Avvicinati agli affari con vulnerabilità di sicurezza

Naviga le tue risposte
4

Come ricercatore di sicurezza, ho acquisito familiarità con diversi strumenti e pacchetti software correlati.

L'altro giorno, ho aperto uno di quei pacchetti software e stavo tentando di attaccare una rete Wi-Fi personale con un attacco WPS per valutare l'utilità del software.

Ho fatto clic sull'opzione Start e poi l'ho eseguita. Per farla breve, ho selezionato la rete wireless di un'azienda limitrofa e non la mia rete prevista.

Non divulgherò alcuna informazione pubblicamente e cancellerò immediatamente i dati, ma mi piacerebbe avvicinarmi al business e discutere di questa vulnerabilità.

Considerando che non avevo il permesso di eseguire il test, ma vorrei divulgare responsabilmente le mie scoperte a coloro che sono interessati. Non sto chiedendo un parere legale qui, ma dovrei prima trovare un avvocato? È una norma NDA lo standard accettato qui? So che l'approccio è importante, quindi come farei per garantire anche la mia sicurezza?

    
posta C0NFUS3D 06.08.2015 - 15:17
fonte

1 risposta

1

Tutto dipende da quali strumenti hai utilizzato e da come hai effettivamente trovato la vulnerabilità. Alcuni luoghi con una semplice scansione NMAP sono legali, mentre altri non lo sono. Se hai eseguito programmi più intrusivi, allora lo lasci da solo. Dimenticalo. Se ti senti ancora obbligato a dirglielo, fallo in modo anonimo.

Hai due opzioni. Lascialo da solo. Lascia perdere. Probabilmente il più sicuro. A seconda di come ti sei connesso alla rete, probabilmente c'è qualcosa nei loro log dalla tua scansione. Per quel che ne sai il server è un honeypot.

Se scegli di contattarli, il consiglio legale è esattamente quello di cui hai bisogno e considera che le probabilità non siano a tuo favore. Se fingi ignoranza, non sembrerai molto professionale e la tua mossa può anche essere vista come un tentativo di vendere i tuoi servizi.

Tutto dipende dal paese in cui l'hai fatto, e se dai uno sguardo alla cronologia di incidenti simili, vedrai che in alcuni paesi questo si conclude spesso con una causa.

    
risposta data 03.11.2015 - 18:23
fonte

Leggi altre domande sui tag

Hashing dell'identificazione della sessione - Come renderlo più sicuro e robusto migliori pratiche per la gestione della registrazione automatica?