Domanda:
Come segnalare le vulnerabilità senza essere considerato un hacker?
user29170
2014-10-29 19:32:52 UTC
view on stackexchange narkive permalink

Ho appena scoperto che la pagina di accesso dei miei ex studenti universitari è semplicemente HTTP. Wireshark ha confermato che le credenziali vengono inviate utilizzando un messaggio HTTP POST. Ho fatto un po 'di ricerca e, come pensavo, HTTPS dovrebbe essere sempre utilizzato nella pagina di accesso (vedi È sicuro che un sito serva la pagina di accesso con HTTP, ma ha il sito effettivo in HTTPS?).

Prima di tutto, vorrei fare un favore alla mia università, ma come posso convincerla a intraprendere delle azioni? È molto probabile che i miei dati personali, come laurea e anno di laurea, siano archiviati nel database degli ex studenti. Non sorprende che alcune organizzazioni non prendano sul serio tale rapporto (vedi Come faccio a segnalare una vulnerabilità a una grande organizzazione che non crede di avere un problema?). Ho inviato un'e-mail all'helpdesk IT dell'università utilizzando il mio account di posta elettronica degli alumni, ma il personale mi ha chiesto di indirizzare la mia richiesta a un'e-mail di richiesta di informazioni generali per gli ex alunni.

Oltre ai dettagli tecnici, come posso assicurarmi che nessuna polizia mi arresterà per hacking? Non ho tentato di rubare alcuna informazione personale. Non mi interessa segnalare questa vulnerabilità a qualche forum sulla sicurezza prima che l'università intraprenda un'azione.

P.S. Sono imbarazzato dal fatto che la mia laurea in scienze informatiche provenisse da quella scuola.

Sono d'accordo con @schroeder in quanto non penso che tu debba preoccuparti degli addebiti. Stai guardando traffico non crittografato sulla tua rete. Inoltre questo è il tuo college. Anche se ti accusassero, A) quel caso sarebbe rigettato con qualsiasi avvocato competente B) la vulnerabilità diventerebbe pubblica nel procedimento che il college non vorrebbe. Fa schifo che a loro non importi ma non puoi costringerli a preoccuparsi. : - /
Questo non è nemmeno un po 'come l'hacking.
Sei in contatto con qualcuno dei tuoi ex professori? È molto probabile che si preoccupino (per orgoglio professionale se non altro) e sarebbero in una posizione migliore per influenzare il reparto IT.
@AndrewHoffman potrebbero esserci giurisdizioni che proibiscono l'acquisizione di pacchetti da una fonte che non si possiede (come il sito web dell'università). Ti consente di vedere il funzionamento interno del sito, che potrebbe essere utilizzato per hackerare il sito. In Canada, da dove proviene l'OP, non c'è quel pericolo, ma non è tagliato e asciugato in tutto il mondo.
Hai anche notificato l'e-mail di richiesta generale degli ex-alunni come indicato?
@MooingDuck Non ancora. Come posso formulare il messaggio per una persona non informatica dicendo che non sono entrato nei server ma ho notificato una vulnerabilità?
@SáT L'unità IT dell'università e il dipartimento CS sono così disgiunti che ognuno fa le proprie cose ... (non arrivarci) :(
Offtopic: il sito Web del reparto CS della scuola non utilizza HTTPS.
Usa i social media per fischiare come la pagina Facebook della tua università. Come molti avevano già sottolineato, la scoperta del mancato utilizzo di HTTPS sulla pagina di accesso pubblica di un sito Web non equivale a un hacking.
@QuestionOverflow Non mi interessa segnalare la vulnerabilità al pubblico. È molto probabile che i miei dati personali siano nel database.
@schroeder - ma questo non richiede nemmeno l'acquisizione dei pacchetti (cosa che, a proposito, devi fare per vedere una pagina). Richiede solo la ricerca e la visualizzazione di http: // anziché https: // quando si passa con il mouse sull'invio del collegamento o si visualizza l'origine della pagina. Può essere fatto direttamente dal browser.
@AJHenderson Capisco perfettamente, ma l'OP ha detto che gestiva Wireshark e questo sembra essere il motivo della sua preoccupazione di essere percepito come un "hacker". Può, ovviamente, menzionare semplicemente che il protocollo non è corretto, ma "provarlo" mostrando le sue credenziali in chiaro in un dump di pacchetti può, potenzialmente, causare qualche preoccupazione ad alcune persone.
@schroeder - abbastanza giusto, concordo sul fatto che probabilmente è meglio dare la spiegazione più comprensibile e più semplice possibile. Le persone hanno meno probabilità di impazzire (giustamente o meno) se stai usando strumenti che capiscono invece di cose che passano sopra le loro teste.
Perché sei preoccupato di essere considerato un hacker? Alcune delle persone più rispettate nel campo dell'informatica (e sospetto quasi tutte le persone rispettate nella sicurezza) sono orgogliose di essere chiamate hacker. Non hai fatto niente di criminale.
Eseguire uno sniffer di pacchetti per rilevare il proprio traffico non è un crimine, soprattutto se lo si fa per verificare il sospetto che la trasmissione non sia crittografata. Uso Fiddler al lavoro frequentemente per intercettare il mio traffico HTTP per vedere cosa sta succedendo ai fini della risoluzione dei problemi. Se fosse un crimine, gli sviluppatori sarebbero tutti in prigione :)
@lacampane11a, questo è come lo vedo io. Finché non effettui l'accesso durante questo periodo di tempo, i tuoi dati personali rimarranno al sicuro nel database. Ma finché la tua università non risolve questo problema con urgenza, l'accesso di tutti non sarà sicuro. Una divulgazione pubblica è il modo più efficace per forzare la mano su questo problema.
Verrai chiamato "hacker" da qualcuno, qualunque cosa accada. Il lato positivo è che non è il tuo datore di lavoro. Sul lato oscuro, la reazione dell'università in questione (e dei loro avvocati) è altamente imprevedibile. Le persone stupide fanno cose stupide (loro, non tu).
Quando le e-mail dell'università e l'IP delle persone vengono diffusi in Cina, * allora * l'università si preoccuperà improvvisamente della sicurezza Fonte: esperienza (senza nominare alcuna università in particolare qui)
Dieci risposte:
#1
+61
AJ Henderson
2014-10-29 19:45:21 UTC
view on stackexchange narkive permalink

La semplice segnalazione che utilizza HTTP anziché HTTPS per l'accesso e che ciò non è sicuro non dovrebbe farti accusare di pirateria informatica. È qualcosa di immediatamente visibile pubblicamente guardando il sito.

Esistono molti modi per rilevare le vulnerabilità che potrebbero effettivamente essere considerate hacking (ad esempio, eseguire uno scanner di vulnerabilità contro un bersaglio contro cui non sei autorizzato a eseguirlo), ma non ne sono a conoscenza giurisdizioni che prenderebbero in considerazione la possibilità di guardare la pagina e riconoscere un difetto immediatamente visibile come pirateria informatica. Sarebbe un po 'come camminare vicino a una casa, notare che qualcuno stava lasciando la porta aperta quando se ne andava ed essere accusato di essere un ladro quando gli hai fatto notare che ha lasciato la porta aperta (mentre tu non sei nemmeno in piedi loro proprietà.)

Per qualsiasi motivo, questo post sembra attirare molti commenti che non sono "allo scopo di chiarire o richiedere aggiornamenti", ma sembrano invece concentrarsi su aneddoti e articoli di notizie vagamente correlati. Piuttosto che lasciare che questo si trasformi in discussioni, li cancellerò tutti. Sentiti libero di discutere l'argomento in [chat] perché ci piace discutere lì :-)
#2
+28
Gustek
2014-10-29 20:33:51 UTC
view on stackexchange narkive permalink

Se ignorano le tue e-mail, puoi provare a segnalarle all'organizzazione responsabile dell'applicazione del Data Protection Act. Non so da dove vieni, nel Regno Unito sarebbe http://ico.org.uk/concerns

Hanno la responsabilità di proteggere i tuoi dati.

Grazie per aver segnalato un'organizzazione del genere, ma sono in Canada. Fammi vedere se riesco a trovare qualcosa di equivalente.
Per il Canada è il Commissario federale per la privacy, http://uk.practicallaw.com/6-502-0556#a588373
Le agenzie provinciali per la privacy sarebbero più adatte (le leggi sulla privacy variano in base alla provincia).
Non credo che questo risponda alla domanda, poiché nulla impedisce al Commissario per la privacy di accusare anche il richiedente di essere un hacker. (Lo so ora probabilmente, ma questa era la sua domanda)
Per quanto ne so, quando riferisci qualcuno al Commissario per la privacy, questi effettueranno le proprie indagini per confermare le tue preoccupazioni, ma non approfondiranno come l'hai scoperto. È stata segnalata una parte che potrebbe accusarti di averli hackerati.
#3
+13
schroeder
2014-10-29 19:40:11 UTC
view on stackexchange narkive permalink

Primo, non puoi far fare niente a nessuno. Come ex allievo, puoi sollevare le tue preoccupazioni personali sul fatto che le tue credenziali siano esposte, ma questo è tutto.

Non sono sicuro di come qualcuno considererebbe le tue azioni dichiarate come pirateria informatica, ma dipende dalla tua giurisdizione. Nel mio, catturare i propri pacchetti non è affatto illegale.

È un peccato che il supporto IT ti abbia portato al cestino della posta elettronica generale, ma devi seguire le loro procedure.

Esistono luoghi in cui l'acquisizione dei propri pacchetti è illegale? o_O Sembra folle ...
Ho provato a verificare la mia memoria, ma forse la discussione era più rilevante molto tempo fa. La teoria legale rientrava nello scopo della "visualizzazione del codice" senza consentire al "compilatore" (il browser) di renderlo, e quindi era considerata "accesso non autorizzato". A questo punto, non riesco a trovare prove che l'acquisizione dei propri pacchetti su un server su Internet sia illegale.
ricordare l'intento criminale, l'ignoranza della legge può effettivamente essere la difesa legale più solida (non consulenza legale) diritto penale degli Stati Uniti
L'acquisizione dei propri pacchetti è spesso una delle prime fasi del reverse engineering e in molti luoghi il reverse engineering può avere implicazioni legali negative.
#4
+8
Aaron Digulla
2014-10-30 18:47:33 UTC
view on stackexchange narkive permalink

Ecco il mio approccio:

Prova a scoprire se la tua Università ha una persona responsabile della sicurezza. Forse hanno un'azienda che lo fa o hanno un dipartimento. Se è così, prova a contattare queste persone. Spesso sanno di cosa stai parlando.

Quando li contatti, non è necessario che tu gli dica di WireShark. Di '"Ho notato che il sito utilizza HTTP e, dato che lavoro nel campo della sicurezza informatica, so che significa che il mio nome e la mia password verranno inviati su Internet senza alcuna protezione di alcun tipo. Qualsiasi persona malintenzionata in qualsiasi rete tra te e me potrebbe rubare la mia identità in questo modo. Ne sei consapevole? "

Quindi il primo obiettivo è:" Ho trovato un rischio e so di cosa parlo ". Poi guarda come rispondono. Questa non è una situazione pericolosa per la vita. Va bene se ci vogliono un paio di giorni per risolverlo. Puoi usare diversi messaggi di posta per esprimere il tuo punto.

Se si rifiutano di crederti, dai loro una ricetta su come possono vedere da soli (installa Wireshark, usa questa regola, fai il login, guarda indietro cosa Wireshark te lo mostra). In questo modo, eseguono lo strumento "cattivo". In nessun momento, devi dire loro cosa hai fatto sul tuo computer. Se premuto, puoi dire "Ho utilizzato gli strumenti di sicurezza della mia azienda per acquisire i dati che il mio browser ti invia e ho visto che ..."

#5
+7
Corey Ogburn
2014-10-30 20:04:31 UTC
view on stackexchange narkive permalink

TL; DR - Essere professionali e umili farà molto. Essere riservati, orgogliosi o maliziosi ovviamente non finirà così bene. Se lavori con loro con calma e in privato, è probabile che facciano lo stesso.

Questo suona quasi incollato a come ho iniziato a trovare problemi con la sicurezza della mia università. La mia università stava inserendo l'ID dello studente in un cookie ed è con chi hai effettuato l'accesso. Se hai manipolato il cookie, ti sei registrato come chi volevi. È stata la scoperta che mi ha portato ad approfondire la loro sicurezza. Avevano anche un server di posta non sicuro che inoltrava qualsiasi cosa senza autenticazione. I nomi dei file delle immagini nella directory della scuola erano solo una strana codifica dell'ID di quello studente. A un certo punto, ho potuto cercare un SSN e ottenere il nome di uno studente.

Ho trovato questi bug un po 'alla volta. È iniziato con la sensazione che "le mie informazioni devono essere al sicuro e non lo sono" e vorrei segnalare all'IT l'ultimo difetto che ho scoperto. Dopo circa la terza volta che ho segnalato qualcosa, ho iniziato a sentirmi sia arrabbiato che superiore al dipartimento. Ogni due settimane mi trovavo nell'ufficio del vicepresidente delle tecnologie a indicare un nuovo modo per ottenere SSN o documenti finanziari degli studenti fino al 1995 o qualche tecnica di stalker per determinare l'intero programma di una classe di qualcuno (incluso il voto in lettera in quella classe ). Anche il vicepresidente iniziò a diventare ostile con me. Ammetto di non aver avuto l'atteggiamento migliore dopo i 6 mesi. Ad un certo punto sono stato espulso per circa 3 settimane quando hanno sentito che stavo cercando di decodificare la loro codifica (linkato sopra). Volevo mostrare loro quali buchi erano vulnerabili quando un individuo non lavorava con loro ed erano all'oscuro. Alla fine abbiamo risolto il problema, ma nel frattempo da entrambe le parti c'era molta rabbia, scartoffie ed ego in giro.

Il punto che sto cercando di sottolineare è che il reparto IT ha lavorato con me nonostante fossi un idiota. Hanno risolto i problemi e la scuola sta meglio per questo. Finché ero sincero sulle mie intenzioni e aperto su ciò che stavo facendo, non mi minacciavano né mi ostacolavano. È stato solo quando stavo lavorando in segreto che hanno intrapreso un'azione disciplinare. Ero dappertutto con cose che potevano assolutamente essere considerate hacking, inclusi attacchi injection, social engineering, reverse engineering, packet sniffing, port scanning, exploit software personalizzati e altro ancora. Dal momento che non ho mai cambiato nulla e sempre (beh ... di solito) ho riferito le mie scoperte in silenzio e direttamente a loro, hanno lavorato con me. Non ho dubbi che se non fossi stato uno stronzo non sarei stato temporaneamente espulso.

#6
+6
Douglas Held
2014-10-31 13:15:46 UTC
view on stackexchange narkive permalink

Esiste un servizio fornito da Hewlett-Packard Tipping Point denominato Zero Day Initiative. http://www.zerodayinitiative.com/

Ecco come funziona.

  1. ACQUISTANO la vulnerabilità da te
  2. HP Tipping Point offre protezione alla sua base di clienti di utenti di firewall intelligenti
  3. ZDI collabora con il fornitore per cercare di risolvere il problema (questo in genere può richiedere 6 mesi)
  4. Se il fornitore non risponde o non si sposta, ZDI segnala pubblicamente la vulnerabilità.

Come puoi vedere, hai finito al passaggio 1 e tu prendi denaro e rimani anonimo.

Quel sito è ora nei miei segnalibri ...
#7
+1
SLEZ
2014-10-29 20:24:43 UTC
view on stackexchange narkive permalink

A volte è molto difficile spiegare l'importanza della sicurezza alle persone. Alcune persone semplicemente non capiscono la sicurezza e altri pensano che il loro sistema non verrà mai compromesso. La segnalazione di una minaccia alla sicurezza a volte viene ignorata o richiede molto tempo per essere risolta. In base alla mia esperienza, per far capire il tuo punto di vista per migliorare la sicurezza, vorrei dimostrare l'attacco. Quando si demo di un attacco, suggerirei di utilizzare la propria casella in cui è possibile configurare un ambiente simile. In questo modo puoi mostrare alle persone visivamente come i dati possono essere rubati.

Una demo funzionerebbe per le persone all'interno della tua organizzazione, ma per la situazione dell'OP potrebbe non essere possibile.
@schroeder D'accordo. Inoltre, le autorità potrebbero fraintendere le mie motivazioni e arrestarmi. Questo hacker sanguinante ha trovato delle vulnerabilità ma altri non le hanno prese bene. http://motherboard.vice.com/en_ca/blog/the-mounties-are-wrong-about-canadas-heartbleed-hacker
#8
+1
tylerl
2014-11-01 09:38:35 UTC
view on stackexchange narkive permalink

Questo è un problema abbastanza difficile, poiché aziende e università hanno una lunga e orgogliosa storia di reazioni ostili e di sparare al messaggero in casi come questo. E non c'è alcuna garanzia che non sarai perseguito per nient'altro che aver notato la loro insicurezza. Potrebbero non avere una causa contro di te, ma ciò non significa che non possano renderti infelice.

Quindi ecco alcune idee che potrebbero aiutare.

  • Rimani anonimo : esistono molti modi per proteggere la tua identità. Non li parlerò qui, ma per la maggior parte non devi identificarti per rivelare una vulnerabilità. Se sei preoccupato per le ritorsioni, potrebbe essere meglio che non lo faccia.

  • Non rivelare direttamente: anche se sarebbe l'ideale Affinché tu possa affrontare la questione in privato, così facendo ti offri poca o nessuna protezione se decidono di vendicarsi. Rivelare la vulnerabilità attraverso una terza parte fidata ti protegge in qualche modo dall'azione diretta impedendo loro di controllare la storia. Spesso la divulgazione indiretta è un modo per mantenere l'anonimato.

  • Concentrati sulla loro negligenza piuttosto che sulla loro vulnerabilità : se assumi preventivamente un alto livello morale, attaccando li dipingeresti come più negligente, piuttosto che meno . È estremamente difficile (ed estremamente raro) per un servizio accusato principalmente di negligenza dipingere il proprio informatore come un criminale. Il semplice fatto di sottolineare la loro scarsa sicurezza non ti offre alcuna superiorità morale e dà loro l'opportunità di dipingere se stessi come vittime accusandoti di cattiva condotta criminale. Non darglielo.

#9
  0
Stephen P.
2014-11-02 22:26:50 UTC
view on stackexchange narkive permalink

A giudicare da quello che hai detto non ci sono prove che tu stia tentando di hackerare. Hai semplicemente monitorato le richieste in entrata e in uscita della tua rete.

Se sei ancora persistente sulla situazione, prova a contattare il Commissario per la privacy in Canada per vedere cosa consigliano. https://www.priv.gc.ca/

#10
-2
Nicholas
2014-10-30 01:50:17 UTC
view on stackexchange narkive permalink

Questa sembra più una questione di psicologia / sociologia che di sicurezza, poiché il problema sembra essere il modo migliore per comunicare con un'altra parte e convincerla a intraprendere un'azione specifica. Non riesco a credere che qualsiasi accusa di "hacking" possa avere reali ramificazioni legali per i motivi spiegati da altre risposte.

Un approccio alternativo a quelli sopra è quello di praticare un reato forte. Se si rifiutano di accettare le tue email, inviane una semi-minacciosa in tono educato ma fermo spiegando che se non affrontano questa vulnerabilità di sicurezza per proteggere i tuoi dati personali, potresti dover intraprendere un'azione legale per proteggerti. Questo può essere pratico o meno, a seconda delle informazioni personali che effettivamente memorizzano delle tue.

Questo approccio crea naturalmente un'interazione conflittuale, quindi considera attentamente prima di intraprendere questa strada.

Come professionisti di Info Sec, affrontiamo molto questa situazione, ed è una domanda valida di Info Sec per i suoi meriti: conoscere i dettagli tecnici di una vulnerabilità è solo metà della battaglia, comunicarlo ai responsabili della risoluzione e lavorare con loro, è l'altra metà. Questo non può essere scontato. La minaccia di azioni legali non otterrà molta trazione.
@schroeder Potete fornire prove di questa affermazione? Sono sorpreso dei voti negativi. L'OP ha elencato opzioni migliori, ma sono state provate e fallite. Non suggerisco una minaccia legale come prima cosa da provare, ma data l'assenza di altre opzioni praticabili che non sono già state provate e fallite, questo fornisce un modo più possibile per effettuare il cambiamento. Le organizzazioni e le aziende agiscono in modo egoistico e spesso non cambiano a meno che non vedano una minaccia per se stesse. Ciò fornisce ciò che è necessario per avviare un cambiamento.
Vorrei anche aggiungere che la risposta accettata alla prima domanda collegata è essenzialmente lo stesso consiglio. Danneggiare l'azienda rimuovendo profitti, creando cattiva pubblicità o segnalando i dipendenti al CEO. Ciò non sembra molto diverso dal (in effetti, sembra meno grave che) minacciare la rimozione del profitto facendo leva sul sistema giudiziario.
Ho fatto 2 affermazioni, di quali vorresti una prova?
Se l'affermazione "azione legale / trazione": l'OP proviene dal Canada, e posso assicurarti per esperienza personale, quell'azione legale sarebbe presa sul serio solo se ci fosse una perdita effettiva (cioè un compromesso effettivo). Le cause legali che minacciano il pubblico in cui non ci sono perdite sono considerate rumore.
@schroeder sì, sia la responsabilità per una perdita o un atto criminale di "cattiva intenzione".


Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 3.0 con cui è distribuito.
Loading...