1. घर
  2. सवाल और जवाब
  3. हैकिंग/क्रैकिंग डोंटोलॉजी

हैकिंग/क्रैकिंग डोंटोलॉजी

2009-03-29 10 views
9

मान लीजिए कि आपने हाल ही में कुछ वेबसाइटों में कुछ प्रमुख भेद्यताएं खोज ली हैं जो मुख्य रूप से आपके देश में सक्रिय हैं और अपने बाजार में बहुत शक्तिशाली हैं। जिन भेद्यताओं के बारे में मैं बात कर रहा हूं वे मुझे सुपर एडमिनिस्ट्रेशन विशेषाधिकारों के साथ व्यवस्थापक इंटरफ़ेस ब्राउज़ करने के रूप में बदतर हैं।हैकिंग/क्रैकिंग डोंटोलॉजी

अब आप क्या करेंगे? मैं कुछ इस बारे में सोच रहा हूं:

  1. कंपनी को समस्याओं की रिपोर्ट करें।
  2. सार्वजनिक रूप से घोषणा करते हैं कि उन अनुप्रयोगों में सुरक्षा छेद हैं, लेकिन वास्तविक शोषण का खुलासा किए बिना।
  3. कंपनी की समस्याओं को ठीक करने के लिए समय दें। (कितना?)
  4. समस्या ठीक होने के बाद, या फिक्सिंग के लिए अनुग्रह अवधि बीत चुका है (जो भी पहले आता है), पूरी तरह से भेद्यता का खुलासा करता है।

आप क्या सोचते हैं? क्या आपके पास इस बारे में पढ़ने या साझा करने का अनुभव करने के लिए कुछ सामग्री है?

स्रोत

2009-03-29 Ionuț G. Stan

उत्तर

18

बात करें। सेवा मेरे। एक वकील।

यह कंपनी के आधार पर चिपचिपा हो सकता है।यह कहकर "आपके पास शोषण की घोषणा करने से पहले इसे ठीक करने के लिए xx दिन हैं", आप मूल रूप से कह रहे हैं "मैं जो अपेक्षा करता हूं वह करो, या मैं आपको बहुत दुख दूंगा"।

है, कैसे किया था तो आप इस खोज में अन्य मुद्दे? क्या आप साइट 'सामान्य' का उपयोग कर रहे थे, या क्या आपने छेद की संभावना देखी और यह देखने का फैसला किया कि यह काम करता है या नहीं? यह ध्यान में रखना बहुत महत्वपूर्ण है, खासकर यदि आप इस मुद्दे को ठीक करने के लिए समय सीमा निर्धारित करने पर विचार कर रहे हैं। मुझे यकीन नहीं है कि कानून कहां रहते हैं, इसलिए कृपया किसी से बात करें जो करता है।

आप अपने धन्यवाद के साथ खत्म हो सकता है, एक एनडीए में प्रवेश करने के लिए कुछ नकदी (तुमने किया था सब के बाद, व्यवस्थापक इंटरफ़ेस ब्राउज़) और आप सुरक्षा उद्योग में कुछ श्रेय मिल सकता है। लेकिन, बहुत सावधान रहें और कोशिश करें और एक वकील की सलाह लें।

स्रोत

2009-03-29 11:11:04

5

मुझे लगता है कि आप सही रास्ते पर हैं।

ऐसे मामलों में सामान्य प्रवृत्ति उस कंपनी के साथ एक बग-रिपोर्ट दर्ज करना है और उन्हें समस्या के गंभीरता और समय के अनुमान के आधार पर कुछ समय देना है। उसके बाद, आमतौर पर एक पूर्ण प्रकटीकरण होता है यदि कंपनी आपको अन्यथा नहीं पूछती है (प्रीमियम के लिए?)।

हालांकि, अगर कंपनी समय पर आपके पास वापस नहीं आती है/यह स्वीकार नहीं करती है कि आपके पास अपने परिणामों को अधिक अच्छे के लिए प्रकाशित करने का अधिकार है (मुझे विश्वास है)।

जो कुछ भी आप करना चुनते हैं, कंपनी के साथ अपने संचार का उचित रिकॉर्ड बनाए रखें। यह अप्रत्याशित परिस्थितियों से बचने में मदद कर सकता है।

स्रोत

2009-03-29 08:52:01 dirkgently

+0

अगर आप बात यह है कि उपभोक्ताओं/आम जनता को नुकसान पहुँचा सकती बारे में पता चुप रखने के लिए अनुमति नहीं है। इसलिए यदि कंपनी _reasobale_ समय (या आपसे संपर्क करने के लिए भी परेशान नहीं है) में समस्या को ठीक नहीं करती है तो आप जानकारी प्रकाशित कर सकते हैं। – Jacco

1

मैं पहले कंपनी को सुरक्षा छेद की रिपोर्ट करता हूं। अगर वे उनका ख्याल नहीं रखते हैं - मैं इसे जनता के लिए घोषित करता हूं।

स्रोत

2009-03-29 08:52:05

1

यदि मैं आपकी जगह पर था, तो मैं निश्चित रूप से कंपनी को इसकी रिपोर्ट करने के साथ चला गया होता। यदि समस्या आपके द्वारा उल्लिखित गंभीर है, तो उपलब्ध संचार के सबसे तेज़ साधनों का उपयोग करके रिपोर्ट करें।

यदि आप किसी समाधान के बारे में जानते हैं तो उन्हें भी बताएं।

आप एक सामान्यीकृत ब्लॉग या समस्या और समाधान के बारे में एक लेख लिख सकते हैं। यह दूसरों को अपनी प्रणाली की जांच करने में मदद करेगा। कंपनी या वेबसाइट के बारे में कुछ भी खुलासा न करें क्योंकि आप तब समस्याओं में खत्म हो सकते हैं।

स्रोत

2009-03-29 08:52:44 danish

3

मैं व्यक्तिगत रूप से कंपनी को इसकी रिपोर्ट करने के लिए कुछ उचित समय अवधि देने की रिपोर्ट करता हूं। लेकिन अगर उन्हें लगता है कि इसमें अधिक समय लगेगा तो उन्हें समय सीमा विस्तार का अनुरोध करने का विकल्प भी प्रदान करें। उस समय सीमा के बाद, भेद्यता का खुलासा करें।

मैं इसे सरकारी सुरक्षा संगठन को रिपोर्ट करने पर विचार कर सकता हूं। मेरी मुख्य चिंता यह होगी कि मुझे गुमनाम रूप से रिपोर्ट करने की आवश्यकता है, बशर्ते कि आप सार्वजनिक रूप से भेद्यता का खुलासा करके कुछ कानून तोड़ रहे हों। यह आपके देश पर निर्भर करता है।

स्रोत

2009-03-29 08:53:40 AaronLS

2

अपने देश में इस तरह के संघीय व्यापार आयोग के रूप में एक सरकारी निकाय को विनियमित है, तो यह उनके लिए रिपोर्ट, और फिर भूल जाते हैं कि यह अस्तित्व में।

आप कंपनी रिपोर्ट सीधे, तो आपको पहले करने के लिए रिपोर्ट करने के लिए व्यक्ति को खोजने के लिए है। फिर आपको "यह कैसे पता है" (एक वकील से बात करने पर +1) के सवाल से निपटना होगा। और फिर, यदि आप सार्वजनिक होने की धमकी देते हैं, तो आप स्थानीय पुलिस को वारंट के साथ अपने दरवाजे पर दस्तक दे सकते हैं, उसके बाद लापरवाही के लिए गिरफ्तारी (वकील से बात करने पर +2)।

स्रोत

2009-03-29 12:06:31 kdgregory

4

सीधे शब्दों में कहें:

इसे अनदेखा।

आपके क्रियाएं (हालांकि आपको यह) लगभग हमेशा अवैध पाया गया है। इसलिए वह कंपनी आपको अदालत ले सकती है और अपना जीवन दुखी कर सकती है। इसी तरह की चीजें पहले हुईं। ज्यादातर समय एक वकील आपकी मदद नहीं कर सकता है।

कुछ लोग जो सुरक्षा उद्योग में काम नहीं कर रहे हैं वे मेरे साथ सहमत नहीं हो सकते हैं (उर्फ ​​डाउनवोट) लेकिन वहां ऐसा किया गया।

अंततः इस तरीके से एक तरीका है, अगर आपको वहां पर कोई दोस्त मिल गया है या व्यक्तिगत संपर्क सिर्फ उसके साथ अनौपचारिक बातचीत है (जिसे आप बाद में अस्वीकार कर सकते हैं, और सबूत नहीं हो सकता है) तो वह/वह इस बात की जांच कर सकती है और आंतरिक खोज की तरह रिपोर्ट कर सकती है।

ओपन सोर्स/वाणिज्यिक अनुप्रयोगों में सामान की रिपोर्टिंग के लिए आपको यह दिलचस्प और सहायक मिल सकता है: http://www.wiretrip.net/rfp/policy.html-उत्तरदायी प्रकटीकरण- लेकिन यह कंपनी की लाइव वेबसाइट/आधारभूत संरचना में भेद्यता खोजने की तुलना में यह एक और कहानी है।

यदि यह एक वाणिज्यिक उत्पाद है और यदि आप रिवर्स यह इंजीनियर है, यह अभी भी कई देशों में अवैध है। तो एक उत्पाद में भी आपको इसके बारे में सावधान रहना होगा। हाल ही में Google/MS जैसी कंपनियां अपने उत्पादों में सुरक्षा समस्याओं की रिपोर्ट करने के बारे में सार्वजनिक घोषणा करना शुरू कर दीं।

स्रोत

2009-03-29 12:26:16

3

एक बहुत जो व्यक्ति जिम्मेदार है ने कहा कि कमजोरियों के लिए पर निर्भर करता है। अपने पीछे की ओर ढकने के लिए वह अदालत में आपके पीछे जा सकता है। इसके अलावा, अगर किसी के पास व्यवस्थापक पैनल तक पहुंच थी, तो कोई भी कुछ निजी जानकारी और व्यापार रहस्यों तक पहुंच सकता था। सुनिश्चित करने के लिए बहुत सारे चर हैं। जैसा कि अन्य लोगों ने पहले ही कहा है, अपने वकील से परामर्श लें। कुछ देशों में ऐसे वकीलों भी हैं जो कंप्यूटर-अपराध और संबंधित मुद्दों में विशेषज्ञ हैं, वे सबसे अच्छे होंगे।

एक साल पहले मैं कुछ लिनक्स सर्वरों के लिए ज़िम्मेदार था, जो लगातार एसएसएच ब्रूटफोर्स हमलों से पीड़ित थे। मैं किसी भी आईपी के अधिकांश व्यवस्थापक को ईमेल भेजता था, जिसका नाम mail.some_company.com था, जिसका अर्थ है कि ज्यादातर एक समझौता सिस्टम था।एक बार लॉग की जांच करने के बाद मुझे अपने स्थानीय देश में एक कंपनी से एक आईपी मिला है। थोड़ी सी सोच के साथ मैंने उन्हें समस्या की रिपोर्ट करने के लिए फोन किया। उनके व्यवस्थापक की प्रतिक्रिया "क्या ?! आप कौन हैं? आप हमारे सर्वर पर क्या कर रहे हैं ?!" के आधार पर थी।

स्रोत

2009-03-29 12:47:05

+0

प्रशंसकों का वैनिटी और गौरव - सबसे बड़ी सुरक्षा त्रुटियां! – Rook

3

आप सिक्युनिया जैसे संगठन को भेद्यता की रिपोर्ट करने और प्रकटीकरण को प्रबंधित करने के लिए कहने पर विचार कर सकते हैं। वे कई देशों में पहले बात इस तरह का किया है ...

http://secunia.com/advisories/report_vulnerability/

स्रोत

2009-03-29 14:13:47

 संबंधित मुद्दे

  • कोई संबंधित समस्या नहीं^_^