Frage:
Wie gehe ich mit einem White-Hat-Hacker vor, der eine Sicherheitslücke behauptet?
Vcode
2019-02-14 01:59:04 UTC
view on stackexchange narkive permalink

Ich bin ein Sicherheitsmitglied eines kleinen Unternehmens, das kürzlich von jemandem kontaktiert wurde, der behauptet, ein Hackenproof-Mitglied zu sein. Sie berichteten, dass unsere Website durch Googlebot (Metadaten, Inhalt dünner Seiten, Ankertextprobleme) und eine XSS-Sicherheitsanfälligkeit indiziert wurde

Wir haben noch keine mir bekannten rechtlichen Hinweise zu VDP (Offenlegungsrichtlinie für Sicherheitslücken).

Meine Fragen:

  1. Grundsätzlich wie um fortzufahren oder sollten wir sogar? (Sind sie legitim?)
  2. Was ist die allgemeine Erwartung eines weißen Hackers?
  3. Wie kann die Sicherheitsanfälligkeit überprüft werden?
  4. ol>
laut https://hackenproof.com/#how-it - "Sicherheitslücken werden über unsere Koordinierungsplattform eingereicht und verwaltet."Sind Sie sicher, dass Sie nicht von hackenproof selbst kontaktiert wurden?Ihr gesamtes Geschäftsmodell besteht darin, Bug-Bounty-Programme für Unternehmen wie Ihres zu erstellen, die nicht wirklich einen Sicherheitsfokus haben.Ihre "Mitglieder" konkurrieren nur um Bug Bounties, sie kontaktieren Unternehmen nicht selbst. Wenn es nicht das Unternehmen ist, dann scheint jemand Social Engineering für Sie zu sein
Das Mindeste, was Sie tun können, ist, den Verantwortlichen für die Sicherheit in Ihrem Unternehmen zu benachrichtigen, dass Sie kontaktiert und über eine xss-Sicherheitsanfälligkeit informiert wurden.Der Teil, Informationen nicht preiszugeben, ist ein gesunder Menschenverstand.
Scheint [diesem] schrecklich ähnlich zu sein (https://security.stackexchange.com/q/178076/168620)
Möglicherweise verwandt: [Unser Büro brennt.Wir haben noch keine Brandschutzrichtlinie.Sollten wir sitzen bleiben oder in Eile eine schreiben, was offensichtlich weniger als ideal ist?] (
Beachten Sie, dass Sie gemäß der DSGVO verpflichtet sind, die zuständigen Behörden innerhalb von 72 Stunden nach einem Datenverstoß zu benachrichtigen.Gilt möglicherweise nicht für Sie, wenn Sie keine EU-Kunden haben, aber wenn Sie dies tun, möchten Sie gestern damit beginnen.
@Harper Kein guter Vergleich, ich denke, meine Frage ist klar, wie ich auf den Reporter reagieren soll und welche Punkte wir berücksichtigen sollten, um sicherzustellen, dass der Reporter / die Sicherheitslücke legitim ist.
Was auch immer Sie tun, ziehen Sie bitte kein Oracle (https://web.archive.org/web/20150811052336/https://blogs.oracle.com/maryanndavidson/entry/no_you_really_can_t) und versuchen Sie, das Weiß zu verklagenHut.
Wenn Sie "kontaktiert" sagen, meinen Sie "per E-Mail"?"Metadaten, dünner Seiteninhalt, Ankertextprobleme" - dies ist der Teil, der bei mir Alarmglocken auslöst und _spammer_ schreit und versucht, Geschäft / Geld zu bekommen.Warum sollten Sie "potenzielle" Probleme ansprechen, die nicht mit dem primären Sicherheitsbedenken zusammenhängen (es sei denn, es gibt kein "primäres Sicherheitsbedenken" und sie möchten wirklich nur an Ihrer Website arbeiten)?
Die @Cubic XSS-Sicherheitsanfälligkeit stellt keine Datenverletzung dar, es sei denn, das Unternehmen stellt fest, dass die Sicherheitsanfälligkeit verwendet wurde, um eine Sicherheitsverletzung zu verursachen.Es ist auch 72 Stunden von dem Zeitpunkt an, an dem Sie von der Verletzung erfahren haben, nicht von dem Zeitpunkt, an dem ein zufälliger Typ sagte, dass es eine gibt.
Fünf antworten:
#1
+64
Buffalo5ix
2019-02-14 03:19:05 UTC
view on stackexchange narkive permalink

So beantworten Sie jede Ihrer Fragen:

1. Grundsätzlich, wie wir vorgehen sollen oder sollten wir sogar?

Ich empfehle, fortzufahren. Sie können wertvolle Informationen erhalten, die sofort zur Verbesserung der Sicherheit Ihres Unternehmens eingesetzt werden können. Sie haben uns nicht mitgeteilt, was der Forscher Ihnen gesendet hat, aber er enthält entweder eine Beschreibung der Sicherheitsanfälligkeit oder Methoden zur Reproduktion. Um fortzufahren, benötigen Sie von ihnen:

  • Ein Beschreibungs- / Angriffsszenario der gefundenen Sicherheitsanfälligkeit. Warum ist dies ein Problem, was genau erlaubt der Fehler einem Angreifer, was er nicht tun sollte, was ist der schlimmste Fall / Schweregrad des Befundes.

  • Reproduktionsschritte. Welche Schritte könnten Sie einem Ingenieur geben und ihm erlauben, den Fehler jedes Mal zu reproduzieren?

  • Was der Hacker als Gegenleistung sucht. Wie bereits erwähnt, kann es die Erlaubnis sein, den Befund nach der Festsetzung oder nach Geld zu veröffentlichen.

  • Möglicherweise möchten oder erhalten Sie auch Sanierungshinweise, Risikobewertungen usw. vom Forscher.

  • SEHR WICHTIG: Machen Sie dem Forscher klar, dass Sie erwarten, dass er das Problem vertraulich behandelt, bis das Problem behoben ist. Sie können mit einem Korrekturfenster kontern, z Sie können veröffentlichen und Artikel verfassen, wenn das Problem nicht innerhalb von 60 Tagen behoben ist. Dies ist gängige Praxis und sollte für die meisten Unternehmen mit einer starken Sicherheitslage akzeptabel sein.

    2. Was ist die allgemeine Erwartung an einen weißen (Hut-) Hacker?

    Hängt vom Forscher ab, aber er möchte wahrscheinlich die Erlaubnis, den Befund zu veröffentlichen, sobald er behoben wurde, sowie eine finanzielle Belohnung. Die Prämienpreise basieren auf dem Schweregrad und der Größe des Kopfgeldprogramms. Hackerone, eine große Bug-Bounty-Plattform, verfügt über eine Matrix, die Auszahlungen im Verhältnis zur Größe des Unternehmens / Bounty-Programms vorschlägt: https://www.hackerone.com/resources/bug-bounty-basics. Das Bestimmen des Auszahlungspreises ist eine subtile Kunst - ich empfehle, Hackerone oder andere Bug-Bounty-Plattformen nach ähnlichen Fehlern zu durchsuchen und Ihre Auszahlung darauf zu stützen, was andere Unternehmen für das gleiche Problem bezahlen ist, dass sie den Befund in einer bestimmten Zeit veröffentlichen können, unabhängig davon, ob er bis dahin behoben wurde. 60 Tage sind üblich, aber ich würde einer bestimmten Zeit nicht zustimmen, wenn Sie nicht sicher sind, dass Ihr Unternehmen in diesem Fenster liefern kann. Nachdem das Problem behoben wurde, möchte der Hacker möglicherweise überprüfen, ob der Fix korrekt implementiert wurde.

    3. Wie validiere ich?

    Verwenden Sie die Reproduktionsschritte, die Ihnen der Hacker gegeben hat. Sie sollten klar genug sein, dass jeder Ingenieur die Schritte genau befolgen und den Fehler reproduzieren kann. Wenn es hier irgendwelche Probleme gibt, können Sie zum Forscher zurückkehren und sich klären lassen. Es liegt in der Verantwortung der Forscher, dem Unternehmen Reproduktionsschritte zur Verfügung zu stellen, die den Fehler beschreiben und identifizieren.

    Sobald das Problem behoben ist, können Sie den Forscher einladen, das Update zu validieren und sicherzustellen, dass es vollständig gepatcht wurde.

    Der Bericht bezieht sich auf XSS und enthält den Teil zur Korrektur und Reproduktion.Es handelt sich um ein Popup-Fenster, in dem behauptet wird, ein Angreifer könne im Voraus Phishing-Angriffe ausführen, nicht autorisierte Zahlungsvorgänge ausführen oder willkürliche Aktionen im Namen des Opfers ausführen.
    Danke für den Kontext!Der Schweregrad von XSS kann variieren. Wenn sie wirklich nicht autorisierte Zahlungsvorgänge ausführen können, wie sie sagen, ist dies sicherlich ein kritisches Problem.Stellen Sie sicher, dass Sie diese Behauptung bestätigen!Es ist sehr schwierig, Zahlen zu sprechen, ohne zu wissen, wie groß Ihr Unternehmen oder Sicherheitsteam ist. Ich würde weniger als 3.000 US-Dollar als beleidigend niedrige Auszahlung betrachten, vorausgesetzt, Sie können dieses XSS wirklich nutzen, um Geld abzubauen.Andernfalls sollten Sie herausfinden, was das Schlimmste ist, was Sie mit diesem Angriff tun können. Ein Wert zwischen 500 und 3000 US-Dollar wäre typisch für XSS.
    +1, gute Antwort.Eine kleine Kritik.Ich denke nicht, dass Sie eine bezahlen sollten, es sei denn, es wurde bereits eine Bug Bounty eingerichtet, auch wenn dies verlangt wird.Dies ändert die Beziehung von einem Gesellschaftsvertrag in einen Marktvertrag.Sozialverträge bieten im Allgemeinen mehr Wert als Marktverträge und eignen sich gut für kleinere Unternehmen, da sie Sozialverträge weitaus einfacher pflegen können als große Unternehmen.Wenn Sie daraus Geld machen, ist es ein völlig anderes Ballspiel.Kredite zu vergeben, wenn Kredite fällig sind, entspricht eher dem Gesellschaftsvertrag.
    Guter Punkt @SteveSether und auf jeden Fall eine Überlegung wert.Auf die Gefahr hin, diesen Kommentarthread in eine erweiterte Diskussion zu verwandeln: Ich persönlich befürworte, für die Ergebnisse zu zahlen, um den Forscher zu beschwichtigen, während der Fehler vorliegt.Sie haben Recht, dass das Einbringen von Geld in die Mischung das Wasser trübt, aber ich sehe es als notwendiges Übel an, mit dem Forscher einen guten Willen aufzubauen und ihm einen Grund zu geben, die Vertraulichkeit zu wahren, bis ein Fix implementiert ist.
    @Buffalo5ix Ich denke, das Problem ist, dass Ihre Antwort es als Erwartung formuliert.Wenn kein Bug-Bounty-Programm eingerichtet ist, gehe ich davon aus, dass der Bug rechtzeitig behoben wird und ich ihn veröffentlichen kann.Ich erwarte kein Geld (und ich würde es aufgrund der ethischen und rechtlichen Auswirkungen sicherlich nicht verlangen).Ich würde es als eine optionale Aktion einrahmen, die verwendet werden könnte, um einen guten Willen aufzubauen, anstatt als eine Erwartung, die erfüllt werden muss.
    Wie könnte ich möglicherweise behaupten, nicht autorisierte Zahlungsvorgänge ausführen zu können, ohne ein Verbrecher zu sein, der nachweislich ein Verbrechen im Wert von bis zu 10 Jahren Gefängnis begangen hat?Wie würden Sie mir vertrauen, ein Verbrecher zu sein?
    @Damon Es ist kein Verbrechen, sich der Schwachstellen einer Website (selbst einer Website, die Zahlungsvorgänge initiieren kann) bewusst zu werden.Sie müssen keinen Angriff ausführen, um zu wissen, dass dies möglich ist.
    @Damon, indem Sie jeden Schritt ausführen, außer die endgültige Transaktion tatsächlich auszuführen, sodass Sie jetzt mit hinreichender Sicherheit wissen, dass * wenn Sie einen Knopf gedrückt hätten * die Transaktion durchlaufen hätte.Natürlich sind Sie kein Verbrecher, da Ihr Ziel lediglich darin bestand, zu sehen, ob der Angriff möglich war, ohne es tatsächlich zu tun.Sie testen die Site auf Fehler, um den Eigentümer zu benachrichtigen.
    @SteveSether Die Antwort erwartet vom Bug-Reporter einen erheblichen Zeit- und Arbeitsaufwand.Zugegeben, es gibt Leute, die dies nur für die Anerkennung tun, aber wenn Sie erwarten, dass sie eine professionelle Haltung dazu einnehmen, dann ist es nur fair, dass das Unternehmen auch eine professionelle Haltung einnimmt.Was wie jede andere an Subunternehmer vergebene Facharbeit eine Bezahlung im Austausch für Fachwissen und Zeit verdient.
    @Graham Vielleicht möchten Sie sich OSS und genau dieses Forum ansehen, um Gegenbeispiele für das zu finden, was Sie oben beschrieben haben.Viele Menschen tun Dinge aus Liebe, nicht für Geld.Sie müssen dem nicht zustimmen, aber Sie sollten es anerkennen.
    @SteveSether Ich bin nicht anderer Meinung, dass die Leute es nur zum Vergnügen tun könnten, aber das Unternehmen, das anbietet, sie für die von ihnen unternommenen Anstrengungen zu bezahlen, ist ein Indikator dafür, wie das Unternehmen diese Anstrengungen schätzt.Wenn der Weiße Hut es für wohltätige Zwecke spendet oder ablehnt, ist das in Ordnung.Dann wird es jedoch eine Wahl für den White-Hat, anstatt dass das Unternehmen nur davon ausgeht, dass es all diese Arbeiten für null Belohnung einsetzt.
    @Graham Mein Punkt ist mehr als soziale Verträge sind wertvoller als Marktverträge, insbesondere für (in diesem Fall) ein kleines Unternehmen.Unternehmen haben die Möglichkeit, den einen oder anderen zu gründen, und der Gesellschaftsvertrag sollte bewertet werden, wenn er passt.Einige Unternehmen sind möglicherweise besser für einen Markt geeignet, und das ist in Ordnung.Es ist nur so, dass sozialer Wert und soziale Verträge in der Geschäftswelt nicht gut anerkannt sind und mehr Aufmerksamkeit verdienen.
    @SteveSether Sind sie wertvoller?Sie können zwar Bewusstsein schaffen, aber Bewusstsein ist nicht gleichwertig, wie jeder im Internet in den frühen 2000er Jahren sagen kann.Und wenn Sie Menschen prahlen wollen, müssen Sie veröffentlichen, was sie getan haben.Für diese Art von epischem Misserfolg einer kleinen Firma ist die Firma ein Toast, wenn sie an die Börse geht.Wenn sie eine echte Vuln gefunden haben, zahlen Sie sie und NDA sie.
    #2
    +61
    Steve Sether
    2019-02-14 02:50:35 UTC
    view on stackexchange narkive permalink

    Hackenproof scheint eine Website zu sein, für die sich jeder anmelden kann. Wenn Sie also Mitglied von Hackproof sind, bedeutet dies, dass Sie Mitglied von Facebook sind. Dies ist keine exklusive Hacker-Gruppe.

    Es gibt keine formalisierte Standardmethode, um mit einer solchen Situation fortzufahren, da Ihr Unternehmen, Ihr Unternehmen, der Fehler und der weiße Hut sehr unterschiedlich sein werden. Eine Größe passt nicht für alle.

    Im Allgemeinen ist es ratsam, vorsichtig, aber neugierig zu sein. Sei vorsichtig, aber nicht paranoid und rachsüchtig. Geben Sie dem weißen Hut keine internen Informationen, versuchen Sie, so viele Informationen wie möglich im Voraus zu erhalten, während Sie wenig oder gar nichts preisgeben. Viele dieser Leute sprechen gerne, um ihr eigenes Fachwissen zu zeigen. Lass sie das tun. Es kann wenig Schaden anrichten, wenn die Informationen nur in eine Richtung fließen. Fragen Sie ihn nach dem Quellcode oder einer detaillierten Beschreibung des Problems. Analysieren Sie dann den Code / die Beschreibung und schreiben Sie Ihren eigenen Exploit (und kompilieren oder führen Sie den White-Hats-Code nicht aus), indem Sie ihn für eine Testinstanz ausführen, vorzugsweise so isoliert wie möglich von jeder anderen Umgebung.

    As Was die Verantwortlichkeiten der einzelnen Parteien betrifft, werden die meisten Menschen, die heutzutage behaupten, White-Hat-Hacker zu sein, eine verantwortungsvolle Offenlegung praktizieren und den Fehler erst dann an die Welt weitergeben, wenn er behoben werden kann. Sie sind dafür verantwortlich, den Fehler (wenn er schwerwiegend genug ist) innerhalb eines angemessenen Zeitraums (mehrere Wochen, nicht Jahre) zu beheben. Wenn Ihr Unternehmen Kopfgelder anbietet, sollten diese bezahlt werden, wenn der Fehler die Kriterien erfüllt. Wenn nicht, sollte der weiße Hut akzeptieren, dass sie wahrscheinlich nicht bezahlt werden, aber Sie müssen akzeptieren, dass sie den Fehler möglicherweise für die breite Öffentlichkeit freigeben, wenn er nicht in angemessener Zeit behoben wird.

    "Versuchen Sie, so viele Informationen wie möglich im Voraus zu erhalten, während Sie wenig oder gar nichts preisgeben."Einfacher Weg, dies zu tun: "Danke, dass Sie uns benachrichtigt haben! Können Sie Schritte zur Reproduktion bereitstellen?"Enthüllt nichts, verspricht nichts, fragt nach allen Informationen, die Sie benötigen.Ich würde nicht einmal nach Quellcode fragen, es sei denn, dies ist absolut notwendig, da Sie ihn nicht ausführen möchten.
    @jpmc26 Ich denke, die Frage nach dem Quellcode trennt die Pretender und Prober von den echten weißen Hüten.Einige Leute verschwenden möglicherweise nur Ihre Zeit, und der Quellcode hängt von den Messingnägeln ab.
    Ich bin mir ziemlich sicher, dass es ebenso schwierig wäre, legitime Schritte zur Reproduktion bereitzustellen, wenn sie tatsächlich keine Sicherheitslücke gefunden haben.Wenn es wirklich kompliziert genug ist, um Quellcode zu erfordern, würde jemand, der legitim ist, ihn wahrscheinlich nur bereitstellen, wenn er nach den Schritten gefragt wird, oder zumindest anbieten, ihn bereitzustellen.
    #3
    +49
    Mike Ounsworth
    2019-02-14 02:52:26 UTC
    view on stackexchange narkive permalink

    Ich weiß nicht, dass es hier feste Regeln gibt. Betrachten wir dies als Spieltheorie:

    Was der Forscher will

    Normalerweise:

    • Öffentliche Anerkennung für die Entdeckung, z. B. ein CVE oder ein Forschungsbericht.
    • Manchmal Geld in Form eines Bug Bounty.

    Was Sie wollen

    Normalerweise:

    • Nicht öffentlich gedemütigt werden.
    • Um die Sicherheit Ihres Produkts zu verbessern.

    Vorgehensweise

    Aus einer Spieltheorie In der Win-Win-Situation besteht die Win-Win-Situation darin, dass sie Ihnen die Details mitteilen, dass Sie sie beheben und dass sie ihre öffentlichen Kredite erhalten. Sie sollten einen Anruf mit dem Forscher tätigen und um eine Demo bitten - Sie können viel gewinnen und nichts verlieren. Beachten Sie, dass der Forscher möglicherweise eine NDA oder einen anderen Rechtsvertrag wünscht, um sicherzustellen, dass er am Ende seine Gutschrift erhält, bevor er bereit ist, Ihnen die Details zu zeigen.

    #4
    +1
    ANone
    2019-02-15 17:03:18 UTC
    view on stackexchange narkive permalink

    Ich könnte erwähnenswert sein, dass sie wahrscheinlich auch ziemlich neu in diesem Bereich sind, es gibt viele „Profis“ und wenn Sie so Ihren Lebensunterhalt verdienen, haben Sie wahrscheinlich einen Prozess, aber das beinhaltet normalerweise eine Vereinbarung mit einem Unternehmen > bevor Sie mit der Arbeit beginnen. Aber selbst dann variiert es zwischen Unternehmen und der Art des Jobs.

    Das klingt für mich jedoch wie ein Enthusiast. Ich bezweifle wirklich, dass es etwas zu verlieren gibt, wenn man mit dem Kerl spricht. Er mag unrealistische Erwartungen haben, aber was verlierst du?

    Randnotiz, tut mir leid, wenn diese Bevormundung, aber ich denke, es muss gesagt werden: Es ist zumindest denkbar, dass dies ein Weg sein soll, um dich zu sein. ' had ', "können wir uns kurz über einige der Implementierungsdetails Ihres Systems unterhalten" ist etwas, zu dem Sie wahrscheinlich' nein 'sagen sollten, sogar strike>, besonders wenn sie eine Karotte anbieten.

    #5
      0
    thomasrutter
    2019-02-18 07:12:07 UTC
    view on stackexchange narkive permalink

    Um zu wiederholen, was jemand in einem Kommentar gesagt hat, wäre es fair, einen Betrug oder eine Erpressung auszuschließen. Hier sind einige Dinge zu beachten.

    • Wird die Zahlung als Antwort auf Informationen überhaupt erwähnt - sogar eine Art "Verwaltungsgebühr"? Angenommen, Sie haben keine bereits vorhandene Fehlerprämie, wird ein legitimer Forscher wahrscheinlich nicht um Geld bitten - er möchte, dass der Fehler behoben wird und die Möglichkeit besteht, Gutschriften für das Auffinden des Fehlers zu erhalten. Geld zu verlangen könnte als Erpressungsversuch oder bestenfalls unethisch angesehen werden.

    • Sind die Schritte zur Reproduktion so vage, dass sie Ihnen nicht helfen könnten, sie zu reproduzieren? Lassen Sie Ihre Ingenieure sie frühzeitig untersuchen, um genau zu wissen, was Sie haben, und um sicherzustellen, dass eine Sicherheitslücke besteht, auch wenn diese geringfügig ist. Zögern sie ein wenig, Details anzugeben, obwohl Sie den normalen Praktiken folgen? Wenn die Sicherheitsanfälligkeit unabhängig von Ihrer Tätigkeit vage und unbestätigt bleibt, handelt es sich möglicherweise nicht um einen legitimen Bericht.

    • Scheinen sie übermäßig darauf bedacht zu sein, Informationen über Ihre Software zu erhalten Arbeiten oder sogar Informationen über Ihr Unternehmen oder Geschäft?

    • Wenn die Person behauptet, eine Gruppe zu vertreten, können Sie überprüfen, ob sie dies tatsächlich tut?

    Der normale Weg, um fortzufahren, besteht darin, dem Reporter zu versichern, dass Sie verpflichtet sind, den Fehler zu beheben, einen Zeitrahmen für den Versand des Fixes anzugeben (er hat möglicherweise bereits einen gewünschten Zeitrahmen angegeben, aber wenn dies unangemessen erscheint , verhandeln), wonach sie veröffentlichen können. Oder prüfen Sie, ob Sie danach eine Nachfrist beantragen können, falls sie erneut testen und feststellen, dass die Sicherheitsanfälligkeit in irgendeiner Form noch besteht.

    Geld als Belohnung zu geben ist ein ethisches Dilemma. Einerseits ist es gut zu belohnen, andererseits besteht die Gefahr, dass die Praxis, Schwachstellen zu finden und Auszahlungen zu erwarten, gefördert wird, wenn Sie keine Bug Bounty haben. das kommt dem Verhalten des schwarzen Hutes nahe. Seien Sie auch hier vorsichtig, wenn sie zuerst das Thema Geld angesprochen haben, auch wenn Sie beabsichtigen, etwas zu geben. Wenn Sie dies jedoch tun, ist es für alle besser, wenn Sie ein formelles Bug-Bounty-Programm einrichten.



    Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 4.0-Lizenz, unter der er vertrieben wird.
    Loading...