Question:
Comment signaler des vulnérabilités sans être considéré comme un hacker?
user29170
2014-10-29 19:32:52 UTC
view on stackexchange narkive permalink

Je viens de découvrir que la page de connexion de mes anciens étudiants est simplement HTTP. Wireshark a confirmé que les informations d'identification sont envoyées à l'aide d'un message HTTP POST. J'ai fait un peu de recherche et, comme je le pensais, HTTPS devrait toujours être utilisé sur la page de connexion (voir Est-il sécurisé pour un site de servir la page de connexion avec HTTP, mais le site actuel est-il en HTTPS?).

Tout d'abord, j'aimerais rendre service à mon université, mais comment puis-je leur faire prendre des mesures? Il est fort probable que mes données personnelles, telles que le diplôme et l'année d'obtention du diplôme, soient stockées dans la base de données des anciens. Il n'est pas surprenant que certaines organisations ne prennent pas un tel rapport au sérieux (voir Comment signaler une vulnérabilité à une grande organisation qui ne pense pas avoir de problème?). J'ai envoyé un e-mail au service d'assistance informatique de l'université en utilisant mon compte de messagerie d'anciens élèves, mais le personnel m'a demandé d'adresser ma demande à un e-mail de demande générale des anciens élèves.

En plus des détails techniques, comment puis-je m'assurer que aucune police ne m'arrêtera pour piratage? Je n'ai pas tenté de voler des informations personnelles. Je ne suis pas intéressé à signaler cette vulnérabilité à un forum de sécurité avant que l'université ne prenne des mesures.

P.S. Je suis gêné que mon diplôme de CS provienne de cette école.

Je suis d'accord avec @schroeder en ce sens que je ne pense pas que vous ayez à vous soucier des frais. Vous recherchez du trafic non chiffré sur votre propre réseau. De plus, c'est votre université. Même s'ils vous inculpaient, A) cette affaire serait rejetée par un avocat compétent B) la vulnérabilité deviendrait publique dans les procédures que le collège ne voudrait pas. Ça craint qu'ils s'en moquent mais vous ne pouvez pas les forcer à s'en soucier. : - /
Ce n'est même pas un peu comme du piratage.
Êtes-vous en contact avec l'un de vos anciens professeurs? Ils sont très susceptibles de se soucier (pour la fierté professionnelle si rien d'autre), et ils seraient mieux placés pour influencer le service informatique.
@AndrewHoffman il peut y avoir des juridictions qui interdisent la capture de paquets à partir d'une source que vous ne possédez pas (comme le site Web de l'université). Il vous permet de voir le fonctionnement interne du site, qui pourrait être utilisé pour ensuite pirater le site. Au Canada, d'où vient le PO, il n'y a pas ce danger, mais il n'est pas coupé et séché dans le monde entier.
Avez-vous également informé l'e-mail de demande générale des anciens élèves comme indiqué?
@MooingDuck Pas encore. Comment puis-je formuler le message pour une personne non informatisée disant que je n'ai pas fait intrusion dans les serveurs mais que j'ai notifié une vulnérabilité?
@SáT L'unité informatique de l'université et le département CS sont tellement décousus qu'ils font chacun leur propre travail ... (n'y arrivez pas) :(
Offtopic: Le site Web du département CS de l'école ne fait pas HTTPS.
Utilisez simplement les réseaux sociaux pour dénoncer, comme la page Facebook de votre université. Comme beaucoup l'ont déjà souligné, la découverte de la non-utilisation du HTTPS sur la page de connexion publique d'un site Web n'équivaut pas à un piratage.
@QuestionOverflow Je ne suis pas intéressé à signaler la vulnérabilité au public. Mes données personnelles sont très probablement dans la base de données.
@schroeder - mais cela ne nécessite même pas de capturer les paquets (ce que, au fait, vous devez faire pour voir une page). Il suffit de regarder et de voir http: // au lieu de https: // lorsque vous passez la souris sur la soumission du lien ou que vous affichez la source de la page. Cela peut être fait directement depuis le navigateur.
@AJHenderson Je comprends tout à fait, mais l'OP a mentionné qu'il dirigeait Wireshark et que cela semble être la raison de sa préoccupation d'être perçu comme un «pirate informatique». Il peut, bien sûr, simplement mentionner que le protocole est incorrect, mais le «prouver» en montrant ses informations d'identification en clair dans un vidage de paquets peut, potentiellement, inquiéter certaines personnes.
@schroeder - assez juste, je conviens qu'il est probablement préférable de faire l'explication la plus compréhensible et la plus simple possible. Les gens sont moins susceptibles de paniquer (à juste titre ou non) si vous utilisez des outils qu'ils comprennent plutôt que des choses qui leur passent dessus.
Pourquoi craignez-vous d'être considéré comme un hacker? Certaines des personnes les plus respectées dans le domaine de l'informatique (et je soupçonne que presque toutes les personnes respectées de la sécurité) sont fières d'être qualifiées de hackers. Vous n'avez rien fait de criminel.
Exécuter un renifleur de paquets pour renifler votre propre trafic n'est pas un crime, surtout si vous le faites pour vérifier un soupçon que votre transmission n'est pas cryptée. J'utilise fréquemment Fiddler au travail pour intercepter mon propre trafic HTTP pour voir ce qui se passe sur la ligne à des fins de dépannage. Si c'était un crime, les développeurs seraient tous en prison :)
@lacampane11a, c'est comme ça que je le vois. Tant que vous ne vous connectez pas pendant cette période, vos données personnelles resteront en sécurité dans la base de données. Mais tant que votre université ne résout pas ce problème de toute urgence, la connexion de tout le monde sera dangereuse. Une divulgation publique est le moyen le plus efficace de forcer la main sur cette question.
Vous serez traité de "hacker" par quelqu'un quoi qu'il arrive. Du bon côté, ce n'est pas votre employeur. Du côté obscur, la réaction de l'université en question (et de ses avocats) est hautement imprévisible. Les gens stupides font des choses stupides (eux, pas vous).
Lorsque les courriels de l'université et l'adresse IP des gens sont divulgués en Chine, * alors * l'université se souciera soudainement de la sécurité.Source: expérience (ne nommer aucune université en particulier ici)
Dix réponses:
AJ Henderson
2014-10-29 19:45:21 UTC
view on stackexchange narkive permalink

Le simple fait de signaler qu'il utilise HTTP plutôt que HTTPS pour la connexion et que cela n'est pas sécurisé ne devrait pas vous faire accuser de piratage. C'est quelque chose de immédiatement visible publiquement en regardant le site.

Il existe de nombreuses façons de détecter des vulnérabilités qui pourraient en fait être considérées comme du piratage (par exemple, exécuter un scanner de vulnérabilité contre une cible contre laquelle vous n'êtes pas autorisé à l'exécuter), mais je n'en ai pas connaissance. juridictions qui envisageraient de consulter la page et de reconnaître une faille immédiatement visible comme étant du piratage. Ce serait un peu comme marcher près d'une maison, remarquer que quelqu'un laissait sa porte ouverte quand il partait et être accusé d'être un voleur quand vous lui avez fait remarquer qu'il a laissé la porte ouverte (alors que vous n'êtes même pas debout sur leur propriété.)

Pour une raison quelconque, cet article semble attirer beaucoup de commentaires qui ne sont pas `` dans le but de clarifier ou de demander des mises à jour '', mais semblent plutôt se concentrer sur des anecdotes et des articles de presse vaguement liés. Plutôt que de laisser cela dégénérer en argument, je vais simplement les supprimer tous. N'hésitez pas à discuter du sujet dans [chat] car nous aimons discuter là-dedans :-)
Gustek
2014-10-29 20:33:51 UTC
view on stackexchange narkive permalink

S'ils ignorent vos e-mails, vous pouvez essayer de les signaler à l'organisation responsable de l'application de la loi sur la protection des données. Je ne sais pas d'où vous venez, au Royaume-Uni, ce serait http://ico.org.uk/concerns

Ils ont la responsabilité de protéger vos données.

Merci d'avoir signalé une telle organisation, mais je suis au Canada. Voyons si je peux trouver quelque chose d'équivalent.
Pour le Canada, c'est le commissaire fédéral à la protection de la vie privée, http://uk.practicallaw.com/6-502-0556#a588373
Les agences provinciales de protection de la vie privée conviendraient mieux (les lois sur la protection de la vie privée varient d'une province à l'autre).
Je ne pense pas que cela réponde à la question, car rien n'empêche le commissaire à la protection de la vie privée d'accuser également le demandeur d'être un pirate informatique. (Je sais maintenant probablement, mais c'était sa question)
Autant que je sache, lorsque vous dénoncez quelqu'un au commissaire à la protection de la vie privée, celui-ci fera sa propre enquête pour confirmer vos préoccupations, mais il ne cherchera pas à savoir comment vous l'avez appris. Il est signalé partie qui pourrait vous accuser de les avoir piratés.
schroeder
2014-10-29 19:40:11 UTC
view on stackexchange narkive permalink

Premièrement, vous ne pouvez rien faire faire à personne. En tant qu'ancien diplômé, vous pouvez faire part de vos préoccupations personnelles concernant la divulgation de vos informations d'identification, mais c'est à peu près tout.

Je ne sais pas comment quiconque considérerait vos actions déclarées comme du piratage, mais cela dépend de votre juridiction. Dans le mien, capturer vos propres paquets n'est pas du tout illégal.

Il est malheureux que le support informatique vous ait transféré vers la corbeille générale, mais vous devez suivre leurs procédures.

Y a-t-il des endroits où la capture de vos propres paquets est illégale? o_O Cela semble fou…
J'ai essayé de vérifier ma mémoire, mais peut-être que la discussion était plus pertinente il y a longtemps. La théorie juridique relevait de la "visualisation du code" sans permettre au "compilateur" (le navigateur) de le restituer, et était donc considérée comme un "accès non autorisé". À ce stade, je ne trouve aucune preuve que la capture de vos propres paquets sur un serveur via Internet est illégale.
souvenez-vous de l'intention criminelle, l'ignorance de la loi peut en fait être la défense juridique la plus solide (pas un avis juridique) Droit pénal américain
La capture de vos propres paquets est souvent l'une des premières phases de l'ingénierie inverse, et dans de nombreux endroits, l'ingénierie inverse peut avoir des implications juridiques négatives.
Aaron Digulla
2014-10-30 18:47:33 UTC
view on stackexchange narkive permalink

Voici mon approche:

Essayez de savoir si votre université a une personne responsable de la sécurité. Peut-être qu'ils ont une entreprise qui fait cela ou qu'ils ont un département. Si tel est le cas, essayez de contacter ces personnes. Ils savent souvent de quoi vous parlez.

Lorsque vous les contactez, vous n'avez pas besoin de leur parler de WireShark. Dites "J'ai remarqué que le site utilise HTTP et, puisque je travaille dans le domaine de la sécurité informatique, je sais que cela signifie que mon nom et mon mot de passe seront envoyés sur Internet sans aucune protection d'aucune sorte. Toute personne malveillante sur un réseau entre vous et moi pourrait voler mon identité de cette façon. En êtes-vous conscient? "

Le premier objectif est donc:" J'ai trouvé un risque et je sais de quoi je parle ". Puis voyez comment ils réagissent. Ce n'est pas une situation potentiellement mortelle. Ce n'est pas grave si cela prend quelques jours à résoudre. Vous pouvez utiliser plusieurs mails pour faire valoir votre point de vue.

S'ils refusent de vous croire, donnez-leur une recette comment ils peuvent voir par eux-mêmes (installez Wireshark, utilisez cette règle, connectez-vous, regardez en arrière quoi Wireshark vous montre). De cette façon, ils exécutent le «mauvais» outil. A aucun moment, vous n'avez besoin de leur dire ce que vous avez fait sur votre propre ordinateur. Si vous appuyez dessus, vous pouvez dire "J'ai utilisé les outils de sécurité de mon entreprise pour capturer les données que mon navigateur vous envoie et je l'ai vu ..."

Corey Ogburn
2014-10-30 20:04:31 UTC
view on stackexchange narkive permalink

TL; DR - Être professionnel et humble ira un long chemin. Être secret, orgueilleux ou malveillant ne se terminera évidemment pas si bien. Si vous travaillez calmement et en privé avec eux, ils feront probablement de même.

Cela ressemble presque à la façon dont j'ai commencé à trouver des problèmes avec la sécurité de mon université. Mon université mettait l'identifiant de l'étudiant dans un cookie et c'est avec qui vous étiez connecté. Si vous avez manipulé le cookie, vous vous êtes connecté comme celui que vous vouliez. C'est cette découverte qui m'a amené à approfondir leur sécurité. Ils avaient également un serveur de messagerie non sécurisé qui relayerait tout sans authentification. Les noms de fichiers des images dans le répertoire de l'école n'étaient qu'un codage étrange de la pièce d'identité de cet élève. À un moment donné, je pouvais rechercher un SSN et obtenir le nom d'un élève.

J'ai trouvé ces bogues petit à petit. Cela a commencé par un sentiment de "mes informations doivent être en sécurité et ce n'est pas le cas" et je voudrais signaler la dernière faille que j'ai découverte au service informatique. Après environ la troisième fois que j'ai rapporté quelque chose, j'ai commencé à me sentir à la fois en colère et supérieur au département. Toutes les deux semaines, je serais dans le bureau du vice-président des technologies pour montrer une nouvelle façon d'obtenir les SSN ou les dossiers financiers des étudiants dès 1995 ou une technique de harceleur pour déterminer tout le programme de classe de quelqu'un (y compris leur note dans cette classe. ). Le VP a également commencé à devenir hostile avec moi. J'avoue que je n'ai peut-être pas eu la meilleure attitude après les 6 mois. À un moment donné, j'ai été expulsé pendant environ 3 semaines quand ils ont appris que j'essayais de faire de l'ingénierie inverse sur leur encodage (lien ci-dessus). Je voulais leur montrer quels trous étaient vulnérables lorsqu'un individu ne travaillait pas avec eux et qu'ils étaient dans le noir. Finalement, nous l'avons réglé, mais il y avait beaucoup de colère, de paperasse et d'ego qui circulaient entre-temps des deux côtés.

Ce que j'essaie de faire valoir, c'est que le service informatique a travaillé avec moi bien que je sois un idiot. Ils ont réglé les problèmes et l'école est mieux lotie. Tant que j'étais franc sur mes intentions et ouvert sur ce que je faisais, ils ne me menaçaient ni ne me gênaient. Ce n'est que lorsque je travaillais en secret qu'ils ont pris des mesures disciplinaires. J'étais partout avec des choses qui pourraient absolument être considérées comme du piratage, y compris les attaques par injection, l'ingénierie sociale, l'ingénierie inverse, le reniflage de paquets, l'analyse de port, les exploits logiciels personnalisés, et plus encore. Comme je n'ai jamais rien changé et que je leur ai toujours (enfin ... généralement) rapporté mes découvertes calmement et directement, ils ont travaillé avec moi. Je n'ai aucun doute que si je n'étais pas un âne, je n'aurais pas été temporairement expulsé.

Douglas Held
2014-10-31 13:15:46 UTC
view on stackexchange narkive permalink

Il existe un service fourni par Hewlett-Packard Tipping Point appelé Zero Day Initiative. http://www.zerodayinitiative.com/

Voici comment cela fonctionne.

  1. Ils ACHETENT la vulnérabilité de votre part
  2. HP Tipping Point protège sa clientèle d'utilisateurs de pare-feu intelligents
  3. ZDI travaille avec le fournisseur pour essayer de résoudre le problème (cela peut généralement prendre 6 mois)
  4. Si le fournisseur ne répond pas ou ne bouge pas, ZDI signale la vulnérabilité publiquement.

Comme vous pouvez le voir, vous avez terminé à l'étape 1, et vous obtenez de l'argent et vous restez anonyme.

Ce site est maintenant dans mes favoris ...
SLEZ
2014-10-29 20:24:43 UTC
view on stackexchange narkive permalink

Il est parfois très difficile d'expliquer l'importance de la sécurité aux gens. Certaines personnes ne comprennent tout simplement pas la sécurité et d'autres pensent que leur système ne sera jamais compromis. Le signalement d'une menace de sécurité est parfois ignoré ou prend beaucoup de temps à être corrigé. D'après mon expérience pour faire passer votre message pour améliorer la sécurité, je ferais une démonstration de l'attaque. Lorsque vous faites une démonstration d'une attaque, je vous suggère d'utiliser votre propre boîte où vous pouvez configurer un environnement similaire. En faisant cela, vous pouvez montrer visuellement aux gens comment les données peuvent être volées.

Une démonstration fonctionnerait pour les personnes au sein de votre propre organisation, mais pour la situation du PO, cela pourrait ne pas être possible.
@schroeder D'accord. De plus, les autorités peuvent mal comprendre mes motivations et m'arrêter. Ce hacker a trouvé des vulnérabilités, mais d'autres ne les ont pas bien prises. http://motherboard.vice.com/en_ca/blog/the-mounties-are-wrong-about-canadas-heartbleed-hacker
tylerl
2014-11-01 09:38:35 UTC
view on stackexchange narkive permalink

C'est une question assez difficile, car les entreprises et les universités ont une longue et fière histoire de réagir avec hostilité et de tirer sur le messager dans des cas comme celui-ci. Et rien ne garantit que vous ne serez pas poursuivi pour rien de plus que d'avoir remarqué leur insécurité. Ils n'ont peut-être pas de dossier contre vous, mais cela ne veut pas dire qu'ils ne peuvent pas vous rendre malheureux.

Voici donc quelques idées qui pourraient vous aider.

  • Rester anonyme : il existe de nombreuses façons de protéger votre identité. Je ne les aborderai pas ici, mais pour la plupart, vous n'avez pas à vous identifier pour divulguer une vulnérabilité. Si vous craignez des représailles, il vaut peut-être mieux que vous ne le fassiez pas.

  • Ne pas divulguer directement: Ce serait l'idéal pour que vous traitiez le problème en privé, cela vous offre peu ou pas de protection s'ils décident de riposter. La divulgation de la vulnérabilité via un tiers de confiance vous protège en quelque sorte d'une action directe en les empêchant de contrôler l'histoire. La divulgation indirecte est souvent un moyen de préserver l’anonymat.

  • Concentrez-vous sur leur négligence plutôt que sur leur vulnérabilité : Si vous supposez de manière préventive un niveau moral élevé, attaquer vous les qualifierait de plus de négligence, plutôt que moins . Il est extrêmement difficile (et extrêmement rare) pour un service qui a été principalement accusé de négligence de dépeindre son dénonciateur comme un criminel. Le simple fait de souligner leur mauvaise sécurité ne vous confère aucune supériorité morale et leur donne la possibilité de se présenter comme des victimes en vous accusant d'inconduite criminelle. Ne leur donnez pas ça.

Stephen P.
2014-11-02 22:26:50 UTC
view on stackexchange narkive permalink

À en juger par ce que vous avez dit, il n'y a aucune preuve de votre tentative de piratage. Vous avez simplement surveillé les demandes entrantes et sortantes de votre propre réseau.

Si vous restez fidèle à la situation, essayez de contacter le commissaire à la protection de la vie privée au Canada pour voir ce qu'il recommande. https://www.priv.gc.ca/

Nicholas
2014-10-30 01:50:17 UTC
view on stackexchange narkive permalink

Cela ressemble plus à une question de psychologie / sociologie qu'à une question de sécurité, car le problème semble être la meilleure façon de communiquer avec une autre partie et de la convaincre de prendre une action spécifique. Je ne peux pas croire qu'une accusation de «piratage» puisse avoir de réelles ramifications juridiques pour les raisons que d'autres réponses ont expliquées.

Une approche alternative à celles ci-dessus est de pratiquer une infraction sévère. S'ils refusent d'accuser réception de vos e-mails, envoyez-en un semi-menaçant sur un ton poli mais ferme en expliquant que s'ils ne corrigent pas cette vulnérabilité de sécurité pour protéger vos données personnelles, vous devrez peut-être intenter une action en justice. pour vous protéger. Cela peut être pratique ou non, en fonction des informations personnelles qu'ils stockent réellement.

Cette approche crée naturellement une interaction conflictuelle, alors réfléchissez bien avant de vous engager dans cette voie.

En tant que pros d'Info Sec, nous traitons beaucoup cette situation, et c'est une question valide d'Info Sec sur ses propres mérites: connaître les détails techniques d'une vulnérabilité n'est que la moitié de la bataille, la communiquer aux personnes chargées de la corriger et de travailler. avec eux, c'est l'autre moitié. Cela ne peut pas être réduit. Des poursuites judiciaires menaçantes n'auront pas beaucoup de succès.
@schroeder Pouvez-vous apporter la preuve de cette affirmation? Je suis surpris des votes négatifs. Le PO a répertorié de meilleures options, mais elles ont été essayées et ont échoué. Je ne suggère pas une menace légale comme la première chose à essayer, mais étant donné l'absence d'autres options viables qui n'ont pas déjà été essayées et qui n'ont pas échoué, cela fournit une autre façon possible d'apporter des changements. Les organisations et les entreprises agissent de manière égoïste et ne changent souvent pas à moins qu'elles ne voient une menace pour elles-mêmes. Cela fournit ce qui est nécessaire pour initier un changement.
J'ajouterais également que la réponse acceptée à la première question liée est essentiellement le même conseil. Nuire à l'entreprise en supprimant les bénéfices, en créant une mauvaise publicité ou en signalant les employés au PDG. Cela ne semble pas très différent de (en fait, cela semble moins grave que) menacer la suppression du profit en tirant parti du système judiciaire.
J'ai fait 2 affirmations dont vous aimeriez avoir la preuve?
Si l'affirmation «action en justice / traction»: le PO est du Canada, et je peux vous assurer par expérience personnelle, cette action en justice ne serait prise au sérieux que s'il y avait une perte réelle (c'est-à-dire un véritable compromis). Le grand public qui menace de poursuites judiciaires sans perte est considéré comme du bruit.
@schroeder oui, soit la responsabilité pour une perte ou un acte criminel de «mauvaise intention».


Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 3.0 sous laquelle il est distribué.
Loading...