web-dev-qa-db-fra.com

Comment signaler des vulnérabilités sans être considéré comme un hacker?

Je viens de découvrir que la page de connexion de mes anciens étudiants est tout simplement HTTP. Wireshark a confirmé que les informations d'identification sont envoyées à l'aide d'un message HTTP POST. J'ai fait un peu de recherche et, comme je le pensais, HTTPS devrait toujours être utilisé sur la page de connexion (voir est sécuriser un site pour servir la page de connexion avec HTTP, mais avoir le site réel en HTTPS? ).

Tout d'abord, j'aimerais rendre service à mon université, mais comment puis-je leur faire prendre des mesures? Il est très probable que mes données personnelles, telles que le diplôme et l'année d'obtention du diplôme, soient stockées dans la base de données des anciens. Il n'est pas surprenant que certaines organisations ne prennent pas un tel rapport au sérieux (Voir Comment signaler une vulnérabilité à une grande organisation qui ne pense pas avoir de problème? ). J'ai envoyé un e-mail au service d'assistance informatique de l'université en utilisant mon compte de messagerie des anciens, mais le personnel m'a demandé de diriger ma demande vers un e-mail de demande générale des anciens.

En plus des détails techniques, comment puis-je m'assurer qu'aucune police ne m'arrêtera pour piratage? Je n'ai pas tenté de voler des informations personnelles. Je ne suis pas intéressé à signaler cette vulnérabilité à un forum de sécurité avant que l'université ne prenne des mesures.

P.S. Je suis gêné que mon diplôme CS était de cette école.

disclosure
76
user29170

Le simple fait de signaler qu'il utilise HTTP plutôt que HTTPS pour la connexion et que cela n'est pas sécurisé ne devrait pas vous accuser de piratage. C'est quelque chose immédiatement visible publiquement en regardant le site.

Il existe de nombreuses façons de détecter les vulnérabilités qui pourraient en fait être considérées comme du piratage (par exemple, exécuter un scanner de vulnérabilités contre une cible contre laquelle vous n'êtes pas autorisé à l'exécuter), mais je ne connais aucune juridiction qui envisagerait d'examiner la page et en reconnaissant une faille qui est immédiatement visible comme un piratage. Ce serait un peu comme marcher près d'une maison, remarquer que quelqu'un laissait sa porte ouverte quand il partait et qu'il était accusé d'être un voleur quand vous leur montriez qu'il laissait la porte ouverte (alors que vous n'êtes même pas debout leur propriété.)

58
AJ Henderson

S'ils ignorent vos e-mails, vous pouvez essayer de les signaler à l'organisation responsable de l'application de la loi sur la protection des données. Je ne sais pas d'où tu viens, au Royaume-Uni ce serait http://ico.org.uk/concerns

Ils ont la responsabilité de protéger vos données.

28
Gustek

Premièrement, vous ne pouvez pas faire faire quoi que ce soit. En tant qu'ancien, vous pouvez soulever vos propres préoccupations personnelles concernant la divulgation de vos informations d'identification, mais c'est tout.

Je ne sais pas comment quelqu'un pourrait considérer vos actions déclarées comme du piratage, mais cela dépend de votre juridiction. Dans le mien, capturer vos propres paquets n'est pas du tout illégal.

Il est regrettable que le support informatique vous ait renvoyé vers le bac de messagerie général, mais vous devez suivre leurs procédures.

13
schroeder

Voici mon approche:

Essayez de savoir si votre université a une personne responsable de la sécurité. Peut-être qu'ils ont une entreprise qui fait ça ou qu'ils ont un département. Si oui, essayez de contacter ces personnes. Ils savent souvent de quoi vous parlez.

Lorsque vous les contactez, vous n'avez pas besoin de leur parler de Wirehark. Dites "J'ai remarqué que le site utilise HTTP et, comme je travaille dans la sécurité informatique, je sais que cela signifie que mon nom et mon mot de passe seront envoyés sur Internet sans aucune protection d'aucune sorte. Toute personne malveillante dans n'importe quel réseau entre vous et moi pourrait voler mon identité de cette façon. En êtes-vous conscient? "

Le premier objectif est donc: "J'ai trouvé un risque et je sais de quoi je parle". Ensuite, voyez comment ils réagissent. Ce n'est pas une situation mortelle. C'est OK si cela prend quelques jours pour résoudre. Vous pouvez utiliser plusieurs e-mails pour faire valoir votre point de vue.

S'ils refusent de vous croire, alors donnez-leur une recette pour savoir par eux-mêmes (installez Wireshark, utilisez cette règle, connectez-vous, regardez en arrière ce que Wireshark vous montre). De cette façon, ils exécutent le "mauvais" outil. À aucun moment, vous ne devez leur dire ce que vous avez fait sur votre propre ordinateur. Si vous appuyez dessus, vous pouvez dire "J'ai utilisé les outils de sécurité de mon entreprise pour capturer les données que mon navigateur vous envoie et je l'ai vu ..."

8
Aaron Digulla

TL; DR - Être professionnel et humble ira loin. Être secret, fier ou malveillant ne se terminera évidemment pas aussi bien. Si vous travaillez calmement et en privé avec eux, ils feront probablement de même.

Cela semble presque couper-coller à la façon dont j'ai commencé à trouver des problèmes avec la sécurité de mon université. Mon université mettait la carte d'identité de l'étudiant dans un cookie et c'est avec qui vous étiez connecté. Si vous avez manipulé le cookie, vous vous êtes connecté en tant que personne de votre choix. C'est la découverte qui m'a amené à approfondir leur sécurité. Ils avaient également un serveur de messagerie non sécurisé qui relayerait n'importe quoi sans authentification. Les noms de fichiers des images dans le répertoire de l'école étaient juste un encodage étrange de l'ID de cet élève. À un moment donné, j'ai pu rechercher un SSN et obtenir le nom d'un étudiant.

J'ai trouvé ces bugs petit à petit. Cela a commencé par un sentiment de "mes informations doivent être sécurisées et ce n'est pas le cas" et je voudrais signaler la dernière faille que j'ai découverte à l'informatique. Après environ la 3e fois que j'ai rapporté quelque chose, j'ai commencé à me sentir à la fois en colère et supérieur au département. Toutes les deux semaines, je serais dans le bureau du vice-président des technologies pour vous montrer une nouvelle façon d'obtenir des SSN ou des dossiers financiers des étudiants dès 1995 ou une technique de harceleur pour déterminer le calendrier complet des cours de quelqu'un (y compris sa note dans cette classe ). Le VP a également commencé à devenir hostile avec moi. J'avoue que je n'ai peut-être pas eu la meilleure attitude après les 6 mois. À un moment donné, j'ai été expulsé pendant environ 3 semaines quand ils ont entendu que j'essayais de rétroconcevoir leur encodage (lié ci-dessus). Je voulais leur montrer quels trous étaient vulnérables lorsqu'une personne ne travaillait pas avec eux et qu'ils étaient dans le noir. Finalement, nous avons réglé le problème, mais il y avait beaucoup de colère, de paperasse et d'ego qui circulaient entre-temps des deux côtés.

Le point que j'essaye de faire est que le service informatique a travaillé avec moi malgré moi étant un con. Ils ont réglé les problèmes et l'école s'en porte mieux. Tant que j'étais franc sur mes intentions et ouvert sur ce que je faisais, ils ne me menaçaient ni ne m'entravaient. Ce n'est que lorsque je travaillais en secret qu'ils ont pris des mesures disciplinaires. J'étais partout dans le conseil d'administration avec des choses qui pouvaient absolument être considérées comme du piratage, y compris les attaques par injection, l'ingénierie sociale, l'ingénierie inverse, le reniflage de paquets, la numérisation de port, les exploits de logiciels personnalisés, et plus encore. Comme je n'ai jamais rien changé et que je leur ai toujours (enfin ... généralement) rapporté mes découvertes discrètement et directement, ils ont travaillé avec moi. Je ne doute pas que si je n'étais pas un cul, je n'aurais pas été expulsé temporairement.

6
Corey Ogburn

Il y a un service fourni par Hewlett-Packard Tipping Point appelé Zero Day Initiative. http://www.zerodayinitiative.com/

Voici comment ça fonctionne.

  1. Ils [~ # ~] achètent [~ # ~] la vulnérabilité de votre part
  2. HP Tipping Point offre une protection à sa clientèle d'utilisateurs d'utilisateurs de pare-feu intelligents
  3. ZDI travaille avec le fournisseur pour essayer de résoudre le problème (cela peut généralement prendre 6 mois)
  4. Si le fournisseur ne répond pas ou ne bouge pas, ZDI signale la vulnérabilité publiquement.

Comme vous pouvez le voir, vous avez terminé à l'étape 1, vous obtenez de l'argent et vous restez anonyme.

6
Douglas Held

C'est une question assez difficile, car les entreprises et les universités ont une longue et fière histoire de réagir avec hostilité et de tirer sur le messager dans des cas comme celui-ci. Et rien ne garantit que vous ne serez pas poursuivi pour rien de plus que d'avoir remarqué leur insécurité. Ils n'ont peut-être pas de poursuites contre vous, mais cela ne signifie pas qu'ils ne peuvent pas vous rendre malheureux.

Voici donc quelques idées qui pourraient vous aider.

  • Restez anonyme: Il existe de nombreuses façons de protéger votre identité. Je ne vais pas les aborder ici, mais pour la plupart, vous n'avez pas à vous identifier pour révéler une vulnérabilité. Si vous vous inquiétez des représailles, il vaut peut-être mieux que vous ne le fassiez pas.

  • Ne divulguez pas directement: Bien qu'il serait idéal pour vous de traiter le problème en privé, cela vous offre peu ou pas de protection s'ils décident de riposter. La divulgation de la vulnérabilité via un tiers de confiance vous protège quelque peu de l'action directe en l'empêchant de contrôler l'histoire. La divulgation indirecte est souvent un moyen de maintenir l'anonymat.

  • Concentrez-vous sur leur négligence plutôt que sur leur vulnérabilité =: Si vous assumez de manière préventive une position morale élevée, vous attaquer les peindrait comme plus négligents, plutôt que moins donc. Il est extrêmement difficile (et extrêmement rare) pour un service qui a été accusé principalement de négligence de faire de son dénonciateur un criminel. Le simple fait de souligner leur piètre sécurité ne vous confère aucune supériorité morale et leur donne la possibilité de se faire passer pour les victimes en vous accusant de fautes criminelles. Ne leur donnez pas ça.

1
tylerl

Il est parfois très difficile d'expliquer l'importance de la sécurité aux gens. Certaines personnes ne comprennent tout simplement pas la sécurité et d'autres estiment que leur système ne sera jamais compromis. Le signalement d'une menace pour la sécurité est parfois ignoré ou prend très longtemps à être corrigé. D'après mon expérience pour faire passer votre message pour améliorer la sécurité, je ferais une démonstration de l'attaque. Lorsque vous démontrez une attaque, je vous suggère d'utiliser votre propre boîte où vous pouvez configurer un environnement similaire. En faisant cela, vous pouvez montrer visuellement aux gens comment les données peuvent être volées.

1
SLEZ

À en juger par ce que vous avez dit, il n'y a aucune preuve que vous tentiez de pirater. Vous avez simplement surveillé les demandes entrantes et sortantes de votre propre réseau.

Si vous êtes toujours collé à la situation, essayez de contacter le commissaire à la protection de la vie privée du Canada pour voir ce qu'il recommande. https://www.priv.gc.ca/

0
Stephen P.