Conseguenze dell'hacking di cappello grigio

30

Mentre stavo lavorando su un sistema di rilevamento delle anomalie (trovando degli imbroglioni in un servizio di gioco online piuttosto popolare) ho trovato casualmente un modo per ottenere una password di un utente in un ragionevole lasso di tempo. Fondamentalmente, l'idea di creare un sistema di rilevamento delle anomalie era di fare domanda per un lavoro per quel servizio web e di fornire la mia soluzione preliminare.

Dopo aver trovato questa vulnerabilità, sto pensando di applicarvi non solo con un CV, ma anche con il sistema di rilevamento e spiegando anche la vulnerabilità. Ma ecco una cosa: ricordo leggendo su un ragazzo che ha trovato un problema in Yahoo! lo ha segnalato e è stato premiato, provato con Facebook e imprigionato.

Perché penso che la prigione non sia il posto migliore per me, vorrei chiedere quali sono le possibilità di essere accusato di un crimine?

Da tenere a mente

  • Non lavoro per quella società
  • il mio obiettivo principale è terminare il mio classificatore di previsione cheat
  • le uniche password che ho provato a interrompere erano le password dei miei account fittizi
  • Voglio lavorare per quella società

P.S: Penso di non essere stato chiaro. Sto lavorando ad un classificatore per dare una previsione, se la persona sta ingannando nel gioco o no e perché questo è un grosso problema per quel servizio - sto pensando di candidarmi per un lavoro, avendo questo classificatore come un vantaggio in più per il mio CV. Ho trovato per caso una vulnerabilità e ho pensato di segnalarlo o no, e se sì, quali problemi posso affrontare. Sta succedendo qualcosa del genere, "ecco il problema ed ecco quello che penso dovresti fare. Se vuoi, mi piacerebbe lavorare per te, ma non come specialista della sicurezza (non ho conoscenza per questo), ma come un data miner ". Se mi prenderanno o no, fondamentalmente non mi interessa.

Non ha nulla a che fare con lo scenario: "Voglio lavorare per te e so come ottenere una password per un utente, quindi pensaci due volte prima di rifiutarmi."

    
posta Salvador Dali 13.11.2012 - 19:42
fonte

4 risposte

17

- Modifica: questa risposta rispondeva all'idea di candidarsi per un lavoro basato sulla scoperta di una vulnerabilità. -

È molto probabile che non otterresti il lavoro se applichi la forza del fatto che hai violato con successo la sicurezza degli utenti. Fidati di me, se qualcuno entrasse in un'intervista con me dicendo "Oh, a proposito, ho trovato un buco nel tuo sistema, l'ho hackerato, e qui c'è la mia correzione", quella persona sarebbe stata scortata fuori dall'edificio e io chiama la polizia.

Svelare completamente la vulnerabilità a loro e loro soli, e lavorare con loro per chiudere il problema. ALLORA aprite la discussione sull'essere assunti per più lavoro di sicurezza. Una volta che si tenta di combinare l'acquisizione di un lavoro con la divulgazione di una vulnerabilità, potrebbe essere interpretato come un tentativo di estorsione.

Per quanto riguarda le possibilità di azione legale, dipende dalla tua posizione, dalla loro posizione, dalla posizione del server web che hai testato, dalla gravità della violazione e (in una certa misura) dalle attitudini e dalle politiche delle organizzazioni interessate.

-

    
risposta data 13.11.2012 - 21:00
fonte
23

Qui non ci sono abbastanza informazioni per decidere sulla tua domanda. Giurisdizione e esattamente cosa è successo a come hai trovato un difetto nella sicurezza e in che modo lo hai testato e quali sono i loro termini di servizio (che definiscono il modo in cui ti è permesso usare i loro computer e dati). In generale, "hacking" non è ciò che è legale o illegale, ciò che è illegale sta usando l'hardware o l'IP di altre persone in un modo che non è autorizzato a farlo.

Se stavi eseguendo un exploit contro il loro hardware, allora quella era un'intrusione, indipendentemente dall'intenzione e potevano seguirti per quello se volevano davvero. Se hai preso i dati che hanno concesso in licenza solo per uno scopo particolare e hanno abusato dei dati in un modo in cui non avevi diritto, potrebbe anche essere loro possibile farti seguire in base alla tua giurisdizione. Se hanno fornito dati in chiaro, senza una licenza associata e hai trovato un modo per utilizzare tali dati per abusare del loro sistema sul tuo hardware, probabilmente sei al sicuro dal momento che non hai usato il loro hardware o dati con licenza per fare la tua determinazione. Ma ancora una volta, questo può variare ampiamente in base alla giurisdizione, quindi conoscere le leggi locali è la migliore politica e IANAL .

Per quanto riguarda i consigli pratici su come affrontarlo. Ti suggerirei di non affrontarlo come una vulnerabilità comprovata. Sicuramente fornire un sistema anti-cheat sembra un vantaggio. Potresti anche semplicemente dire che pensavi di aver visto qualcosa che poteva essere sfruttabile quando ci stavi lavorando e chiedergli il permesso di testarlo o lasciarlo testarlo. Potrebbe essere meglio non menzionare la vulnerabilità, anche se fino a dopo aver ottenuto un lavoro con loro o essere declinati sulla forza del tuo sistema anti-cheat da solo. È davvero difficile prevedere come reagiranno le persone quando una falla viene esposta da una parte esterna, anche se segnalata in modo responsabile. Molte delle possibili reazioni non funzionerebbero a tuo favore, se rifiuto, rabbia o sospetto.

    
risposta data 13.11.2012 - 21:58
fonte
5

Non è mai accettabile cercare vulnerabilità in siti Web o servizi senza permesso. Questo è contro la legge, e giustamente.

È del tutto legale cercare vulnerabilità nel proprio sistema e software in esecuzione. Potresti facilmente trovare uno 0-day che interessa molte altre persone, ed è legale per qualsiasi cosa tu voglia con questa informazione (sei libero di trasmettere i dettagli delle vulnerabilità come vuoi, ma in realtà usarlo per sfruttare un sistema senza autorizzazione è un'altra storia). Rendendolo pubblico e ottenendo un numero CVE o vendendolo al miglior offerente.

Pochissime aziende hanno un programma di bug bug. Facebook e Google fanno, e possono pagare abbastanza bene per una vulnerabilità ad alto impatto.

    
risposta data 13.11.2012 - 20:16
fonte
4

Se l'uso di un sito web è legale o meno è completamente indipendente dal fatto che tu stia cercando o meno una vulnerabilità o anche se ne trovi una. Ciò che conta è se tu usi o meno il sito web in modo coerente con i loro termini . Non importa perché lo stai facendo.

Ad esempio, il tentativo di accedere utilizzando la password di qualcun altro non è probabilmente consentito e quindi illegale. Tuttavia, leggere il Javascript di una pagina in cerca di errori probabilmente è perfettamente legale. Ma poi se trovi qualcosa, se provi a testare la vulnerabilità che hai trovato ... beh, probabilmente torna di nuovo illegale.

Indipendentemente dal fatto che facciano o meno accuse contro di te è una loro decisione, ma violando la legge ti sei messo in una cattiva posizione per negoziare.

Ora, se si dispone dell'autorizzazione esplicita del proprietario del sito per cercare le vulnerabilità, beh allora si torna nuovamente sul lato legale. Assicurati di averlo scritto per iscritto, come hanno scoperto diversi personaggi importanti.

    
risposta data 14.11.2012 - 03:31
fonte

Leggi altre domande sui tag