno risolto i problemi e la scuola è meglio per questo. Finché sono stato in anticipo sulle mie intenzioni e aperto su quello che stavo facendo, non mi hanno minacciato o ostacolato. Non è stato fino a quando stavo lavorando in segreto che hanno preso provvedimenti disciplinari. Ero in cima alla lavagna con cose che potevano essere assolutamente considerate hacking, inclusi attacchi per iniezione, ingegneria sociale, reverse engineering, sniffing dei pacchetti, scansione delle porte, exploit software personalizzati e altro ancora. Dal momento che non ho mai cambiato nulla e sempre (beh ... di solito) ho riferito le mie conclusioni in silenzio e direttamente a loro, hanno lavorato con me. Non ho dubbi che se non fossi un asino non sarei stato espulso temporaneamente.

    
risposta data 30.10.2014 - 16:04
fonte
6

Esiste un servizio fornito da Hewlett-Packard Tipping Point chiamato Zero Day Initiative. link

Ecco come funziona.

  1. Loro ACQUISTA la vulnerabilità da te
  2. HP Tipping Point offre protezione alla sua clientela di utenti di smart firewall
  3. ZDI risolve il problema con il venditore per risolvere il problema (in genere questo può richiedere 6 mesi)
  4. Se il venditore non risponde o cambia, ZDI segnala la vulnerabilità pubblicamente.

Come puoi vedere, hai finito al punto 1 e ottieni denaro e rimani anonimo.

    
risposta data 31.10.2014 - 09:15
fonte
1

A volte è molto difficile spiegare l'importanza della sicurezza per le persone. Alcune persone semplicemente non capiscono la sicurezza e altri pensano che il loro sistema non venga mai compromesso. Segnalare una minaccia alla sicurezza a volte viene ignorato o richiede molto tempo per essere corretto. Dalla mia esperienza per ottenere il tuo punto di vista per migliorare la sicurezza, vorrei dimostrare l'attacco. Quando si demo un attacco, suggerirei di utilizzare la propria casella in cui è possibile impostare un ambiente simile. In questo modo puoi mostrare visivamente alle persone come possono essere rubati i dati.

    
risposta data 29.10.2014 - 16:24
fonte
1

Questo è un problema abbastanza difficile, dato che le aziende e le università hanno una lunga e orgogliosa storia di reazione con ostilità e sparatorie al messenger in casi come questo. E non vi è alcuna garanzia che non sarete perseguiti per nient'altro che notando la loro insicurezza. Potrebbero non avere una causa contro di te, ma questo non significa che non possano renderti infelice.

Ecco alcune idee che potrebbero essere d'aiuto.

  • Rimane anonimo : esistono molti modi per proteggere la tua identità. Non entrerò da loro qui, ma per la maggior parte non è necessario identificarsi per rivelare una vulnerabilità. Se sei preoccupato per le ritorsioni, potrebbe essere meglio che tu non lo faccia.

  • Non rivelare direttamente: anche se sarebbe l'ideale per te gestire il problema in privato, così facendo non ti offre alcuna protezione se decidi di vendicarti. Rivelare la vulnerabilità attraverso una terza parte fidata ti protegge dall'azione diretta impedendogli di controllare la storia. Spesso la divulgazione indiretta è un modo per mantenere l'anonimato.

  • Concentrati sulla loro negligenza piuttosto che sulla loro vulnerabilità : se assumi preventivamente un piano morale, attaccandoti, li dipingi come più negligente, piuttosto che meno così. È estremamente difficile (ed estremamente raro) per un servizio che è stato accusato principalmente di negligenza per dipingere il loro informatore come un criminale. Sottolineare semplicemente la loro scarsa sicurezza non ti offre alcuna superiorità morale e dare loro l'opportunità di dipingersi come vittime accusandoti di cattiva condotta criminale. Non darli a loro.

risposta data 01.11.2014 - 05:38
fonte
0

A giudicare da quello che hai detto non ci sono prove del tuo tentativo di hackerare. Hai semplicemente monitorato le richieste in entrata e in uscita della tua rete.

Se sei ancora appiccicoso alla situazione, prova a contattare il Commissario per la privacy in Canada per vedere cosa consigliano. link

    
risposta data 02.11.2014 - 17:26
fonte
-2

Questo sembra più una questione di psicologia / sociologia che di sicurezza, poiché il problema sembra essere il modo migliore per comunicare con un'altra parte e convincerli a intraprendere un'azione specifica. Non posso credere che qualsiasi accusa di "hacking" possa avere reali implicazioni legali per le ragioni spiegate da altre risposte.

Un approccio alternativo a quelli di cui sopra è quello di praticare un reato strong. Se si rifiutano di riconoscere le tue e-mail, invia un messaggio semi-minaccioso con tono educato ma deciso spiegando che se non risolvono questa vulnerabilità di sicurezza per proteggere i tuoi dati personali, potrebbe essere necessario intraprendere un'azione legale per proteggersi. Questo può o non può essere pratico, a seconda di quali informazioni personali vengono effettivamente memorizzate.

Questo approccio crea naturalmente un'interazione conflittuale, quindi considera attentamente prima di proseguire su questa strada.

    
risposta data 29.10.2014 - 21:50
fonte

Leggi altre domande sui tag