Domanda di etica, post-pubblicazione di "hack fai da te" che implica l'hack di sicurezza

Naviga le tue risposte
3

Ho letto questo post alla fine, ma credo che questa domanda sia sottilmente diversa.

Considera questo scenario: un'organizzazione municipale senza scopo di lucro ha un sito Web con autenticazione (nome utente, password). L'autenticazione protegge i dati dell'utente; il denaro non è coinvolto (se questo è importante).

Con le migliori intenzioni, la Persona A pubblica uno script PHP con accesso automatico con tutti i dettagli della procedura di accesso (URL specifici, informazioni sulla sessione nei cookie, ecc.), a condizione che un utente abbia un nome utente e una password validi.

[Modifica]: questo script usa PHP / cURL. Non fa parte di una pagina web; viene eseguito dalla riga di comando. Contatta l'URL del sito web, stabilisce una sessione e invia un POST HTTP per l'accesso. Lo script può continuare a estrarre i dati utente come appropriato per il dominio.

Da una parte, lo script PHP imita semplicemente il protocollo usato dal browser: non ci sono exploit. L'intento è "DIY hacking", il mio termine per "utenti esperti che fanno cose innovative". Questa non è una roba bianca, grigia o nera.

Tuttavia, è vero che lo script / informazioni può facilmente portare a un lavoro derivato che sonda in modo iterativo i dettagli di autenticazione: un hack di sicurezza.

[Modifica] come chiarimento (per commentatori e altri), considera quanto segue:

  • L'organizzazione comunale senza scopo di lucro non dedica molte risorse alla sicurezza. Ciò include password predefinite, limiti di tentativi di accesso e così via.
  • Prima della pubblicazione dello script PHP, se un black hat voleva compromettere un account, avrebbe dovuto automatizzare il browser, usare uno sniffer di rete, o ricercare i dettagli di accesso e scrivere lo script PHP, ecc.
  • Dopo la pubblicazione dello script PHP e dei dettagli di accesso, un cappello nero potrebbe ragionevolmente modificare lo script PHP (un lavoro derivato) in modo che, dato un nome utente, semplicemente iterazioni su possibili password finché non ne viene trovato uno. Potrebbe anche cercare altri nomi utente. Il lavoro per ricercare il protocollo di accesso è già stato fatto e documentato.

La mia domanda è: la persona A ha la responsabilità etica di avvisare l'organizzazione che le informazioni sono state pubblicate? la persona A rivela la possibilità del lavoro derivativo?

Allo stesso modo, se la Persona B scopre la pubblicazione e realizza le potenziali conseguenze, c'è un onere per la Persona B di allertare la comunità, anche se il lavoro derivativo non esiste? Vale a dire, procede come descritto in questo post ?

    
posta Michael Easter 21.09.2013 - 21:26
fonte

3 risposte

5

Da quanto ho capito della tua domanda, la mia opinione è No.

Descrivete uno strumento di forza bruta basato sul web, senza la forza bruta. In breve, quello che descrivi è un paio di righe di codice che quasi chiunque potrebbe fare in un paio di minuti. Esistono molti strumenti di forza bruta basati sul web, quindi se questo particolare script non esistesse, non farebbe molta differenza, poiché la maggior parte degli hacker probabilmente ha i propri strumenti con cui ha familiarità e non avrebbe bisogno di usare il proprio.

La maggior parte delle funzioni di accesso basate sul web sono piuttosto semplici e facili da decodificare a causa della natura del web. La maggior parte dei siti sono HTML / JS che non usano codice compilato e la maggior parte non ne offusca gli script.

Se il design della funzione di login è così segreto che i dettagli non possono essere rivelati in modo sicuro, allora ci sono molte più implicazioni sulla sicurezza di alcuni script che girano attorno. Non è necessario nascondere il processo di autenticazione per renderlo sicuro, questo è considerato sicurezza attraverso l'oscurità e non ha spazio su Internet.

Il lato server dovrebbe applicare le regole di accesso che limitano il numero di tentativi non riusciti. Non ha alcun senso spostare la sicurezza dal server al client poiché non esiste un modo realistico di controllare ciò che sta facendo un client.

    
risposta data 22.09.2013 - 03:50
fonte
1

No.

Né la Persona A né la Persona B sono obbligate ad avvisare il sito web.

Il personale IT è probabilmente consapevole della vulnerabilità e ha fatto la scelta di vivere con i rischi (probabilmente per mettere risorse altrove).

Lo script non contiene exploit e utilizza standard aperti. Potrebbe implicare un lavoro derivato a livello di "script kiddie", ma prima della sua pubblicazione, il sito era probabilmente vulnerabile alle minacce di base. I dettagli di accesso non sono difficili da scoprire e quindi un cappello nero potrebbe ottenere facilmente queste informazioni.

Inoltre, se le finanze non sono coinvolte, l'impatto di una violazione è basso.

Infine, questa discussione discende in una discussione puramente filosofica sulla moralità. L'hack di sicurezza potrebbe non esistere. Abbiamo pesci più grandi da friggere.

    
risposta data 27.09.2013 - 02:09
fonte
1

Sì.

Le persone A e B dovrebbero avvisare il sito Web delle potenziali conseguenze del post.

Per lo meno, è una cortesia professionale (supponendo che la persona A o B comprenda il rischio).

È anche etico: viviamo in un'era digitale e coloro che sono esperti di sicurezza dovrebbero aiutare gli altri a comprendere le conseguenze della divulgazione. Questo non vuol dire che la pubblicazione originale debba essere soppressa. Piuttosto, dovrebbe essere la completa divulgazione:

  • ecco un hack fai-da-te
  • ecco le potenziali ramificazioni di sicurezza
  • qui sono possibili correzioni ai problemi di sicurezza

Infine, non c'è quasi nessuna ragione per non per prendere qualche tipo di azione.

Perché supporre che la correzione sia costosa? Un rimedio potrebbe essere una e-mail agli utenti, consigliando che migliorano la forza delle loro password.

Perché ipotizzare che l'impatto sia basso? Il sito Web può utilizzare software (o un framework) utilizzato da molti altri. Inoltre, la privacy è la privacy, che sia finanziaria o meno. Immagina una libreria in cui qualcun altro può leggere i tuoi libri controllati (" Proposta di matrimonio per i manichini ") o posizionare delle prese nel tuo nome (" Divorzio per i manichini ").

Può essere vero che l'hack di sicurezza non esiste, ma se può essere ragionevolmente fatto, è più sicuro supporre che sarà scritto e prendere qualche misura di divulgazione etica.

    
risposta data 27.09.2013 - 02:12
fonte

Leggi altre domande sui tag

Problemi di sicurezza con un sito "violino"? Intercettando le chiamate di lavoro e inoltrandole a me