In quali casi devono essere preparate le applicazioni per la forza bruta?

1

Oggi ho avuto un'idea: stavo pensando che si possa usare la forza bruta per ottenere alcuni dati da un'università del nostro paese.

Risultò che i miei pensieri erano veri: un attaccante può usare la forza bruta per rivelare informazioni sensibili.

Quanto deve essere strong la protezione contro la forza bruta per un'applicazione, ad esempio questo sito web universitario?

Nel mio caso, sto pensando di informare le persone giuste su questo in modo che possano affrontarlo nel modo giusto (anche se penso che non gli interesseranno affatto).

Secondo le leggi del mio paese, ottenere e manipolare le informazioni che si possono ottenere da questa università è illegale.

Penso al seguente scenario: probabilmente annuncerò le persone che si prendono cura di quel sito web, e forse diranno: attaccarci è comunque illegale - se si preoccupano ancora di il mio rapporto?

    
posta Ionică Bizău 20.03.2017 - 12:25
fonte

2 risposte

1

this is illegal anyways––should they still care about my report?

Molto.

Per dare una di una serie ormai lunga di questi esempi, prendi in considerazione (uno dei) l'hack di Yahoo, per esempio 1 miliardo di account hack segnalati alla fine del 2016 (vedi anche copertura di Krebs ).

Per comprendere rapidamente perché "questo è illegale comunque" non è una risposta legittima:

  • Yahoo ha rubato alcuni dati sensibili (in questo caso, email degli utenti, password e forse più), ma Yahoo ha ancora il dovere di annunciare (e indagare) l'hack
  • questo dovere si estende ai suoi rendiconti finanziari, come spiegato nel footer di uno dei loro comunicati stampa sull'impatto sugli utenti :

More information about potential risks and uncertainties of security breaches that could affect the Company’s business and financial results is included under the caption “Risk Factors” in the Company’s Quarterly Report on Form 10-Q for the quarter ended September 30, 2016, which is on file with the SEC and available on the SEC’s website at www.sec.gov.

  • a seconda del Paese, l'obbligo di segnalazione può anche essere legato a multe e altre conseguenze legali o finanziarie ( Europa , ad esempio).

Tutto ciò tende a concentrarsi su informazioni di identificazione personale (PII), ma nel caso di un'università, la perdita o il furto della ricerca (in particolare quando non protetto da brevetti) potrebbe influire sullo stato finanziario dell'università. Per non parlare del fatto che le università tengono anche le PII, quindi è necessario indagare su una violazione per determinare quale tipo di dati potrebbero essersi verificati.

Non sono un avvocato, ma ci sono così tanti casi in cui, per lo meno, l'inchiesta sarebbe giustificata (se non fosse necessario per determinare le conseguenze legali), che penso che il rapporto sarebbe (presumendo che fosse sentito come affidabile e preciso) prestata attenzione.

Se fornisci segnalazioni errate (o anche eccessivamente rumorose), potrebbe ignorare il tuo rapporto. Ma sarei sorpreso se le prove conclusive di una violazione venissero ignorate.

    
risposta data 20.03.2017 - 12:40
fonte
0

Non è illegale avere una cattiva sicurezza. Ma di solito, le organizzazioni che gestiscono informazioni private partecipano anche ad attività che richiedono una sorta di conformità normativa.

Ad esempio, negli Stati Uniti, un'università spesso gestisce le informazioni della carta di credito, il che significa che devono essere conformi allo standard PCI-DSS. Se gestiscono informazioni mediche, devono essere conformi HIPPA. Se gestiscono prestiti agli studenti, devono essere conformi alla FFIEC. Se gestiscono le informazioni governative, potrebbero dover essere conformi a ISO 27000. Ecc. Ognuno di questi include standard per la sicurezza informatica. Alcuni di essi sono molto specifici, ad es. specificare che le password devono essere sottoposte a hash e che i meccanismi di blocco (per impedire la forza bruta) sono in posizione.

Se un'università non è conforme, potrebbe non essere necessariamente illegale (non è negli Stati Uniti) ma potrebbe avere conseguenze per loro, ad es. Visa potrebbe non consentire loro di elaborare i pagamenti.

Se ritieni che un'organizzazione non sia conforme, puoi inviare un'email e chiedere che venga indirizzata al responsabile della conformità.

    
risposta data 20.03.2017 - 12:34
fonte

Leggi altre domande sui tag