Question:
Comment procéder avec un hacker white-hat réclamant une vulnérabilité?
Vcode
2019-02-14 01:59:04 UTC
view on stackexchange narkive permalink

Je suis membre de la sécurité d'une petite entreprise qui a récemment été contactée par une personne prétendant être un membre Hackenproof. Ils signalaient que notre site Web était indexé par googlebot (métadonnées, contenu de page mince, problèmes de texte d'ancrage) et une vulnérabilité XSS .

Nous n'avons pas encore de déclaration légale à ma connaissance concernant VDP (politique de divulgation de vulnérabilité).

Mes questions:

  1. En gros, comment continuer ou même devrions-nous? (Sont-ils légitimes?)
  2. Quelle est l'attente commune d'un hacker blanc?
  3. Comment valider la vulnérabilité?
selon https://hackenproof.com/#how-it - "Les vulnérabilités sont soumises et gérées via notre plateforme de coordination."êtes-vous sûr de ne pas avoir été contacté par hackenproof eux-mêmes?tout leur modèle commercial consiste à créer des programmes de primes aux bogues pour des entreprises comme la vôtre qui ne sont pas vraiment axées sur la sécurité.leurs «membres» se disputent simplement des primes de bogues, ils ne contactent pas eux-mêmes les entreprises. si ce n'est pas l'entreprise, quelqu'un semble vous ingénier socialement
Le moins que vous puissiez faire est d'informer le responsable de la sécurité de votre entreprise que vous avez été contacté et informé d'une vulnérabilité xss.Le fait de ne pas révéler d’informations relève du bon sens.
Semble terriblement similaire à [this] (https://security.stackexchange.com/q/178076/168620)
Peut-être lié: [Notre bureau est en feu.Nous n'avons pas encore de politique d'intervention en cas d'incendie.Devrions-nous rester sur place ou en écrire un à la hâte, ce qui est évidemment loin d'être idéal?] (
Notez qu'en vertu du RGPD, vous êtes tenu d'informer les autorités compétentes dans les 72 heures suivant une violation de données.Peut ne pas s'appliquer à vous si vous n'avez aucun client de l'UE, mais si vous le faites, vous voudrez commencer hier.
@Harper Ce n'est pas une bonne comparaison, je pense que ma question est claire sur la façon de répondre au journaliste et sur quels points devrions-nous considérer pour garantir que le journaliste / vulnérabilité est légitime.
Quoi que vous fassiez, veuillez ne pas [tirer un Oracle] (https://web.archive.org/web/20150811052336/https://blogs.oracle.com/maryanndavidson/entry/no_you_really_can_t) et essayer de poursuivre le blancchapeau.
Lorsque vous dites «contacté», voulez-vous dire «envoyé par e-mail»?"métadonnées, contenu de page mince, problèmes de texte d'ancrage" - c'est la partie qui déclenche l'alarme avec moi et crie _spammer_, essayant d'obtenir des affaires / de l'argent.Pourquoi soulever des problèmes «potentiels» qui ne sont pas liés au problème de sécurité principal (à moins qu'il n'y ait pas de «problème de sécurité principal» et qu'ils veuillent vraiment travailler sur votre site Web)?
La vulnérabilité @Cubic XSS n'est pas une violation de données à moins que l'entreprise ne découvre que la vulnérabilité a été utilisée pour violer quelque chose.Cela fait également 72 heures à partir du moment où vous avez appris la brèche, pas quand un mec au hasard a dit qu'il y en avait une.
Cinq réponses:
Buffalo5ix
2019-02-14 03:19:05 UTC
view on stackexchange narkive permalink

Pour répondre à chacune de vos questions:

1. En gros, comment procéder ou même devrions-nous?

Je recommande de continuer. Vous pourrez acquérir des informations précieuses qui pourront être immédiatement mises à profit pour améliorer la sécurité de votre entreprise. Vous ne nous avez pas dit ce que le chercheur vous a envoyé, mais ils auront soit une description de la vulnérabilité, soit des méthodes pour la reproduire. Pour continuer, vous aurez besoin d'eux:

  • Une description / scénario d'attaque de la vulnérabilité trouvée. Pourquoi est-ce un problème, qu'est-ce que le bogue permet spécifiquement à un attaquant de faire ce qu'il ne devrait pas être en mesure de faire, quel est le pire scénario / gravité de la découverte.

  • Etapes de reproduction. Quelles étapes pourriez-vous donner à un ingénieur et lui permettre de reproduire le bogue à chaque fois.

  • Ce que le hacker recherche en retour. Comme mentionné, il peut s'agir d'une autorisation de publier la conclusion après avoir fixé ou payé de l'argent.

  • Vous pouvez également souhaiter ou recevoir des conseils de correction, des scores de risque, etc. de la part du chercheur.

TRÈS IMPORTANT: indiquez clairement au chercheur que vous vous attendez à ce qu'il garde le problème confidentiel jusqu'à ce que le problème soit résolu. Ils peuvent contrer avec une fenêtre de correction, par exemple ils peuvent publier et publier des articles si le problème n'est pas résolu dans les 60 jours. C'est une pratique courante et devrait être acceptable pour la plupart des entreprises ayant une solide posture de sécurité.

2. Quelle est l'attente commune d'un hacker blanc (chapeau)?

Cela dépend du chercheur, mais il voudra probablement l'autorisation de publier le résultat une fois qu'il a été corrigé, ainsi qu'une récompense monétaire. Les prix des récompenses sont basés sur la gravité globale et la taille du programme de primes. Hackerone, une grande plate-forme de primes de bogues, dispose d'une matrice qui suggère des paiements par rapport à la taille de l'entreprise / du programme de primes: https://www.hackerone.com/resources/bug-bounty-basics. Déterminer le prix de paiement est un art subtil - je recommande de rechercher des bogues similaires sur hackerone ou d'autres plates-formes de primes de bogues et de baser votre paiement sur ce que d'autres entreprises paient pour le même problème.

Encore une fois - une attente commune des chercheurs est qu'ils peuvent publier les résultats dans un certain laps de temps, qu'ils aient ou non été corrigés d'ici là. 60 jours est courant, mais je ne serais pas d'accord avec un délai si vous n'êtes pas sûr que votre entreprise peut livrer dans cette fenêtre. Une fois le problème corrigé, le pirate peut vouloir valider que le correctif a été correctement implémenté.

3. Comment valider?

Utilisez les étapes de reproduction que le hacker vous a données. Ils doivent être suffisamment clairs pour que tout ingénieur puisse suivre exactement les étapes et reproduire le bogue. S'il y a des problèmes ici, vous pouvez retourner voir le chercheur et obtenir des éclaircissements. Il est de la responsabilité des chercheurs de fournir à l'entreprise des étapes de reproduction qui décrivent et identifient le bogue.

Une fois le problème résolu, vous pouvez inviter le chercheur à valider le correctif et à vous assurer qu'il a été complètement corrigé.

Le rapport est sur XSS et contient la partie remédiation et reproduction.il s'agit d'une fenêtre contextuelle qui prétend qu'un attaquant peut effectuer des attaques de phishing avancées, effectuer des transactions de paiement non autorisées ou effectuer des actions arbitraires au nom de la victime.
Merci pour le contexte!Les XSS peuvent varier en gravité, s'ils peuvent vraiment effectuer des transactions de paiement non autorisées comme ils le disent, c'est certainement un problème critique.Assurez-vous bien sûr de valider cette affirmation!Il est très difficile de parler de chiffres sans avoir une idée de la taille de votre entreprise ou de votre équipe de sécurité - je considérerais moins de 3000 $ comme un paiement insultant ** en supposant ** que vous pouvez vraiment tirer parti de ce XSS pour drainer des fonds.Sinon, déterminez la pire chose que vous puissiez faire avec cette attaque: entre 500 et 3000 $ serait typique pour XSS.
+1, bonne réponse.Une petite critique.À moins qu'une prime de bogue n'ait déjà été établie, je ne pense pas que vous devriez en payer une, même si cela est demandé.Cela transforme la relation d'un contrat social en un contrat de marché.Les contrats sociaux offrent généralement plus de valeur que les contrats du marché et fonctionnent bien pour les petites entreprises, car ils peuvent maintenir des contrats sociaux beaucoup plus facilement que les grandes entreprises.Si vous le transformez en argent, c'est un jeu de balle complètement différent.Donner du crédit là où le crédit est dû est plus conforme au contrat social.
Bon point @SteveSether et mérite vraiment d'être pris en considération.Au risque de transformer ce fil de commentaires en une discussion prolongée: je préconise personnellement de payer pour les résultats dans le but d'apaiser le chercheur pendant que le bogue est en direct.Vous avez raison de dire qu'apporter de l'argent dans le mélange brouille les eaux, mais je considère que c'est un mal nécessaire de créer de la bonne volonté avec le chercheur et de lui donner une raison de maintenir la confidentialité jusqu'à ce qu'une solution soit mise en œuvre.
@Buffalo5ix Je pense que le problème est que votre réponse la présente comme une attente.Personnellement, si aucun programme de prime de bogue n'est établi, je m'attends à ce que le bogue soit corrigé en temps opportun et que je puisse le publier.Je n'attends pas d'argent (et je ne le demanderais certainement pas, à cause des implications éthiques et juridiques).Je le présenterais comme une action facultative qui pourrait être utilisée pour créer de la bonne volonté, au lieu d'une attente qui doit être satisfaite.
Comment pourrais-je prétendre être capable d'effectuer des transactions de paiement non autorisées sans être un criminel qui a commis un crime d'une valeur allant jusqu'à 10 ans de prison?Comment me feriez-vous confiance, étant un criminel?
@Damon Prendre conscience des vulnérabilités d'un site Web (même un site Web capable d'initier des transactions de paiement) n'est pas un crime.Vous n'avez pas besoin de mener une attaque pour savoir que c'est possible.
@Damon en effectuant toutes les étapes sauf pour effectuer réellement la transaction finale de sorte que vous sachiez maintenant avec une confiance raisonnable que * si vous aviez appuyé sur un bouton *, la transaction serait passée.Bien sûr, puisque votre objectif était simplement de voir si l'attaque était possible sans le faire réellement, vous n'êtes pas un criminel.Vous testez le site dans le but d'alerter le propriétaire.
@SteveSether La réponse attend un apport significatif en temps et en efforts de la part du rapporteur de bogues.Certes, il y a des gens qui font cela juste pour la reconnaissance, mais si vous vous attendez à ce qu'ils adoptent une attitude professionnelle à ce sujet, il est juste que l'entreprise adopte également une attitude professionnelle.Ce qui, comme tout autre travail spécialisé sous-traité, mérite d'être payé en échange d'expertise et de temps.
@Graham Vous voudrez peut-être regarder OSS, et ce même forum pour des contre-exemples de ce que vous décrivez ci-dessus.Beaucoup de gens font des choses par amour, pas pour de l'argent.Vous n'êtes pas obligé d'être d'accord avec cela, mais vous devez le reconnaître.
@SteveSether Je ne conteste pas que les gens puissent le faire juste pour le plaisir, mais l'entreprise qui propose de les payer pour l'effort qu'ils déploient est un marqueur de la façon dont l'entreprise valorise cet effort.Si le chapeau blanc choisit de le donner à une œuvre de charité, ou le refuse, c'est bien.Cela devient alors un choix pour le chapeau blanc, au lieu que l'entreprise suppose simplement qu'elle fera tout ce travail pour une récompense nulle.
@Graham Mon point est plus que les contrats sociaux sont plus précieux que ceux du marché, en particulier pour (dans ce cas) une petite entreprise.Les entreprises ont la capacité d'établir l'une ou l'autre, et le contrat social doit être évalué s'il convient.Certaines entreprises peuvent être plus adaptées à un marché, et c'est très bien.C'est juste que la valeur sociale et les contrats sociaux ne sont pas bien reconnus dans le monde des affaires et qu'ils méritent plus d'attention.
@SteveSether Sont-ils plus précieux?Ils peuvent sensibiliser, bien sûr, mais la sensibilisation n'a pas la même valeur, comme tout le monde sur Internet au début des années 2000 peut vous le dire.Et si vous voulez donner aux gens le droit de se vanter, vous devez faire connaître ce qu'ils ont fait.Pour ce genre d'échec épique d'une petite entreprise, l'entreprise porte un toast si elle devient publique.S'ils ont trouvé un vrai vuln, payez-les et NDA eux.
Steve Sether
2019-02-14 02:50:35 UTC
view on stackexchange narkive permalink

Hackenproof semble être un site Web auquel tout le monde peut s'inscrire, donc dire que vous êtes membre de Hackproof équivaut à dire que vous êtes membre de Facebook. Ce n'est pas un groupe de hackers exclusif.

Il n'y a pas de méthode standard formalisée pour traiter une telle situation, car votre entreprise, votre entreprise, le bogue et le chapeau blanc vont tous varier considérablement. Une taille unique ne convient pas à tous.

En général, il est conseillé d'être prudent mais curieux. Soyez prudent, mais pas paranoïaque et vindicatif. Ne fournissez aucune information interne au chapeau blanc, essayez d'obtenir autant d'informations que possible à l'avance tout en révélant peu ou rien. Beaucoup de ces personnes aiment parler pour montrer leur propre expertise. Laissez-les faire. Il y a peu de mal qui peut se produire si les informations ne circulent que dans un seul sens. Demandez-lui le code source ou une description détaillée du problème. Ensuite, analysez le code / la description et écrivez votre propre exploit (et ne compilez pas ou n'exécutez pas le code des chapeaux blancs), en l'exécutant sur une instance de test, de préférence aussi isolée que possible de tout autre environnement.

Comme En ce qui concerne les responsabilités de chaque partie, la plupart des gens qui prétendent être des pirates informatiques de nos jours pratiqueront la divulgation responsable et ne publieront pas le bogue dans le monde tant qu'il ne pourra pas être corrigé. Votre responsabilité est de corriger le bogue (s'il est suffisamment grave) dans un délai raisonnable (plusieurs semaines, pas des années). Si votre entreprise propose des primes, elles doivent être payées si le bogue répond aux critères. Sinon, le chapeau blanc devrait accepter qu'ils ne seront probablement pas payés, mais vous devez accepter qu'ils pourraient publier le bogue au grand public s'il n'est pas corrigé dans un délai raisonnable.

"essayez d'obtenir autant d'informations que possible dès le départ tout en révélant peu ou rien."Un moyen simple de le faire: "Merci de nous avoir alerté! Pourriez-vous nous indiquer les étapes à suivre pour reproduire?"Ne révèle rien, ne promet rien, demande toutes les informations dont vous avez besoin.Je ne demanderais même pas de code source à moins que cela ne soit absolument nécessaire, étant donné que vous ne voudrez pas l'exécuter.
@jpmc26 Je pense que demander du code source sépare les prétendants et les probeurs des vrais chapeaux blancs.Certaines personnes risquent de perdre votre temps, et le code source se résume à des problèmes.
Je suis à peu près certain que fournir des étapes légitimes pour se reproduire serait tout aussi difficile s'ils n'ont pas réellement trouvé de vulnérabilité.Si c'est vraiment assez compliqué pour nécessiter du code source, quelqu'un de légitime le fournirait probablement quand on lui demandait les étapes, ou au moins offrirait de le fournir.
Mike Ounsworth
2019-02-14 02:52:26 UTC
view on stackexchange narkive permalink

Je ne sais pas s'il y a ici des règles strictes. Traitons cela comme de la théorie des jeux:

Ce que le chercheur veut

Habituellement:

  • Crédit public pour la découverte, comme un CVE ou un document de recherche.
  • Parfois de l'argent sous la forme d'une prime de bogue.

Ce que vous voulez

Habituellement:

  • Ne pas être humilié publiquement.
  • Pour améliorer la sécurité de votre produit.

Comment procéder

À partir d'une théorie des jeux perspective, la situation gagnant-gagnant est pour eux de vous divulguer les détails, pour vous de le réparer et pour eux d'obtenir leur crédit public. Vous devriez organiser un appel téléphonique avec le chercheur et demander une démo - vous avez beaucoup à gagner et ne perdez rien. Sachez qu'avant de vouloir vous montrer les détails, le chercheur peut souhaiter une NDA ou un autre contrat légal garantissant qu'il obtiendra son crédit à la fin.

ANone
2019-02-15 17:03:18 UTC
view on stackexchange narkive permalink

Cela vaut peut-être la peine de noter qu'ils sont probablement assez nouveaux dans ce domaine également, il y a beaucoup de «pros» et si c'est comme ça que vous gagnez votre vie, vous avez probablement un processus, mais cela implique normalement un accord avec une entreprise avant de commencer le travail. Mais même dans ce cas, cela varie entre les entreprises et le type de travail.

Cela me semble être un enthousiaste. Je doute vraiment qu'il y ait quelque chose à perdre à parler au gars. Il a peut-être des attentes irréalistes mais qu'est-ce que vous perdez?

Note de côté, désolé si c'est condescendant, mais je pense qu'il faut le dire: c'est au moins concevable que cela soit destiné à être un moyen pour vous d'être ' eu ', "pouvons-nous avoir une discussion rapide sur certains des détails d'implémentation de votre système" est quelque chose à laquelle vous devriez probablement dire "non", même surtout s'ils viennent offrir une carotte.

thomasrutter
2019-02-18 07:12:07 UTC
view on stackexchange narkive permalink

Pour faire écho à ce que quelqu'un a dit dans un commentaire, il serait juste d'essayer d'exclure une escroquerie ou une extorsion. Voici quelques éléments à prendre en compte.

  • Y a-t-il une mention de paiement en réponse pour information - même une sorte de "frais administratifs"? En supposant que vous n'ayez aucune prime de bogue préexistante, un chercheur légitime n'est pas susceptible de demander de l'argent - il veut que le bogue soit corrigé et la possibilité d'obtenir du crédit pour l'avoir trouvé. Demander de l'argent peut être considéré comme une tentative d'extorsion ou au mieux contraire à l'éthique.

  • Les étapes pour reproduire sont-elles suffisamment vagues pour ne pas vous aider à les reproduire? Demandez à vos ingénieurs de les étudier tôt pour savoir exactement ce que vous avez et vérifiez qu'il existe une vulnérabilité, même mineure. Sont-ils un peu réticents à donner des détails même si vous suivez les pratiques normales? Si quoi que vous fassiez, la vulnérabilité reste vague et non confirmée, vous n'avez peut-être pas affaire à un rapport légitime.

  • Semble-t-il trop désireux de savoir comment votre logiciel fonctionne ou même des informations sur votre entreprise ou votre entreprise?

  • Si la personne prétend représenter un groupe, pouvez-vous vérifier qu'elle le fait réellement?

La manière normale de procéder serait de garantir au journaliste que vous vous êtes engagé à corriger le bogue, de donner un délai pour l'envoi du correctif (il se peut qu'il ait déjà spécifié un délai qu'il souhaite, mais si cela semble déraisonnable , négocier) après quoi ils peuvent publier. Ou, voyez si vous pouvez demander une période de grâce par la suite au cas où ils re-testeraient et trouveraient que la vulnérabilité existe toujours sous une forme ou une autre.

Donner de l'argent en récompense est un peu un dilemme éthique, d'une part il est bon de récompenser mais d'autre part si vous n'avez pas de prime de bogue, cela risque d'encourager la pratique de trouver des vulnérabilités et d'attendre des paiements, qui se rapproche du comportement du chapeau noir. Encore une fois, méfiez-vous s'ils ont abordé la question de l'argent en premier, même si vous avez l'intention d'en donner. Mais si vous le faites, ce serait mieux pour tous si vous mettiez en place une sorte de programme formel de primes de bogues.



Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 4.0 sous laquelle il est distribué.
Loading...