Contattare i clienti di software vulnerabili, è sbagliato?

3

Supponiamo che tu sia un ricercatore di sicurezza che trova vulnerabilità e segnala ai fornitori di provare a ricevere una taglia del bug. Se il venditore non è disposto a pagare alcuna taglia per qualsiasi vulnerabilità, semplicemente non rivelare il bug e mantenerlo privato. Il problema rimane aperto.

Tuttavia, il venditore vende il proprio prodotto a probabilmente centinaia di clienti vulnerabili al bug, che sicuramente non vogliono rimanere vulnerabili, dal momento che potrebbero potenzialmente subire perdite finanziarie significative se qualcun altro lo ha trovato e lo ha usato rubare informazioni, o peggio.

Quali sono gli argomenti legali ed etici per contattare i clienti del fornitore, informandoli dell'esistenza del bug, spiegando le potenziali perdite (sei cifre) e utilizzandolo come leva per convincere il fornitore a trovare il bug da solo (se possono), o ti pagano la taglia di bug desiderata?

Finché il bug esiste davvero e non stai spaventando i clienti per niente, e il venditore è più che capace di trovare il bug da solo se non sono disposti a pagarti per la sua divulgazione, sarebbe questo si sbaglia a fare? L'opzione alternativa di lasciare il bug da solo e mantenere tutti i clienti vulnerabili, non sembra nemmeno un'opzione molto etica, anche se a breve termine crea meno problemi per il venditore.

Qualsiasi consiglio sarebbe apprezzato.

    
posta David Davidson 27.02.2017 - 22:21
fonte

2 risposte

4

Ci sono modi migliori.

Se la tua intenzione è quella di informare i clienti per scopi puramente altruistici (e / o, per fare pressioni sul fornitore per la correzione, indipendentemente dal fatto che tu riceva o meno benefici finanziari), allora ci sono altre strade che puoi esplorare.

Potresti, per esempio, contattare il tuo CERT locale, o il CERT che ritieni possa spingere il fornitore a rimediare (per gli Stati Uniti, vedi link ).

Puoi anche richiedere un CVE ( link ) per rendere pubblica la vulnerabilità, non solo nota ai clienti esistenti.

Ci sono probabilmente un sacco di altre opzioni, ma quelle sono (si spera) un ragionevole punto di partenza.

Considera anche che questi forniscono una sorta di revisione tra pari, per assicurarti di avere ciò che pensi di avere.

Se intendi contattare i clienti a scopo di lucro, la domanda su come sai chi sono diventerà saliente, e verrebbe probabilmente considerata una chiamata a freddo, che tramite e-mail (o altri mezzi) potrebbe avere conseguenze, ad esempio relative a CAN-SPAM se si è Stati Uniti.

Non sono un avvocato, ma questo sembra un po 'traballante.

E il venditore non è disposto a sentirsi cordialmente nei tuoi confronti se lo scoprono.

Se davvero non ti interessa dell'etica, ci sono mercati di vulnerabilità privati che potresti prendere in considerazione. Questo non porterà a nessuna soluzione, ma lo sfruttamento del bug e personalmente, non mi sentirei la strada da percorrere.

Fondamentalmente: se il venditore non ti sta pagando per un vuln, allora penso (e questo è puramente un'opinione) che un rapporto pubblico li renderà più propensi a farlo in futuro.

Più vicino a casa, puoi anche controllare Come divulgare una vulnerabilità di sicurezza in modo etico?

    
risposta data 27.02.2017 - 23:32
fonte
0

As long as the bug really does exist and you're not scaring customers for nothing, and the vendor is [...] not willing to pay you for it's disclosure, would this be wrong to do?

Bene, pensaci, se pubblichi exploit al pubblico senza cooperazione tra venditori, sei praticamente un cracker giusto? Aspettatevi di essere notificati con una causa e ogni fase di come avete ottenuto la conoscenza del bug da sottoporre al microscopio per le violazioni della CFAA, del DMCA e dei termini dell'EULA che accompagnano il software. E vinci su tutti questi punti, congratulazioni, sei solo alcuni $ 150k di spese per la difesa legale da dove hai iniziato.

    
risposta data 27.02.2017 - 22:35
fonte

Leggi altre domande sui tag