Consecuencias de la piratería de sombrero gris

Navega tus respuestas
30

Mientras trabajaba en un sistema de detección de anomalías (encontrar tramposos en un servicio de juegos en línea bastante popular), accidentalmente, encontré la forma de obtener la contraseña de un usuario en un tiempo razonable. Básicamente, la idea general de construir un sistema de detección de anomalías era solicitar un trabajo para ese servicio web y proporcionar mi solución preliminar.

Después de encontrar esta vulnerabilidad, estoy pensando en aplicar allí no solo con un CV, sino también con el sistema de detección y explicando la vulnerabilidad. Pero aquí hay una cosa: recuerdo leyendo sobre un chico que encontró un problema en Yahoo! lo reporté y me recompensaron, probé esto con Facebook y me encarcelaron.

Debido a que creo que la cárcel no es el mejor lugar para mí, me gustaría preguntar cuáles son las posibilidades de ser acusado de un delito?

Para tener en cuenta

  • No estoy trabajando para esa compañía
  • mi objetivo principal es terminar mi clasificador de predicción de trucos
  • las únicas contraseñas que intenté romper fueron las contraseñas de mis propias cuentas ficticias
  • Quiero trabajar para esa compañía

P.S: Creo que no me aclaré. Estoy trabajando en un clasificador para hacer una predicción, ya sea que la persona esté haciendo trampa en el juego o no y porque este es un gran problema para ese servicio. Estoy planeando solicitar un trabajo, teniendo este clasificador como una ventaja adicional para mi CV. Accidentalmente encontré una vulnerabilidad y pensé si debería denunciarla o no, y en caso afirmativo, a qué problemas puedo enfrentar. Va a ser algo así, "aquí está el problema y esto es lo que creo que debería haber hecho. Si quiere, me gustaría trabajar para usted, pero no como especialista en seguridad (no tengo conocimiento para esto), pero como un minero de datos ". Ya sea que me lleven o no, básicamente no me importa.

No tiene nada que ver con el escenario: "Quiero trabajar para usted y sé cómo obtener la contraseña de un usuario, así que piénselo dos veces antes de rechazarme".

    
pregunta Salvador Dali 13.11.2012 - 19:42
fuente

4 respuestas

17

- Editar: esta respuesta abordó la idea de solicitar un trabajo basado en el descubrimiento de una vulnerabilidad. -

Hay muchas posibilidades de que no obtenga el trabajo si aplica la fuerza del hecho de que ha pirateado con éxito la seguridad de sus usuarios. Confíe en mí, si alguien entró en una entrevista conmigo diciendo: "Oh, por cierto, encontré un agujero en sus sistemas, lo hackeé, y aquí está mi solución", esa persona sería escoltada fuera del edificio y yo llama a la policia.

Revele completamente la vulnerabilidad para ellos y para ellos solos, y trabaje con ellos para resolver el problema. ENTONCES abra la discusión de ser contratado para más trabajo de seguridad. Una vez que intentes combinar obtener un trabajo con revelar una vulnerabilidad, podría interpretarse como un intento de extorsión.

En cuanto a las posibilidades de acción legal, depende de su ubicación, su ubicación, la ubicación del servidor web que probó, la gravedad de la infracción y (hasta cierto punto) las actitudes y políticas de las organizaciones afectadas.

-

    
respondido por el schroeder 13.11.2012 - 21:00
fuente
23

Realmente no hay suficiente información aquí para tomar una decisión acerca de su pregunta. La jurisdicción y exactamente qué sucedió con la forma en que encontró una falla en la seguridad y la forma en que la probó y lo que importan sus términos de servicio (que definen cómo se le permite usar sus computadoras y datos). En general, "piratear" no es lo que es legal o ilegal, lo que es ilegal es usar el hardware o la IP de otras personas de una manera en la que no tiene licencia para hacerlo.

Si estuvieras ejecutando un exploit contra su hardware, entonces eso fue una intrusión, independientemente de la intención y podrían perseguirte si realmente quisieran. Si tomó los datos que ellos licenciaron solo para un propósito en particular y abusó de los datos de una manera que no tenía derecho, también es posible que lo persigan en función de su jurisdicción. Si proporcionaron los datos de forma clara, sin una licencia asociada y usted encontró una forma de utilizar esos datos para abusar de su sistema en su propio hardware, entonces es probable que esté seguro ya que no usó su hardware o sus datos con licencia para tomar una decisión. Pero, de nuevo, esto puede variar ampliamente según la jurisdicción, por lo que conocer las leyes locales es la mejor política y IANAL .

En cuanto a consejos prácticos sobre cómo abordarlo. Le sugiero que no lo considere como una vulnerabilidad comprobada. Ciertamente, proporcionar su sistema anti-trampas suena como una ventaja. También puede simplemente mencionar que pensó que vio algo que podría explotarse cuando estaba trabajando en él y pedirle su permiso para probarlo o dejar que lo prueben. Puede ser mejor que no mencione la vulnerabilidad en absoluto hasta después de que consiga un trabajo con ellos o se rechace solo con la fuerza de su sistema anti-trampas. Es realmente difícil predecir cómo reaccionarán las personas cuando un tercero externo expone una falla, incluso cuando se informa de manera responsable. Muchas de las posibles reacciones no funcionarán a su favor, ya sea negación, enojo o sospecha.

    
respondido por el AJ Henderson 13.11.2012 - 21:58
fuente
5

Nunca es aceptable buscar vulnerabilidades en sitios web o servicios sin permiso. Esto es contra la ley, y con razón.

Es completamente legal buscar vulnerabilidades en su propio sistema y el software que está ejecutando. Puede encontrar fácilmente un día de 0 días que afecte a muchas otras personas, y es legal para lo que quiera con esta información (es libre de transmitir los detalles de las vulnerabilidades como quiera, pero en realidad usarlo para explotar un sistema sin autorización es otra historia). Hacerlo público y obtener un número de CVE o venderlo al mejor postor.

Muy pocas compañías tienen un programa de recompensas de errores. Facebook y Google lo hacen, y pueden pagar bastante bien por una vulnerabilidad de alto impacto.

    
respondido por el rook 13.11.2012 - 20:16
fuente
4

Si el uso de un sitio web es legal o no, es completamente independiente de si está buscando una vulnerabilidad o incluso si la encuentra. Lo que importa es si está o no utilizando el sitio web de manera coherente con sus términos . No importa por qué lo estás haciendo.

Por ejemplo, intentar iniciar sesión con la contraseña de otra persona probablemente no esté permitido y, por lo tanto, es ilegal. Sin embargo, leer el código JavaScript de una página en busca de errores probablemente es perfectamente legal. Pero si encuentra algo, si intenta probar la vulnerabilidad que encontró ... bueno, probablemente vuelva a ser ilegal nuevamente.

El hecho de que presenten cargos contra ti es su decisión o no, pero al infringir la ley, te pones en una mala posición para negociar.

Ahora, si tiene el permiso explícito del propietario del sitio para buscar vulnerabilidades, entonces está de nuevo en el lado legal. Solo asegúrese de obtenerlo por escrito, como han descubierto varias figuras notables.

    
respondido por el tylerl 14.11.2012 - 03:31
fuente

Lea otras preguntas en las etiquetas

Buscar virus en un archivo de imagen ¿La contraseña que protege un archivo archivado realmente lo cifra?