¿Está exigiendo una "donación" antes de revelar las vulnerabilidades del comportamiento de sombrero negro? [cerrado]

Navega tus respuestas
37

Nos contactó un "investigador de seguridad independiente" a través del proyecto Open Bug Bounty . Las primeras comunicaciones fueron bastante bien, y reveló la vulnerabilidad encontrada. Remendamos el agujero y dijimos "gracias", pero nos negamos a pagar una donación (ver más abajo).

Luego, el investigador envió un correo electrónico de seguimiento que decía que había encontrado más vulnerabilidades, pero como no hicimos una donación, se quedará con esas vulnerabilidades por sí mismo.
En otras palabras, solo nos dijo que tenía más vulnerabilidades, pero no las reveló, después de que tomamos la decisión de no pagar la donación voluntaria sugerida.

A mi entender, esto ya no está en línea con el comportamiento responsable del sombrero blanco. ¿Estoy en lo cierto en esta afirmación?


Actualizar
Sí, la persona ha sido bastante explícita en lo sugerido. Importe para la donación.

Las diversas razones para no pagar la 'donación' solicitada son:

  • la altura sugerida de la 'donación voluntaria' en combinación con la gravedad de la vulnerabilidad encontrada,
  • la vulnerabilidad en cuestión era, según nuestros registros, no encontrada por un individuo 'altamente calificado', sino por una herramienta automatizada,
  • el hecho de que el proyecto Open Bug Bounty menciona explícitamente que no se requiere ningún pago,
  • el tono de voz agresivo pasivo.

Lo anterior, en combinación con el hecho de que, mientras estamos en el proceso de configurar un presupuesto de recompensa de errores y la política asociada, aún no hemos completado esto.

Seamos claros: no establecimos una recompensa, ni prometimos una y no nos registramos en este proyecto. El proyecto Open Bug Bounty es un proyecto no afiliado, que dice explícitamente: " Sin embargo, no existe ninguna obligación ni obligación de expresar una gratitud ".

También, tenga en cuenta: Aunque estoy a favor de algún tipo de marco legal para proteger a los investigadores de seguridad de buena fe, este marco legal no existe, en este momento, en nuestra jurisdicción; un hecho que nuestra persona jurídica estaba muy interesada en señalar.

    
pregunta Jacco 30.10.2017 - 11:14
fuente

5 respuestas

42

Soy un cazador de insectos y no tengo ni idea de por qué todo el mundo aquí cree que está perfectamente bien que ataque su sitio web sin permiso, determine una cantidad de recompensa y amenace con contener defectos potencialmente peligrosos porque no obtiene el dinero que quiere ¿Por qué no le preguntó acerca de su política de antemano? Nunca reclamó que ejecutara un programa de recompensas de errores, ni que pudiera pagarle a nadie por nada en primer lugar.

Para aclarar de nuevo, OP no se inscribió en el proyecto Open Bug Bounty. El proyecto ofrece ser un intermediario entre investigadores y sitios web que no ejecutan un programa de recompensas. Además, mencionan explícitamente que usted no está obligado a pagar nada, y el investigador debe ser consciente de ello si lee las directrices.

  

El propietario de un sitio web puede expresar una gratitud al investigador de una manera que considere más apropiada y proporcional a los esfuerzos y la ayuda del investigador. Alentamos a los propietarios de sitios web a decir al menos un "agradecimiento" al investigador o escribir una recomendación en el perfil del investigador. Sin embargo, no hay ninguna obligación ni obligación de expresar gratitud.

(Enfatiza lo mío)

Si espera una recompensa monetaria, debería estar buscando errores en compañías que realmente ejecutan un programa de recompensas. Hay muchos programas de buena reputación que pagan altas recompensas.

  

El investigador luego envió un correo electrónico de seguimiento diciendo que había encontrado más vulnerabilidades, pero como no hicimos una donación, se quedará con esas vulnerabilidades por sí mismo.

Si él ya los encontró y no es un gran esfuerzo ponerlos en una lista y avisarte, entonces sí, no es ético contener los errores. 1 No preguntaste El que haga el trabajo por ti. Él podría haber preguntado si usted paga por errores de antemano. Y no le ofreció tanto su experiencia para hacer una donación, por su descripción suena más como una leve amenaza de que si no le paga, su sitio web está en peligro.

Tome ese incidente como un indicio de que necesita invertir más en su seguridad. Considere establecer un verdadero programa de recompensas por errores con pequeñas recompensas o contratar un probador de penetración profesional. Pero no permitas que te extorsione el dinero si nunca lo prometiste.

1 No es que él deba hacer un trabajo gratis por ti. Es el hecho de que menciona que hay algo que no le dirá a menos que le pague una cantidad particular que lo haga poco ético, especialmente si una explotación de estos errores podría amenazar el futuro de su empresa.

    
respondido por el Arminius 30.10.2017 - 15:04
fuente
75
  

A mi entender, esto ya no está en línea con el comportamiento responsable de 'sombrero blanco'. ¿Estoy en lo cierto en esta afirmación?

El sombrero blanco (y gris / negro) son términos vagos. No hay una definición universal fija. Según las definiciones de wikipedia, la mayoría de los investigadores serían vistos como Grey Hat, ya que no es raro que se publique si el editor del software se niega a parchear.

La respuesta fácil a tu pregunta es no. Si su objetivo es hacer que el mundo sea más seguro, esto claramente no se alinea directamente. Existe un argumento indirecto: que al alentar la recompensa financiera se fomenta una relación más sana entre las empresas y los investigadores, así como alentar a más personas en el campo.

¿Por qué incluso preguntas? El investigador no está obligado de ninguna manera a revelarle a usted. A menos que pueda probar que violó la ley al encontrar las vulnerabilidades a las que no tiene ningún poder para obligarlo. Hasta la fecha, ha recibido varias horas de trabajo de parte de una persona altamente calificada (con suerte, de lo contrario, se convertiría en una mala luz) de forma totalmente gratuita. O bien considera que vale la pena pagarle para que siga ofreciendo servicios o no.

* Al ver el título, diría que esto no es un comportamiento de Black Hat a menos que explote deliberadamente las vulnerabilidades para su propio beneficio o para su propio daño (/ se las da directamente a alguien con esa intención). Si él simplemente se niega a revelar el argumento sería entre las definiciones de sombrero blanco / gris.

    
respondido por el Hector 30.10.2017 - 11:52
fuente
59

El investigador no creó la vulnerabilidad y no ha amenazado con liberar o explotar lo que ha encontrado. Si no desea pagar por su trabajo, entonces no lo haga y su compañía no está peor que antes de que lo contactara. De hecho, le ha dado el regalo de decirle que existe una vulnerabilidad que pueden encontrar a sí mismos oa través de otro contratista.

Entonces no, él no ha hecho nada que no sea ético.

    
respondido por el PStag 30.10.2017 - 13:44
fuente
9

Él no necesita revelarlo, pero sabía que entrando durante la segunda ronda no pagas. Entonces, ¿cuál es su motivación? No puedes saberlo, por lo que él está usando esa brecha para crear presión sobre ti para que pagues.

Sin embargo, dado que no ha amenazado con lanzar malware o vender a sombreros negros, es potencialmente claro legalmente e incluso éticamente si nunca lo hace, o si simplemente hace un volcado abierto del exploit sin venderlo a sombreros negros.

Podría venderlo legalmente a estados nacionales y compañías de seguridad, pero sin saber la importancia de su código, es imposible decir si ese es un lugar vendible para el "investigador".

Probablemente su mejor apuesta sea pagar un valor justo de mercado. La persona ha dedicado tiempo a la investigación y la información tiene valor para usted. Incluso si lo lanzan al aire libre él está en el claro legal. Se reduce a lo que el daño que una liberación sin notificación le haría. Si la respuesta no es mucho, entonces ignórala. De lo contrario subir con el efectivo. Esto es puramente utilitario, por cierto, no se refiere a la ética. Éticamente, debería haber dejado de investigar su aplicación / sitio y sabía que no estaba interesado en pagar, a menos que haya datos públicos que sienta que está poniendo en riesgo.

    
respondido por el Mark Stewart 30.10.2017 - 20:04
fuente
-2

Incluso si no es obligatorio por ley, muchos piensan que no compensar a alguien por su trabajo no es ético. Esto es independiente de las herramientas que esta persona utilizó para su trabajo o el tono utilizado para comunicarse, especialmente porque un tono en la comunicación escrita puede ser fácilmente malinterpretado.

Esta persona te regaló una muestra de su trabajo y luego te molestó para que tuvieras más. Esa es una práctica comercial común y de ninguna manera un comportamiento malicioso.

Por lo tanto, a partir de la información proporcionada en la pregunta, el investigador también podría actuar de buena fe, sin intenciones maliciosas. El OP podría estar sesgado en la representación de los hechos y podría tratar de enmarcar al investigador como un sombrero negro para legitimar su punto de vista. Eso es solo una suposición, y el OP podría ser de buena fe y el investigador podría haber amenazado al OP, pero eso no está claro.

    
respondido por el A. Hersean 30.10.2017 - 17:27
fuente

Lea otras preguntas en las etiquetas

¿Cómo probar que una fotografía se tomó antes de una fecha determinada? [duplicar] ¿Es seguro cargar y escanear archivos personales en VirusTotal?