it-swarm.com.de

Fordert man eine "Spende", bevor man Schwachstellen aufdeckt?

Wir wurden von einem "unabhängigen Sicherheitsforscher" über das Projekt Open Bug Bounty kontaktiert. Die erste Kommunikation war in Ordnung und er gab die gefundene Sicherheitslücke bekannt. Wir haben das Loch geflickt und "Danke" gesagt, aber keine Spende gezahlt (siehe unten).

Der Forscher schickte daraufhin eine Folge-E-Mail mit dem Hinweis, dass er weitere Sicherheitslücken gefunden hat. Da wir jedoch keine Spende geleistet haben, wird er diese Sicherheitslücken für sich behalten.
Mit anderen Worten, er sagte uns nur, dass er mehr Schwachstellen habe, diese aber nicht offenlegen würde, nachdem wir beschlossen hatten, die vorgeschlagene freiwillige Spende nicht zu zahlen.

Nach meinem Verständnis entspricht dies nicht mehr dem verantwortungsvollen Verhalten des weißen Hutes. Habe ich recht mit dieser Behauptung?


Update
Ja, die Person hat den vorgeschlagenen Betrag für die Spende ausdrücklich angegeben.

Die verschiedenen Gründe für die Nichtzahlung der angeforderten "Spende" sind:

  • die vorgeschlagene Höhe der "freiwilligen Spende" in Kombination mit der Schwere der festgestellten Sicherheitslücke,
  • die fragliche Sicherheitslücke wurde laut unseren Protokollen nicht von einer "hochqualifizierten" Person gefunden, sondern von einem automatisierten Tool.
  • die Tatsache, dass das Open Bug Bounty-Projekt ausdrücklich erwähnt, dass keine Zahlung erforderlich ist,
  • der passive aggressive Tonfall.

Das oben Genannte in Kombination mit der Tatsache, dass wir zwar gerade ein Bug-Bounty-Budget und die damit verbundene Richtlinie aufstellen, dies jedoch noch nicht abgeschlossen haben.

Lassen Sie uns klar sein: Wir haben weder eine Prämie festgelegt noch eine versprochen und uns nicht für dieses Projekt angemeldet. Das Open Bug Bounty-Projekt ist ein nicht verbundenes Projekt, das ausdrücklich sagt: " Es besteht jedoch absolut keine Verpflichtung oder Pflicht, sich zu bedanken".

Beachten Sie auch: Ich unterstütze zwar einen rechtlichen Rahmen zum Schutz gutgläubiger Sicherheitsforscher, aber dieser rechtliche Rahmen existiert derzeit in unserer Gerichtsbarkeit nicht. eine Tatsache, auf die unsere juristische Person nur allzu gern hinweisen wollte.

37
Jacco

Ich bin ein Insektenjäger und ich habe keine Ahnung, warum jeder hier der Meinung ist, dass es vollkommen in Ordnung für ihn ist, Ihre Website ohne Erlaubnis anzugreifen, einen Kopfgeldbetrag selbst zu bestimmen und potenziell gefährliche Fehler zurückzuhalten, weil er nicht das Geld bekommt, das er bekommt will. Warum hat er nicht vorher nach Ihrer Politik gefragt? Sie haben nie behauptet, ein Bug-Bounty-Programm zu starten oder überhaupt jemanden für irgendetwas bezahlen zu können.

Um dies noch einmal zu verdeutlichen, hat sich OP nicht für das Open Bug Bounty-Projekt angemeldet. Das Projekt bietet an, ein Vermittler zwischen Forschern und Websites zu sein, die kein Kopfgeldprogramm durchführen. Außerdem explizit erwähnen dass Sie nicht verpflichtet sind, irgendetwas zu bezahlen, und der Forscher sollte sich dessen bewusst sein, wenn er Lesen Sie die Richtlinien.

Ein Website-Inhaber kann dem Forscher auf eine Weise danken, die er für am besten geeignet und verhältnismäßig zu den Bemühungen und der Hilfe des Forschers hält. Wir empfehlen Website-Eigentümern, dem Forscher mindestens ein Dankeschön zu sagen oder eine Empfehlung in das Profil des Forschers zu schreiben. Es besteht jedoch keinerlei Verpflichtung oder Pflicht, sich zu bedanken.

(Hervorhebung meiner eigenen)

Wenn er eine finanzielle Belohnung erwartet, sollte er nach Fehlern in Unternehmen suchen, die tatsächlich ein Kopfgeldprogramm durchführen. Es gibt viele seriöse Programme, die hohe Belohnungen zahlen.

Der Forscher schickte daraufhin eine Folge-E-Mail mit dem Hinweis, dass er weitere Sicherheitslücken gefunden hat. Da wir jedoch keine Spende geleistet haben, wird er diese Sicherheitslücken für sich behalten.

Wenn er sie bereits gefunden hat und es nicht sehr aufwendig ist, sie in eine Liste aufzunehmen und Sie wissen zu lassen, dann finde ich es unethisch, die Fehler zurückzuhalten.1 Sie haben ihn nicht gebeten, für Sie zu arbeiten. Er hätte sich erkundigen können, ob Sie vorher für Fehler bezahlen. Und er hat Ihnen nicht so sehr sein Fachwissen für eine Spende angeboten - Ihrer Beschreibung nach klingt es eher nach einer leichten Bedrohung, dass Ihre Website in Gefahr ist, wenn Sie ihn nicht bezahlen.

Nehmen Sie diesen Vorfall als Hinweis darauf, dass Sie mehr in Ihre Sicherheit investieren müssen. Erwägen Sie, ein echtes Bug-Bounty-Programm mit kleinen Kopfgeldern einzurichten oder einen professionellen Penetrationstester zu beauftragen. Aber lass ihn kein Geld von dir erpressen, wenn du es nie versprochen hast.

1Es ist nicht so, dass er freie Arbeit für dich tun sollte. Es ist die Tatsache, dass er erwähnt, dass es gibt etwas, das er Ihnen nicht sagen wird es sei denn, Sie zahlen ihm einen bestimmten Betrag, der es unethisch macht, insbesondere wenn eine Ausbeutung dieser Fehler die Zukunft von Ihnen bedrohen könnte Unternehmen.

45
Arminius

Nach meinem Verständnis entspricht dies nicht mehr dem verantwortungsvollen Verhalten von „weißen Hüten“. Habe ich recht mit dieser Behauptung?

Weißer (und grau/schwarzer) Hut sind vage Begriffe. Es gibt keine feste universelle Definition. Nach den Wikipedia-Definitionen würden die meisten Forscher als Gray Hat angesehen, da es nicht ungewöhnlich ist, zu veröffentlichen, wenn der Softwarehersteller das Patchen ablehnt.

Die einfache Antwort auf Ihre Frage lautet Nein. Wenn es Ihr Ziel ist, die Welt sicherer zu machen, stimmt dies eindeutig nicht direkt überein. Es gibt ein indirektes Argument: Durch die Förderung der finanziellen Belohnung wird eine gesündere Beziehung zwischen Unternehmen und Forschern gefördert und mehr Menschen in diesem Bereich gefördert.

Warum fragst du überhaupt? Der Forscher ist in keiner Weise verpflichtet, Ihnen dies mitzuteilen. Wenn Sie nicht nachweisen können, dass er gegen das Gesetz verstoßen hat, um die Schwachstellen zu finden, haben Sie keinen Einfluss darauf, ihn zu zwingen. Bis heute haben Sie mehrere Stunden Arbeit von einer (hoffentlich - sonst wirft sich das in ein schlechtes Licht) hochqualifizierten Person völlig kostenlos erhalten. Entweder sehen Sie es als wertvoll an, ihn dafür zu bezahlen, dass er weiterhin Dienstleistungen anbietet, oder Sie tun es nicht.

* Wenn ich den Titel sehe, würde ich behaupten, dass dies kein Black Hat-Verhalten ist, es sei denn, er nutzt die Schwachstellen absichtlich zu seinem eigenen Vorteil oder zu Ihrem eigenen Schaden aus (/ gibt sie direkt an jemanden mit dieser Absicht). Wenn er sich nur weigert, das Argument preiszugeben, liegt das zwischen weißen/grauen Hutdefinitionen.

74
Hector

Der Forscher hat die Sicherheitsanfälligkeit nicht geschaffen und nicht gedroht, das, was er gefunden hat, freizugeben oder auszunutzen. Wenn Sie nicht für seine Arbeit bezahlen möchten, tun Sie dies nicht und Ihrem Unternehmen geht es nicht schlechter als vor seiner Kontaktaufnahme. Tatsächlich hat er Ihnen die Gabe gegeben, Ihnen mitzuteilen, dass es eine Sicherheitslücke gibt, die Sie selbst oder durch einen anderen Auftragnehmer finden können.

Also nein, er hat nichts Unethisches getan.

57
PStag

Er muss nicht offenlegen- aber er wusste, dass er in der zweiten Runde hereinkommt, die Sie nicht bezahlen. Was ist seine Motivation? Sie können es nicht wissen - also nutzt er diese Lücke, um Druck auf Sie auszuüben, um zu zahlen.

Da er jedoch nicht damit gedroht hat, Malware freizugeben oder an schwarze Hüte zu verkaufen, ist er möglicherweise rechtlich und möglicherweise sogar ethisch klar, wenn er dies niemals tut oder wenn er nur einen offenen Dump des Exploits durchführt, ohne ihn an schwarze Hüte zu verkaufen.

Er könnte es legal an Nationalstaaten und Sicherheitsunternehmen verkaufen, aber ohne die Bedeutung Ihres Codes zu kennen, ist es unmöglich zu sagen, ob dies ein verkaufsfähiger Ort für den "Forscher" ist.

Die Zahlung eines fairen Marktwerts ist wahrscheinlich die beste Wahl. Die Person hat Zeit mit der Recherche verbracht und die Informationen haben einen Wert für Sie. Auch wenn sie es offen veröffentlichen, ist er rechtlich klar. Es kommt darauf an, welchen Schaden eine Veröffentlichung ohne Benachrichtigung für Sie anrichten würde. Wenn die Antwort nicht viel ist, ignorieren Sie sie. Ansonsten kommen Sie mit dem Geld. Dies ist übrigens rein zweckmäßig - spricht nicht wirklich mit der Ethik. Ethisch gesehen hätte er die Recherche Ihrer App/Website einstellen sollen, von der er wusste, dass Sie nicht an einer Zahlung interessiert waren, es sei denn, es gibt öffentliche Daten, von denen er glaubt, dass Sie sie gefährden.

10
Mark Stewart