Chiede una "donazione" prima di rivelare il comportamento del cappello nero alle vulnerabilità? [chiuso]

37

Siamo stati contattati da un "ricercatore indipendente della sicurezza" tramite il progetto Open Bug Bounty . Le prime comunicazioni sono state abbastanza buone e ha rivelato la vulnerabilità trovata. Abbiamo rattoppato il buco e abbiamo detto "grazie", ma abbiamo rifiutato di pagare una donazione (vedi sotto).

Il ricercatore ha quindi inviato una email di follow-up affermando di aver trovato più vulnerabilità, ma poiché non abbiamo fatto una donazione, manterrà queste vulnerabilità per sé.
In altre parole, ci ha solo detto che aveva più vulnerabilità, ma non le avrebbe rivelate, dopo aver preso la decisione di non pagare la donazione volontaria suggerita.

A mio parere, questo non è più in linea con il comportamento responsabile del cappello bianco. Ho ragione in questa affermazione?


Aggiorna
Sì, la persona è stata abbastanza esplicita nel suggerito importo per la donazione.

I vari motivi includono il mancato pagamento della "donazione" richiesta:

  • l'altezza suggerita della "donazione volontaria" in combinazione con la gravità della vulnerabilità rilevata,
  • la vulnerabilità in questione era, secondo i nostri registri, non trovata da un individuo "altamente qualificato", ma piuttosto da uno strumento automatico,
  • il fatto che il progetto Open Bug Bounty accluda esplicitamente che non è richiesto alcun pagamento,
  • il tono di voce aggressivo passivo.

Quanto sopra, in combinazione con il fatto che, mentre stiamo impostando un budget di bounty e una politica associata, non abbiamo ancora completato questo.

Siamo chiari: non abbiamo impostato una taglia, ne abbiamo promessa una e non ci siamo registrati per questo progetto. Il progetto Open Bug Bounty è un progetto non affiliato, che dice esplicitamente: " Non c'è, assolutamente, alcun obbligo o dovere di esprimere gratitudine ".

Inoltre, nota: anche se sono a favore di una sorta di quadro legale per proteggere i ricercatori di sicurezza in buona fede, questo quadro giuridico non esiste, in questo momento, nella nostra giurisdizione; un fatto che la nostra persona legale era fin troppo ansiosa di sottolineare.

    
posta Jacco 30.10.2017 - 11:14
fonte

5 risposte

42

Sono un cacciatore di bug e non ho idea del motivo per cui tutti qui pensano che sia perfetto per lui attaccare il tuo sito web senza permesso, determinare lui stesso una quantità di ricompensa e minacciare di trattenere i difetti potenzialmente pericolosi perché non ottiene i soldi che vuole Perché non ha chiesto in anticipo la tua politica? Non hai mai preteso di eseguire un programma di bug bug, o di essere in grado di pagare nessuno per qualcosa in primo luogo.

Per chiarire nuovamente, OP non si è iscritto al progetto Open Bug Bounty. Il progetto offre di essere un intermediario tra ricercatori e siti web che non gestiscono un programma di taglie. Inoltre, menzionano esplicitamente che sei non obbligato a pagare nulla e che il ricercatore dovrebbe esserne a conoscenza se legge le linee guida.

A website owner can express a gratitude to the researcher in a way s/he considers the most appropriate and proportional to the researcher's efforts and help. We encourage website owners to say at least a “thank you” to the researcher or write a recommendation in the researcher’s profile. There is, however, absolutely no obligation or duty to express a gratitude.

(Enfasi mie)

Se si aspetta una ricompensa monetaria, dovrebbe cercare dei bug presso le aziende che gestiscono effettivamente un programma di taglie. Ci sono molti programmi affidabili che pagano grandi ricompense.

The researcher then sent a follow up email saying that he has found more vulnerabilities, but because we didn't make a donation, he will keep those vulnerabilities for himself.

Se li ha già trovati e non è molto difficile inserirli in una lista e farti sapere, allora sì, trovo non etico tenere gli errori indietro. 1 Non hai chiesto lui a fare del lavoro per te. Avrebbe potuto chiedere se paghi in anticipo gli errori. E lui non ti ha offerto la sua esperienza per una donazione - dalla tua descrizione sembra più una leggera minaccia che se non lo paghi, il tuo sito Web è in pericolo.

Prendi l'incidente come suggerimento per cui devi investire di più nella tua sicurezza. Prendi in considerazione la possibilità di creare un vero programma di bug bug con piccoli premi o assumere un tester di penetrazione professionale. Ma non permettergli di estorcere denaro da te se non lo avessi mai promesso.

1 Non è che dovrebbe fare del lavoro gratuito per te. È il fatto che accenna che c'è qualcosa che non ti dirà a meno che tu non gli paghi un importo particolare che lo rende non etico, specialmente se uno sfruttamento di questi bug potrebbe minacciare il futuro della tua azienda.

    
risposta data 30.10.2017 - 15:04
fonte
75

To my understanding, this is no longer in line with responsible 'white hat' behavior. Am I right in this assertion?

Il cappello bianco (e grigio / nero) sono termini vaghi. Non esiste una definizione universale fissa. Secondo le definizioni di wikipedia, la maggior parte dei ricercatori sarebbe considerata Gray Hat visto che non è raro pubblicare se l'editore del software si rifiuta di applicare la patch.

La semplice risposta alla tua domanda è no. Se il tuo obiettivo è rendere il mondo più sicuro, questo chiaramente non si allinea direttamente. C'è un argomento indiretto - che incoraggiando la ricompensa finanziaria incoraggia una relazione più sana tra imprese e ricercatori e incoraggiando più persone sul campo.

Perché lo chiedi anche tu? Il ricercatore non è in alcun modo obbligato a rivelarti. A meno che tu non possa provare che ha infranto la legge nel trovare le vulnerabilità, non hai alcuna leva per costringerlo a farlo. Fino ad oggi hai ricevuto diverse ore di lavoro da un (altamente fiducioso) individuo altamente qualificato gratuitamente. O lo consideri come la pena di pagarlo per continuare a offrire servizi o no.

* Vedendo il titolo direi che questo non è un comportamento da cappello nero a meno che non sfrutti deliberatamente le vulnerabilità per il proprio guadagno o per il proprio danno (/ li dia direttamente a qualcuno con quell'intenzione). Se si rifiuta di rivelare l'argomento sarebbe tra le definizioni di cappello bianco / grigio.

    
risposta data 30.10.2017 - 11:52
fonte
59

Il ricercatore non ha creato la vulnerabilità e non ha minacciato di rilasciare o sfruttare ciò che ha trovato. Se non desideri pagare per il suo lavoro, allora non farlo e la tua azienda non sta peggio di quanto non fosse prima che ti contattasse. Infatti ti ha dato il dono di dirti che esiste una vulnerabilità che puoi trovare da te o tramite un altro appaltatore.

Quindi no, non ha fatto nulla di non etico.

    
risposta data 30.10.2017 - 13:44
fonte
9

Non ha bisogno di rivelare- ma sapeva che arrivava durante il secondo turno che non paghi. Quindi qual è la sua motivazione? Non puoi saperlo, quindi sta usando quel vuoto per creare pressione su di te a pagare.

Tuttavia, dal momento che non ha minacciato di rilasciare malware o vendere cappelli neri, è potenzialmente chiaro legalmente e forse anche eticamente se non lo fa mai, o se fa semplicemente un dump aperto dell'exploit senza venderlo a cappelli neri.

Poteva venderlo legalmente a stati-nazione e società di sicurezza, ma non conoscendo l'importanza del tuo codice, è impossibile dire se questo è un luogo vendibile per il "ricercatore".

Pagare un giusto valore di mercato è probabilmente la soluzione migliore. La persona ha trascorso del tempo facendo la ricerca e l'informazione ha valore per te. Anche se lo rilasciano allo scoperto, è legale. Si riduce a ciò che può causare un rilascio senza notifica. Se la risposta non è molto, quindi ignorala. Altrimenti, vieni con i soldi. Questo è puramente utilitaristico. Non proprio parlando all'etica. Eticamente avrebbe dovuto abbandonare la ricerca sulla tua app / sito che sapeva che non eri interessato a pagare, a meno che non ci siano dati pubblici che ritiene di mettere a rischio.

    
risposta data 30.10.2017 - 20:04
fonte
-2

Anche se non è obbligatorio per legge, molti pensano che non risarcire qualcuno per il proprio lavoro non sia etico. Questo è indipendente dagli strumenti usati da questa persona per il loro lavoro o il tono usato per comunicare, specialmente perché un tono nella comunicazione scritta può essere facilmente interpretato male.

Questa persona ti ha regalato un esempio del loro lavoro, poi ti ha stuzzicato di averne di più. Questa è una pratica commerciale comune e in nessun modo un comportamento malevolo.

Pertanto, dalle informazioni fornite nella domanda, il ricercatore potrebbe anche agire in buona fede, senza intenti malevoli. Il PO potrebbe essere parziale nella rappresentazione dei fatti fatti e potrebbe cercare di inquadrare il ricercatore come un cappello nero per legittimare il loro punto di vista. Questa è solo una supposizione, e il PO potrebbe essere di buona fede e il ricercatore potrebbe davvero minacciare l'OP, ma non è chiaro.

    
risposta data 30.10.2017 - 17:27
fonte

Leggi altre domande sui tag