it-swarm.com.de

Wie kann man Schwachstellen melden, ohne als Hacker angesehen zu werden?

Ich habe gerade festgestellt, dass die Anmeldeseite meiner Alumni einfach nur HTTP ist. Wireshark bestätigte, dass die Anmeldeinformationen über eine HTTP POST - Nachricht) gesendet wurden. Ich habe ein wenig recherchiert und, wie ich dachte, sollte HTTPS immer auf der Anmeldeseite verwendet werden (siehe Is Es ist sicher, dass eine Site die Anmeldeseite mit HTTP bedient, aber die eigentliche Site in HTTPS hat? ).

Zunächst möchte ich meiner Universität einen Gefallen tun, aber wie kann ich sie dazu bringen, Maßnahmen zu ergreifen? Es ist sehr wahrscheinlich, dass meine persönlichen Daten wie Abschluss und Abschlussjahr in der Alumni-Datenbank gespeichert sind. Es ist nicht überraschend, dass einige Organisationen einen solchen Bericht nicht ernst nehmen (siehe Wie melde ich eine Sicherheitsanfälligkeit einer großen Organisation, die nicht glaubt, dass sie ein Problem hat? ). Ich habe dem IT-Helpdesk der Universität eine E-Mail mit meinem Alumni-E-Mail-Konto gesendet, aber das Personal hat mich gebeten, meine Anfrage an eine allgemeine Alumni-Anfrage-E-Mail zu richten.

Wie kann ich zusätzlich zu den technischen Details sicherstellen, dass mich keine Polizei wegen Hacking verhaftet? Ich habe nicht versucht, persönliche Informationen zu stehlen. Ich bin nicht daran interessiert, diese Sicherheitsanfälligkeit einem Sicherheitsforum zu melden, bevor die Universität Maßnahmen ergreift.

P.S. Es ist mir peinlich, dass mein CS-Abschluss von dieser Schule stammt.

76
user29170

Wenn Sie lediglich melden, dass HTTP anstelle von HTTPS für die Anmeldung verwendet wird und dass dies unsicher ist, sollten Sie nicht des Hackens beschuldigt werden. Es ist etwas, das beim Betrachten der Website sofort öffentlich sichtbar ist.

Es gibt viele Möglichkeiten, Schwachstellen zu erkennen, die tatsächlich als Hacking angesehen werden könnten (z. B. das Ausführen eines Schwachstellenscanners für ein Ziel, für das Sie nicht berechtigt sind, es auszuführen), aber mir sind keine Gerichtsbarkeiten bekannt, in denen eine Prüfung in Betracht gezogen werden könnte Seite und Erkennen eines Fehlers, der sofort als Hacking sichtbar ist. Es wäre ein bisschen so, als würde man an einem Haus vorbeigehen und bemerken, dass jemand seine Tür offen ließ, als er ging, und beschuldigt wurde, ein Dieb zu sein, als man ihn darauf hinwies, dass er die Tür offen ließ (während man nicht einmal darauf stand) ihr Eigentum.)

58
AJ Henderson

Wenn sie Ihre E-Mails ignorieren, können Sie versuchen, sie der Organisation zu melden, die für die Durchsetzung des Datenschutzgesetzes verantwortlich ist. Ich weiß nicht, woher du kommst, in Großbritannien wäre es http://ico.org.uk/concerns

Sie sind dafür verantwortlich, Ihre Daten sicher zu halten.

28
Gustek

Erstens können Sie niemanden dazu bringen, etwas zu tun. Als Alaun können Sie Ihre persönlichen Bedenken äußern, dass Ihre Anmeldeinformationen offengelegt werden, aber das war es auch schon.

Ich bin mir nicht sicher, wie jemand Ihre angegebenen Handlungen als Hacking betrachten würde, aber das hängt von Ihrer Gerichtsbarkeit ab. In meinem Fall ist das Erfassen eigener Pakete überhaupt nicht illegal.

Es ist bedauerlich, dass der IT-Support Sie in den allgemeinen E-Mail-Papierkorb gebracht hat, aber Sie müssen deren Verfahren befolgen.

13
schroeder

Hier ist mein Ansatz:

Versuchen Sie herauszufinden, ob Ihre Universität eine Person hat, die für die Sicherheit verantwortlich ist. Vielleicht haben sie eine Firma, die das macht, oder sie haben eine Abteilung. Wenn ja, versuchen Sie, diese Personen zu kontaktieren. Sie wissen oft, wovon Sie sprechen.

Wenn Sie sie kontaktieren, müssen Sie ihnen nichts über Wireshark erzählen. Sagen Sie "Ich habe festgestellt, dass die Site HTTP verwendet, und da ich in der Computersicherheit arbeite, weiß ich, dass mein Name und mein Passwort ohne jeglichen Schutz über das Internet gesendet werden. Jede böswillige Person in einem Netzwerk zwischen Ihnen und mir könnte dies." stiehl meine Identität auf diese Weise. Bist du dir dessen bewusst? "

Das erste Ziel ist also: "Ich habe ein Risiko gefunden und weiß, wovon ich spreche." Dann sehen Sie, wie sie reagieren. Dies ist keine lebensbedrohliche Situation. Es ist in Ordnung, wenn die Lösung einige Tage dauert. Sie können mehrere Mails verwenden, um Ihren Standpunkt zu verdeutlichen.

Wenn sie sich weigern, Ihnen zu glauben, geben Sie ihnen ein Rezept, wie sie sich selbst davon überzeugen können (installieren Sie Wireshark, verwenden Sie diese Regel, melden Sie sich an, schauen Sie zurück, was Wireshark Ihnen zeigt). Auf diese Weise führen sie das "schlechte" Tool aus. Sie müssen ihnen zu keinem Zeitpunkt mitteilen, was Sie auf Ihrem eigenen Computer getan haben. Wenn Sie darauf drücken, können Sie sagen: "Ich habe die Sicherheitstools meines Unternehmens verwendet, um die Daten zu erfassen, die mein Browser an Sie sendet, und ich habe gesehen, dass ..."

8
Aaron Digulla

TL; DR - Professionell und bescheiden zu sein wird einen langen Weg gehen. Geheim, stolz oder bösartig zu sein, wird offensichtlich nicht so gut enden. Wenn Sie ruhig und privat mit ihnen arbeiten, werden sie wahrscheinlich dasselbe tun.

Das klingt fast so, als hätte ich Probleme mit der Sicherheit meiner Universität gefunden. Meine Universität hat den Studentenausweis in einen Cookie gesetzt und als diesen wurden Sie angemeldet. Wenn Sie den Cookie manipuliert haben, haben Sie sich als derjenige angemeldet, den Sie wollten. Es war die Entdeckung, die mich dazu brachte, tiefer in ihre Sicherheit zu schauen. Sie hatten auch einen unsicheren Mailserver, der alles ohne Authentifizierung weiterleitete. Die Dateinamen der Bilder im Schulverzeichnis waren nur eine seltsame Kodierung der ID des Schülers. Irgendwann konnte ich eine SSN nachschlagen und den Namen eines Schülers erhalten.

Ich habe diese Fehler ein wenig nach dem anderen gefunden. Es begann mit dem Gefühl "Meine Informationen müssen sicher sein und nicht" und ich würde die IT auf den neuesten Fehler hinweisen, den ich entdeckt habe. Nachdem ich ungefähr zum dritten Mal etwas gemeldet hatte, fühlte ich mich sowohl wütend als auch der Abteilung überlegen. Alle zwei Wochen war ich im Büro des Vizepräsidenten für Technologien und wies auf eine neue Möglichkeit hin, SSNs oder Finanzunterlagen von Schülern bereits 1995 oder eine Stalker-Technik zu erhalten, um den gesamten Stundenplan einer Person (einschließlich ihrer Briefnote in dieser Klasse) zu bestimmen ). Der Vizepräsident wurde mir auch feindlich gesinnt. Ich gebe zu, dass ich nach 6 Monaten möglicherweise nicht die beste Einstellung hatte. Irgendwann wurde ich für ungefähr 3 Wochen ausgewiesen, als sie hörten, dass ich versuchte, ihre Codierung (oben verlinkt) zurückzuentwickeln. Ich wollte ihnen zeigen, welche Löcher anfällig sind, wenn eine Person nicht mit ihnen arbeitet und sie im Dunkeln sind. Schließlich haben wir es geklärt, aber in der Zwischenzeit gab es auf beiden Seiten viel Ärger, Papierkram und Ego.

Der Punkt, den ich versuche, ist, dass die IT-Abteilung mit mir zusammengearbeitet hat, obwohl ich ein Idiot bin. Sie haben die Probleme behoben und die Schule ist besser dran. Solange ich offen über meine Absichten war und offen darüber war, was ich tat, haben sie mich nicht bedroht oder behindert. Erst als ich im Geheimen arbeitete, ergriffen sie Disziplinarmaßnahmen. Ich war auf der ganzen Linie mit Dingen beschäftigt, die absolut als Hacking angesehen werden konnten, einschließlich Injection-Angriffen, Social Engineering, Reverse Engineering, Paket-Sniffing, Port-Scanning, benutzerdefinierten Software-Exploits und vielem mehr. Da ich nie etwas geändert habe und ihnen meine Ergebnisse immer (naja ... normalerweise) leise und direkt gemeldet habe, haben sie mit mir zusammengearbeitet. Ich habe keinen Zweifel daran, dass ich nicht vorübergehend ausgewiesen worden wäre, wenn ich kein Arsch gewesen wäre.

6
Corey Ogburn

Es gibt einen Service von Hewlett-Packard Tipping Point namens Zero Day Initiative. http://www.zerodayinitiative.com/

So funktioniert das.

  1. Sie [~ # ~] kaufen [~ # ~] die Sicherheitslücke von Ihnen
  2. HP Tipping Point schützt seinen Kundenstamm von Smart-Firewall-Benutzern
  3. ZDI arbeitet mit dem Anbieter zusammen, um zu versuchen, das Problem zu beheben (dies kann normalerweise 6 Monate dauern).
  4. Wenn der Anbieter nicht reagiert oder sich nicht bewegt, meldet ZDI die Sicherheitsanfälligkeit öffentlich.

Wie Sie sehen können, sind Sie in Schritt 1 fertig, erhalten Geld und bleiben anonym.

6
Douglas Held

Dies ist ein ziemlich schwieriges Thema, da Unternehmen und Universitäten eine lange und stolze Geschichte darin haben, in solchen Fällen mit Feindseligkeit zu reagieren und den Boten zu erschießen. Und es gibt keine Garantie dafür, dass Sie nicht strafrechtlich verfolgt werden, nur weil Sie ihre Unsicherheit bemerken. Sie haben vielleicht keinen Fall gegen Sie, aber das bedeutet nicht, dass sie Sie nicht unglücklich machen können.

Hier sind einige Ideen, die helfen könnten.

  • Anonym bleiben: Es gibt viele Möglichkeiten, Ihre Identität zu schützen. Ich werde hier nicht darauf eingehen, aber zum größten Teil müssen Sie sich nicht identifizieren, um eine Sicherheitsanfälligkeit aufzudecken. Wenn Sie sich wegen Vergeltungsmaßnahmen Sorgen machen, ist es möglicherweise am besten, dass Sie dies nicht tun.

  • Nicht direkt offenlegen : Während es für Sie ideal wäre, sich privat mit dem Problem zu befassen, bietet Ihnen dies wenig bis gar keinen Schutz, wenn sie sich für eine Vergeltung entscheiden. Das Offenlegen der Sicherheitsanfälligkeit durch einen vertrauenswürdigen Dritten schützt Sie in gewisser Weise vor direkten Aktionen, indem verhindert wird, dass diese die Story kontrollieren. Oft ist eine indirekte Offenlegung ein Weg, um die Anonymität zu wahren.

  • Konzentrieren Sie sich eher auf ihre Nachlässigkeit als auf ihre Verwundbarkeit =: Wenn Sie präventiv moralische Höhen annehmen und angreifen, würden Sie sie als mehr fahrlässig anstatt als weniger so. Es ist äußerst schwierig (und äußerst selten) für einen Dienst, der in erster Linie der Nachlässigkeit beschuldigt wurde, seinen Whistleblower als Kriminellen zu malen. Nur auf ihre schlechte Sicherheit hinzuweisen, bietet Ihnen keine moralische Überlegenheit und gibt ihnen die Möglichkeit, sich als Opfer zu malen, indem Sie Ihnen kriminelles Fehlverhalten vorwerfen. Gib ihnen das nicht raus.

1
tylerl

Manchmal ist es sehr schwierig, den Menschen die Bedeutung der Sicherheit zu erklären. Einige Leute verstehen Sicherheit einfach nicht und andere glauben, dass ihr System niemals kompromittiert wird. Das Melden einer Sicherheitsbedrohung wird manchmal ignoriert oder es dauert sehr lange, bis das Problem behoben ist. Aus meiner Erfahrung heraus würde ich den Angriff demonstrieren, um Ihren Standpunkt zur Verbesserung der Sicherheit zu verdeutlichen. Wenn Sie einen Angriff demonstrieren, würde ich vorschlagen, dass Sie Ihre eigene Box verwenden, in der Sie eine ähnliche Umgebung einrichten können. Auf diese Weise können Sie den Menschen visuell zeigen, wie Daten gestohlen werden können.

1
SLEZ

Nach dem zu urteilen, was Sie gesagt haben, gibt es keine Beweise dafür, dass Sie versuchen zu hacken. Sie haben einfach die eingehenden und ausgehenden Anforderungen Ihres eigenen Netzwerks überwacht.

Wenn Sie immer noch nicht sicher sind, wenden Sie sich an den Datenschutzbeauftragten in Kanada, um zu erfahren, was er empfiehlt. https://www.priv.gc.ca/

0
Stephen P.