Comment procéder avec un pirate à chapeau blanc se réclamant d'une vulnérabilité?
Je suis membre de la sécurité d'une petite entreprise qui a récemment été contactée par quelqu'un prétendant être un membre Hackenproof. Ils signalaient que notre site Web était indexé par googlebot (métadonnées, contenu de page mince, problèmes de texte d'ancrage) et une vulnérabilité XSS.
Nous n'avons pas encore de déclaration légale que je connaisse concernant VDP (politique de divulgation de vulnérabilité).
Mes questions:
- Fondamentalement, comment procéder ou même devrions-nous? (Sont-ils légitimes?)
- Quelle est l'attente commune d'un pirate blanc?
- Comment valider la vulnérabilité?
Pour répondre à chacune de vos questions:
1. Fondamentalement, comment procéder ou même devrions-nous?
Je recommande de continuer. Vous pourrez acquérir des informations précieuses qui pourront être immédiatement mises à profit pour améliorer la sécurité de votre entreprise. Vous ne nous avez pas dit ce que le chercheur vous a envoyé, mais ils auront soit une description de la vulnérabilité, soit des méthodes pour la reproduire. Pour procéder, vous aurez besoin d'eux:
Une description/scénario d'attaque de la vulnérabilité trouvée. Pourquoi est-ce un problème, qu'est-ce que le bogue permet spécifiquement à un attaquant de faire qu'il ne devrait pas être en mesure de faire, quel est le pire scénario/la gravité de la découverte.
Étapes de reproduction. Quelles étapes pourriez-vous donner à n'importe quel ingénieur et lui permettre de reproduire le bogue à chaque fois.
Ce que le pirate recherche en retour. Comme mentionné, il peut être permis de publier les résultats après fixation ou argent.
Vous pouvez également souhaiter ou recevoir des conseils de correction, des scores de risque, etc. du chercheur.
TRÈS IMPORTANT: indiquez clairement au chercheur que vous vous attendez à ce qu'il garde le problème confidentiel jusqu'à ce que le problème soit résolu. Ils peuvent contrer avec une fenêtre de correction, par exemple ils peuvent publier et publier un article si le problème n'est pas résolu dans les 60 jours. Ceci est une pratique courante et devrait être acceptable pour la plupart des entreprises ayant une forte posture de sécurité.
2. Quelle est l'attente commune d'un pirate (chapeau) blanc?
Cela dépend du chercheur, mais il voudra probablement obtenir la permission de publier le résultat une fois qu'il a été corrigé ainsi qu'une récompense monétaire. Les prix des récompenses sont basés sur la gravité et la taille globales du programme de primes. Hackerone, une grande plate-forme de primes de bogues, a une matrice qui suggère des paiements par rapport à la taille du programme d'entreprise/de primes: https://www.hackerone.com/resources/bug-bounty-basics . Déterminer le prix de paiement est un art subtil - je recommande de rechercher des hackerones ou d'autres plateformes de primes de bogues pour des bogues similaires et de baser votre paiement sur ce que d'autres sociétés paient pour le même problème.
Encore une fois - les chercheurs s'attendent généralement à ce qu'ils puissent publier les résultats dans un certain laps de temps, qu'ils aient été corrigés d'ici là. 60 jours, c'est courant, mais je n'accepterais pas un délai si vous n'êtes pas sûr que votre entreprise puisse livrer dans cette fenêtre. Une fois le problème corrigé, le pirate peut vouloir vérifier que le correctif a été correctement implémenté.
3. Comment valider?
Utilisez les étapes de reproduction que le pirate vous a données. Ils doivent être suffisamment clairs pour que tout ingénieur puisse suivre exactement les étapes et reproduire le bogue. S'il y a des problèmes ici, vous pouvez retourner voir le chercheur et obtenir des éclaircissements. Il incombe aux chercheurs de fournir à l'entreprise des étapes de reproduction qui décrivent et identifient le bogue.
Une fois le problème résolu, vous pouvez inviter le chercheur à valider le correctif et à vous assurer qu'il a été complètement corrigé.
Hackenproof semble être un site Web auquel tout le monde peut s'inscrire, donc dire que vous êtes membre de Hackproof équivaut à dire que vous êtes membre de Facebook. Ce n'est pas un groupe de hackers exclusif.
Il n'y a pas de moyen standard formalisé de procéder dans une telle situation, car votre entreprise, votre entreprise, le bogue et le chapeau blanc vont tous varier considérablement. Une taille unique ne convient pas à tous.
En général, il est conseillé d'être prudent mais curieux. Soyez prudent, mais pas paranoïaque et vindicatif. Ne fournissez aucune information interne au chapeau blanc, essayez d'obtenir autant d'informations que possible tout en révélant peu ou rien. Beaucoup de ces personnes aiment parler pour montrer leur propre expertise. Laissez-les faire. Il y a peu de mal qui peut se produire si l'information ne circule que dans un sens. Demandez-lui le code source ou une description détaillée du problème. Ensuite, analysez le code/description et écrivez votre propre exploit (et ne compilez pas ou n'exécutez pas le code des chapeaux blancs), en l'exécutant sur une instance de test, de préférence aussi isolée que possible de tout autre environnement.
En ce qui concerne les responsabilités de chaque partie, la plupart des personnes qui prétendent être des pirates informatiques de nos jours pratiqueront une divulgation responsable et ne publieront pas le bogue dans le monde jusqu'à ce qu'il soit corrigé. Votre responsabilité est de corriger le bogue (s'il est suffisamment grave) dans un délai raisonnable (plusieurs semaines, pas des années). Si votre entreprise propose des primes, elles doivent être payées si le bug répond aux critères. Sinon, le chapeau blanc devrait accepter qu'ils ne seront probablement pas payés, mais vous devez accepter qu'ils pourraient libérer le bogue au grand public s'il n'est pas corrigé dans un délai raisonnable.
Je ne sais pas s'il y a des règles strictes et rapides ici. Traitons cela comme une théorie des jeux:
Ce que le chercheur veut
Habituellement:
- Crédit public pour la découverte, tel qu'un CVE ou un document de recherche.
- Parfois de l'argent sous la forme d'une prime de bug.
Ce que tu veux
Habituellement:
- Ne pas être humilié publiquement.
- Pour améliorer la sécurité de votre produit.
La façon de procéder
Du point de vue de la théorie des jeux, la situation gagnant-gagnant est pour eux de vous divulguer les détails, pour que vous les corrigiez et pour qu'ils obtiennent leur crédit public. Vous devriez établir un appel téléphonique avec le chercheur et demander une démonstration - vous avez tout à gagner et à ne rien perdre. Sachez qu'avant de vouloir vous montrer les détails, le chercheur peut vouloir un NDA ou un autre contrat légal garantissant qu'il obtiendra son crédit à la fin.
Je voudrais peut-être noter qu'ils sont probablement assez nouveaux pour cela aussi, il y a beaucoup de `` pros '' et si c'est ainsi que vous gagnez votre vie, vous avez probablement un processus, mais cela implique généralement un accord avec une entreprise avant vous commencez le travail. Mais même alors, cela varie entre les entreprises et le type d'emploi.
Cela me semble cependant être un passionné. Je doute vraiment qu'il y ait quoi que ce soit à perdre de parler au gars. Il peut avoir des attentes irréalistes, mais que perdez-vous?
Note de côté, désolé si cela est condescendant, mais je pense qu'il faut le dire: il est au moins concevable que cela soit destiné à être un moyen pour vous d'être "eu", "pouvons-nous avoir une discussion rapide sur certains des détails de mise en œuvre de votre système "est quelque chose que vous devriez probablement dire" non "à, même surtout s'ils viennent offrir une carotte.
Pour faire écho à ce que quelqu'un a dit dans un commentaire, ce serait une bonne chose à faire pour essayer d'exclure une arnaque ou une extorsion. Voici quelques éléments à considérer.
Y a-t-il une quelconque mention de paiement en réponse à des informations - même une sorte de "frais administratifs"? En supposant que vous n'avez pas de prime de bogue préexistante, un chercheur légitime n'est pas susceptible de demander de l'argent - il veut que le bogue soit corrigé et la possibilité d'obtenir un crédit pour le trouver. Demander de l'argent pourrait être considéré comme une tentative d'extorsion ou, au mieux, contraire à l'éthique.
Les étapes de reproduction sont-elles suffisamment vagues pour ne pas vous aider à les reproduire? Demandez à vos ingénieurs de les enquêter tôt pour savoir exactement ce que vous avez et vérifier qu'il existe une vulnérabilité, même mineure. Sont-ils un peu réticents à donner des détails même si vous suivez les pratiques normales? Si, quoi que vous fassiez, la vulnérabilité reste vague et non confirmée, vous n'avez peut-être pas affaire à un rapport légitime.
Semblent-ils trop désireux de connaître des informations sur le fonctionnement de votre logiciel ou même des informations sur votre entreprise ou votre entreprise?
Si la personne prétend représenter un groupe, pouvez-vous vérifier qu'elle le fait réellement?
La façon normale de procéder serait d’assurer au journaliste que vous vous êtes engagé à corriger le bogue, de lui donner un délai pour l’expédition du correctif (il peut avoir déjà spécifié le délai qu’il souhaite, mais si cela semble déraisonnable, négociez) après quoi ils peuvent publier. Ou, voyez si vous pouvez demander un délai de grâce par la suite au cas où ils retesteraient et trouveraient que la vulnérabilité existe toujours sous une forme ou une autre.
Donner de l'argent en récompense est un peu un dilemme éthique, d'une part, il est bon de récompenser, mais d'autre part, si vous n'avez pas de bug bug, cela risque d'encourager la pratique de trouver des vulnérabilités et d'attendre des paiements, ce qui se rapproche au comportement du chapeau noir. Encore une fois, méfiez-vous s'ils ont d'abord soulevé la question de l'argent, même si vous avez l'intention d'en donner. Mais si vous le faites, il serait préférable pour tous de mettre en place une sorte de programme officiel de prime aux bogues.