¿Cómo reportar vulnerabilidades sin ser considerado un hacker?

Simplemente informa que está utilizando HTTP en lugar de HTTPS para iniciar sesión y que eso es inseguro no debería ser acusado de piratería. Es algo inmediatamente visible públicamente desde el sitio.

Hay muchas formas de detectar vulnerabilidades que realmente podrían considerarse piratería (por ejemplo, ejecutar un escáner de vulnerabilidades contra un objetivo contra el que no está autorizado para ejecutarlo), pero no conozco ninguna jurisdicción que pueda considerar mirando la página y reconociendo una falla que es inmediatamente visible para ser hacking. Sería un poco como caminar por una casa, notar que alguien estaba dejando la puerta abierta cuando se estaban y acusado de ser un ladrón cuando les mencionaste que dejaron la puerta abierta (cuando ni siquiera estás parado sobre ella). su propiedad.)

Si ignoran sus correos electrónicos, puede intentar informarlos a la organización responsable de hacer cumplir la Ley de Protección de Datos. No sé de dónde es, en el Reino Unido sería enlace

Tienen la responsabilidad de mantener sus datos seguros.

Primero, no puedes hacer que nadie haga nada. Como alumno, puede plantear sus propias preocupaciones personales de que sus credenciales están expuestas, pero eso es todo.

No estoy seguro de cómo alguien consideraría sus acciones declaradas como piratería, pero eso depende de su jurisdicción. En la mía, capturar tus propios paquetes no es ilegal en absoluto.

Es desafortunado que el soporte de TI lo haya llevado a la bandeja de correo electrónico general, pero debe seguir sus procedimientos.

Aquí está mi enfoque:

Intente averiguar si su universidad tiene una persona responsable de la seguridad. Tal vez tienen una empresa que hace eso o tienen un departamento. Si es así, trata de contactar a estas personas. A menudo saben de lo que estás hablando.

Al comunicarse con ellos, no es necesario que les cuente acerca de wireshark. Diga "noté que el sitio utiliza HTTP y, como trabajo en seguridad informática, sé que eso significa que mi nombre y contraseña se enviarán a través de Internet sin ningún tipo de protección. Cualquier persona maliciosa en cualquier red entre usted y yo podría roba mi identidad de esta manera. ¿Es usted consciente de esto? "

El primer objetivo es: "Encontré un riesgo y sé de lo que estoy hablando". A continuación, ver cómo responden. Esta no es una situación que amenaza la vida. Está bien si se tarda un par de días en resolverse. Puedes usar varios correos para hacer tu punto.

Si se niegan a creerte, dales una receta de cómo pueden ver por sí mismos (instala Wireshark, usa esta regla, haz el inicio de sesión, mira lo que Wireshark te muestra). De esa manera, ejecutan la herramienta "mala". En ningún momento, debe decirles lo que hizo en su propia computadora. Si lo presionan, puede decir "Utilicé las herramientas de seguridad de mi empresa para capturar los datos que mi navegador le envía y vi que ..."

TL; DR : ser profesional y humilde recorrerá un largo camino. Ser secreto, orgulloso o malicioso obviamente no terminará tan bien. Si trabajas con ellos con calma y en privado, es probable que hagan lo mismo.

Esto suena casi cortado y pegado a cómo empecé a encontrar problemas con la seguridad de mi universidad. Mi universidad estaba colocando la identificación del estudiante en una cookie y así es como te conectaste. Si manipuló la cookie, inició sesión como quien quisiera. Fue el descubrimiento lo que me llevó a profundizar en su seguridad. También tenían un servidor de correo inseguro que retransmitiría cualquier cosa sin autenticación. Los nombres de archivo de las imágenes en el directorio de la escuela eran simplemente una codificación extraña de la identificación de ese estudiante . En un momento, podría buscar un SSN y obtener el nombre de un estudiante.

Encontré estos errores poco a poco. Comenzó con un sentido de "Mi información debe estar segura y no lo está", y señalaría la última falla que descubrí a TI. Después de la tercera vez que informé algo, comencé a sentirme enfadado y superior al departamento. Cada dos semanas me encontraba en la oficina del Vicepresidente de Tecnologías y señalaba una nueva forma de obtener los SSN o los registros financieros de los estudiantes desde 1995 o alguna técnica de acosador para determinar el horario completo de la clase de alguien (incluida la calificación de letras en esa clase). ). El vicepresidente también comenzó a ponerse hostil conmigo. Admito que es posible que no haya tenido la mejor actitud después de los 6 meses. En un momento dado, me expulsaron durante aproximadamente 3 semanas cuando se enteraron de que intentaba realizar una ingeniería inversa de su codificación (enlace arriba). Quería mostrarles qué agujeros eran vulnerables cuando una persona no estaba trabajando con ellos y estaban en la oscuridad. Eventualmente lo resolvimos, pero hubo una gran cantidad de ira, papeleo y ego en el entretanto en ambos lados.

El punto que trato de señalar es que el departamento de TI trabajó conmigo a pesar de que soy un imbécil. Arreglaron los problemas y la escuela está mejor por eso. Mientras yo fuera directo con mis intenciones y abierto acerca de lo que estaba haciendo, no me amenazaban ni me obstaculizaban. No fue hasta que estuve trabajando en secreto que tomaron medidas disciplinarias. Estaba por todo el tablero con cosas que absolutamente podrían considerarse piratería, incluidos ataques de inyección, ingeniería social, ingeniería inversa, rastreo de paquetes, escaneo de puertos, vulnerabilidades de software personalizadas y más. Ya que nunca cambié nada y siempre (bueno ... generalmente) informé a mis hallazgos en silencio y directamente a ellos, trabajaron conmigo. No tengo ninguna duda de que si no fuera un asno, no habría sido expulsado temporalmente.

Hay un servicio proporcionado por Hewlett-Packard Tipping Point llamado Zero Day Initiative. enlace

Así es como funciona.

1. Ellos COMPRAN la vulnerabilidad de usted
2. HP Tipping Point ofrece protección a su base de clientes de usuarios de cortafuegos inteligentes
3. ZDI trabaja con el proveedor para tratar de solucionar el problema (esto generalmente puede llevar 6 meses)
4. Si el proveedor no responde o cede, entonces ZDI informa la vulnerabilidad públicamente.

Como puede ver, ha terminado en el paso 1, obtiene dinero y permanece en el anonimato.

A veces es muy difícil explicar la importancia de la seguridad para las personas. Algunas personas simplemente no entienden la seguridad y otras sienten que su sistema nunca se verá comprometido. La notificación de una amenaza de seguridad a veces se ignora o lleva mucho tiempo para ser solucionada. Desde mi experiencia para comunicar su punto de vista para mejorar la seguridad, demostraría el ataque. Cuando demuestre un ataque, le sugeriría que use su propia caja donde puede configurar un entorno similar. Al hacer esto, puede mostrar a las personas visualmente cómo se pueden robar los datos.

Este es un tema bastante difícil, ya que las empresas y universidades tienen una larga y orgullosa historia de reaccionar con hostilidad y disparar al mensajero en casos como este. Y no hay garantía de que no lo procesarán por nada más que darse cuenta de su inseguridad. Es posible que no tengan un caso en tu contra, pero eso no significa que no puedan hacerte sentir miserable.

Así que aquí hay algunas ideas que podrían ayudar.

• Permanecer anónimo : hay muchas formas de proteger su identidad. No voy a entrar en ellos aquí, pero en su mayor parte no tiene que identificarse para revelar una vulnerabilidad. Si está preocupado por las represalias, es mejor que no lo haga.

• No divulgue directamente: Si bien sería ideal para usted lidiar con el problema en privado, hacerlo le brinda poca o ninguna protección si decide tomar represalias. La divulgación de la vulnerabilidad a través de un tercero de confianza lo protege de la acción directa al evitar que ellos controlen la historia. A menudo, la divulgación indirecta es una forma de mantener el anonimato.

• Céntrese en su negligencia en lugar de en vulnerability : si asume preventivamente un alto nivel moral, atacarlo lo pintaría como más negligente, en lugar de menos así. Es extremadamente difícil (y extremadamente raro) para un servicio que ha sido acusado principalmente de negligencia de pintar a su denunciante como un criminal. El simple hecho de señalar su escasa seguridad no le otorga ninguna superioridad moral, y les da la oportunidad de pintarse a sí mismos como víctimas acusándole de conducta indebida criminal. No les des eso.

A juzgar por lo que dijiste, no hay evidencia de que hayas intentado hackear. Simplemente supervisó las solicitudes entrantes y salientes de su propia red.

Si aún está atento a la situación, intente ponerse en contacto con el Comisionado de Privacidad en Canadá para ver qué recomiendan. enlace

Esto parece más una cuestión de psicología / sociología que de seguridad, ya que parece ser la mejor manera de comunicarse con la otra parte y convencerla de que tome una acción específica. No puedo creer que cualquier cargo de 'pirateo' pueda tener ramificaciones legales reales por las razones que explican otras respuestas.

Un enfoque alternativo a los anteriores es practicar una ofensa fuerte. Si se niegan a reconocer sus correos electrónicos, envíe uno semi-amenazante en un tono cortés pero firme, explicando que si no abordan esta vulnerabilidad de seguridad para proteger sus datos personales, es posible que deba emprender acciones legales. para protegerse Esto puede o no puede ser práctico, dependiendo de la información personal que realmente almacenan de los suyos.

Este enfoque naturalmente crea una interacción de confrontación, por lo tanto, considere cuidadosamente antes de seguir este camino.