Cuestión de ética, posterior a la publicación de 'DIY hack' que implica hackeo de seguridad

3

He leído esta publicación largamente, pero creo que esta pregunta es sutilmente diferente.

Considere este escenario: una organización municipal sin fines de lucro tiene un sitio web con autenticación (nombre de usuario, contraseña). La autenticación protege los datos del usuario; el dinero no está involucrado (si eso importa).

Con las mejores intenciones, la Persona A publica un script PHP de inicio de sesión automático con todos los detalles del procedimiento de inicio de sesión (URL específicas, información de sesión en cookies, etc.), siempre que el usuario tenga un nombre de usuario y una contraseña válidos.

[Editar]: esta secuencia de comandos utiliza PHP / cURL. No es parte de una página web; Se ejecuta desde la línea de comandos. Se pone en contacto con la URL del sitio web, establece una sesión y envía un HTTP POST para iniciar sesión. El script puede continuar extrayendo los datos del usuario según sea apropiado para el dominio.

Por un lado, el script PHP simplemente imita el protocolo utilizado por el navegador: no hay exploits. La intención es "hackear DIY", mi término para "usuarios avanzados haciendo cosas innovadoras". Esto no es cosa de sombrero blanco, gris o negro.

Sin embargo, es cierto que la secuencia de comandos / información puede conducir fácilmente a un trabajo derivado que de manera iterativa busca los detalles de autenticación: un hack de seguridad.

[Editar] como aclaración (para comentaristas y otros), considere lo siguiente:

  • La organización municipal sin fines de lucro no dedica muchos recursos a la seguridad. Esto incluye contraseñas predeterminadas, límites de intentos de inicio de sesión, etc.
  • Antes de la publicación del script PHP, si un sombrero negro quisiera comprometer una cuenta, tendría que automatizar el navegador, usar un rastreador de red o investigar los detalles de inicio de sesión y escribir el script PHP, etc.
  • Después de la publicación del script PHP y los detalles de inicio de sesión, un sombrero negro podría modificar razonablemente el script PHP (un trabajo derivado) para que, dado un nombre de usuario, simplemente itere sobre las posibles contraseñas hasta que se encuentre una. También podría probar otros nombres de usuario. El trabajo para investigar el protocolo de inicio de sesión ya está hecho y documentado.

Mi pregunta es: ¿tiene la Persona A la responsabilidad ética de alertar a la organización que la información ha sido publicada? ¿La Persona A revela la posibilidad del trabajo derivado?

De manera similar, si la Persona B descubre la publicación y se da cuenta de las posibles consecuencias, ¿hay una carga para que la Persona B alerte a la comunidad, aunque el trabajo derivado no exista? Es decir, continúa como se describe en esta publicación ?

    
pregunta Michael Easter 21.09.2013 - 21:26
fuente

3 respuestas

5

Por lo que entiendo de su pregunta, mi opinión es No.

Usted describe una herramienta de fuerza bruta basada en la web, sin la capacidad de fuerza bruta. En resumen, lo que describe es un par de líneas de código que casi cualquiera puede hacer en un par de minutos. Existen muchas herramientas web de fuerza bruta, por lo que si este script en particular no existiera, no haría mucha diferencia, ya que la mayoría de los atacantes probablemente tienen sus propias herramientas con las que están familiarizados y no necesitarían usar la suya.

La mayoría de las funciones de inicio de sesión basadas en la web son bastante básicas y fáciles de aplicar ingeniería inversa debido a la naturaleza de la web. La mayoría de los sitios son HTML / JS que no utilizan código compilado, y la mayoría no confunde sus scripts.

Si el diseño de la función de inicio de sesión es tan secreto que los detalles no se pueden divulgar de manera segura, entonces hay implicaciones de seguridad mucho mayores que las de un script flotante. No es necesario que oculte el proceso de autenticación para que sea seguro, esto se considera seguridad a través de la oscuridad y no tiene lugar en Internet.

El lado del servidor debe hacer cumplir las reglas de inicio de sesión que limitan el número de intentos fallidos. Realmente no tiene sentido mover la seguridad del servidor al cliente, ya que no hay una forma realista de controlar lo que un cliente está haciendo.

    
respondido por el David Houde 22.09.2013 - 03:50
fuente
1

No.

Ni la Persona A ni la Persona B están obligadas a alertar al sitio web.

El personal de TI probablemente esté al tanto de la vulnerabilidad, y ha tomado la decisión de vivir con los riesgos (es probable que ponga recursos en otra parte).

El script no contiene exploits y utiliza estándares abiertos. Puede implicar un trabajo derivado en el nivel de "script kiddie", pero antes de su publicación, el sitio probablemente era vulnerable a amenazas básicas. Los detalles de inicio de sesión no son difíciles de descubrir, por lo que un sombrero negro podría obtener esa información fácilmente.

Además, si las finanzas no están involucradas, el impacto de una brecha es bajo.

Finalmente, esta discusión desciende a una discusión puramente filosófica sobre la moralidad. El hack de seguridad puede no existir. Tenemos peces más grandes para freír.

    
respondido por el Michael Easter 27.09.2013 - 02:09
fuente
1

Sí.//strong>

Las personas A y B deben alertar al sitio web sobre las posibles consecuencias de la publicación.

Por lo menos, es una cortesía profesional (suponiendo que la Persona A o B entienda el riesgo).

También es ético: vivimos en una era digital, y aquellos que saben sobre seguridad deben ayudar a otros a comprender las consecuencias de la divulgación. Esto no quiere decir que la publicación original debe ser suprimida. Más bien, debe ser full de divulgación:

  • aquí hay un truco de bricolaje
  • aquí están las posibles ramificaciones de seguridad
  • aquí hay posibles soluciones a problemas de seguridad

Finalmente, apenas hay una razón para que no tome algún tipo de acción.

¿Por qué asumir que la solución es cara? Un remedio podría ser un correo electrónico a los usuarios, informando que mejoran la fortaleza de sus contraseñas.

¿Por qué asumir que el impacto es bajo? El sitio web puede usar software (o un marco) que muchos otros utilizan. Además, la privacidad es privacidad, ya sea financiera o no. Imagine un hack de biblioteca donde alguien más pueda leer sus libros extraídos (" Propuestas de bodas para tontos ") o colocar espacios en su nombre (" Divorce for Dummies ").

Puede ser cierto que el hackeo de seguridad no existe, pero si puede hacerse razonablemente, es más seguro suponer que se escribirá, y tome alguna medida de divulgación ética.

    
respondido por el Michael Easter 27.09.2013 - 02:12
fuente

Lea otras preguntas en las etiquetas