Vraag:
Moet ik een beveiligingsprobleem melden?
Polaris Alderson
2019-11-08 23:12:48 UTC
view on stackexchange narkive permalink

Ik heb een site gescand met een kwetsbaarheidsscanner en deze vond een kwetsbaarheid met een CVV-score van 10. Moet ik het rapport naar het bedrijf sturen?

Waarom zou u zich niet melden?Waar komt uw vraag vandaan?
Rapporteer het in tegenstelling tot wat - het hacken?
Als een n0ob - ik denk dat het alternatief voor rapportage het * niet * rapporteren zou zijn.Deze vraag impliceert sterk dat de scan is uitgevoerd zonder voorafgaande toestemming van het bedrijf.Ik ben geen advocaat en ik zeg niet dat het illegaal is, maar ik zou me zorgen maken over de gevolgen voor mezelf.Ik weet zeker dat mijn ISP (Xfinity) deze activiteit verbiedt en behoudt zich het recht voor om mijn account onmiddellijk op te schorten wegens overtreding ervan.Er zijn lokale / staatswetten waarvan ik misschien niet op de hoogte ben, en ik weet wel dat bedrijven een civiele claim tegen u kunnen hebben voor schadevergoeding als gevolg van een scan.
@RobP.Je zou de oorspronkelijke vraag moeten zien ...
Mogelijk duplicaat van [Hoe kwetsbaarheden te rapporteren zonder als hacker te worden beschouwd?] (Https://security.stackexchange.com/questions/71905/how-to-report-vulnerabilities-without-being-regarded-as-a-hacker)
@ConorMancone Alles wat ik in de bewerkingen zie, is "Ik heb het niet gehackt" - maar dat doet er meestal niet toe!Zoals andere antwoorden hebben aangegeven, heb je waarschijnlijk al de wet overtreden als je geen toestemming had om die site te scannen / testen.Als het bedrijf boos is dat je ze controleert, kunnen ze mogelijk echte problemen voor je veroorzaken.
Drie antwoorden:
Conor Mancone
2019-11-08 23:51:17 UTC
view on stackexchange narkive permalink

Korte opmerking : bij dit antwoord wordt ervan uitgegaan dat u toestemming heeft om scanners op de website uit te voeren. Het uitvoeren van scanners op een website is in vrijwel alle rechtsgebieden illegaal, dus als u dat doet, is mijn enige suggestie: "STOP!".

Wat u niet moet doen

U mag nooit een kwetsbaarheidsrapport van een scanner naar een bedrijf sturen. 90% van de tijd zijn die op zichzelf nutteloos en worden waarschijnlijk genegeerd door een bekwaam beveiligingsteam. De reden hiervoor is dat scanners een willekeurig aantal false positives kunnen hebben, dus een positief van een kwetsbaarheidsscanner betekent niet echt dat er een kwetsbaarheid is. Het is echter gebruikelijk dat nieuwe bug bounty-testers eenvoudig kwetsbaarheidsrapporten van scanners naar bedrijven sturen zonder enig begrip van wat het rapport zegt, of het correct is of zelfs maar van toepassing is. Als gevolg hiervan negeren beveiligingsteams vaak een rapport dat rechtstreeks uit een scanner komt. De meeste bugbounty-programma's vermelden dit specifiek.

Wat u zou moeten doen

In plaats daarvan zou u de tijd moeten nemen om zelf een kwetsbaarheidsrapport te genereren, wat betekent dat u de aard van de kwetsbaarheid beschrijft, stappen die ze kunnen nemen om uw bevindingen te bevestigen, het risico dat de kwetsbaarheid creëert voor het bedrijf en mogelijk zelfs stappen die ze kunnen nemen om het gevaar te verminderen. Dat is wat je naar het bedrijf moet sturen, en zoiets sturen is bijna altijd een goed idee.

Als dit een bedrijf is dat geen openbaar bugbounty-programma heeft, is de kans nog kleiner dat ze een rapport uit een scanner kunnen begrijpen, dus het zal veel belangrijker voor je zijn om de tijd en geef een feitelijk kwetsbaarheidsrapport met details over de kwetsbaarheid, de impact op het bedrijf, een schatting van de ernst ervan en voorgestelde maatregelen om het probleem op te lossen. Maar dat is natuurlijk niet de situatie waarin u zich bevindt, aangezien het uitvoeren van geautomatiseerde beveiligingsscans op een website zonder expliciete toestemming in de meeste rechtsgebieden illegaal is en in het algemeen een slecht idee ...

tl / dr:

Moet u de resultaten van uw scanner naar een bedrijf sturen? Nee , want dat heeft vaak geen zin. Wat u moet doen, is controleren of de scanner geen vals-positief rapporteert en vervolgens een rapport sturen waarin de kwetsbaarheid wordt beschreven, wat ze kunnen doen om het te reproduceren, een uitleg van de impact en voorgestelde beperkende maatregelen. Het is duidelijk dat u het systeem onder geen enkele omstandigheid mag "hacken".

Ik ben een van de leden van het beveiligingsteam die willekeurige rapporten zoals deze ontvangt.Ik ben het ermee eens dat het in 90% van de gevallen een vals-positief is, verzonden door een amateur-sec-onderzoeker die geen idee heeft wat de bevinding betekent.Dat gezegd hebbende, 10% van de tijd is het een tool die we niet gebruiken en het is nuttig.Het vertelt ons ook 100% van de tijd over de PR-impact van mensen die onze site scannen.We brengen soms "onnodige" codewijzigingen aan puur om PR-redenen, zodat onze klanten minder gealarmeerd worden als ze een scan uitvoeren.
@MikeOunsworth Ik ging door en werkte mijn vraag bij om mijn werkelijke suggestie beter te benadrukken, namelijk het verzenden van een gedetailleerd kwetsbaarheidsrapport in plaats van een rapport van de scanner.Hoewel daarmee de organisatie van mijn antwoord nu beter overeenkomt met die van u.: schouderophalend:
@user1067003 Ik ben het er niet echt mee eens.Verwacht sites te scannen zonder toestemming zou hetzelfde zijn als over straat lopen om de voordeur van mensen te openen.Als iemand dan de politie belt en ze komen opdagen, antwoord je met: "Ik controleer alleen of mensen hun deuren op slot hebben gedaan" en verwacht dat de politie er blij mee zal zijn.Het is een vreselijk idee.
Het is waar dat de huidige wetten het gevaarlijk gemakkelijk maken dat misverstanden leiden tot strafrechtelijke vervolging van legitieme veiligheidsonderzoekers die alleen maar probeerden te helpen.Het zou geweldig zijn om dat op te lossen.Maar het zonder toestemming kunnen uitvoeren van actieve penetratietesten op sites is geen redelijke oplossing.
"controleer of de scanner geen vals positief rapporteert [..] mag het systeem niet" hacken ".Ik zeg niet dat het onmogelijk is om te verifiëren zonder in het systeem in te breken, maar in veel situaties lijkt dat niet gemakkelijk te doen.
@Voo dat is meestal niet zo'n groot probleem.Ervan uitgaande dat u met toestemming werkt of onder een gevestigd bugbounty-programma werkt, worden de extra stappen die nodig zijn om het rapport te verifiëren niet als hacking beschouwd en zijn ze slechts een onderdeel van het werk.Ook zijn de false positives vaak gemakkelijk als zodanig te verifiëren met weinig extra moeite.
@Conor Maar het uitgangspunt hier is om alleen contact op te nemen met de mensen * nadat * gecontroleerd is dat er geen FP is.Natuurlijk, als je een bugbounty-programma of toestemming hebt (en als je geen van beide hebt, had je ze in de eerste plaats nooit moeten scannen, wat dit punt betwist), het is eenvoudiger, maar dan denk ik dat je meestal contact moet opnemen met iemand.Maar stel dat je terugkrijgt dat er waarschijnlijk een kwetsbare versie van Apache is geïnstalleerd - hoe kom je erachter of dat correct is of niet zonder een kwetsbaarheid uit te proberen?(De server is misschien zo geconfigureerd dat hij alsnog oude informatie terugstuurt)
@user1067003: Gelieve zich te onthouden van grof taalgebruik op SE.Het verlaagt ons allemaal en het is totaal niet nodig.
@Voo mijn antwoord is eigenlijk gewoon dit benaderen vanuit het perspectief van activiteit met toestemming of onder een bugbounty.Zoals ik in mijn antwoord al zei, is het scannen van websites zonder toestemming illegaal, dus het OP vroeg daar duidelijk niet naar.Als iemand illegaal scant, is het enige advies dat ik heb, daarmee te stoppen.
@Conor Eerlijk punt, als het puur uit die PoV komt, is dat logisch.
@ConorMancone Gelieve uw laatste opmerking in de hoofdtekst van de vraag op te nemen, want deze is relevant: de vraag impliceert dat het OP geen contact heeft opgenomen met het bedrijf en daarom geen toestemming heeft.
@jpaugh Ik had dat al in mijn antwoord, hoewel het duidelijk niet duidelijk genoeg was.Ik heb dienovereenkomstig een kleine update gemaakt.
Ik zou de bekwaamheid in twijfel trekken van elk beveiligingsteam dat verslagen van openbare 10.0 CVE's negeert alleen omdat de verslaggever "een of andere skiddie is die een scanner gebruikt".
@jdgregson Een CVE is niet iets waar een "skiddie" toegang toe zou hebben.Van wat ik heb gehoord, moet je in principe de juiste persoon kennen om een nieuwe CVE toegewezen te krijgen aan een kwetsbaarheid zodra je deze hebt ontdekt.
@jpaugh Ik denk dat we het in deze context hebben over bekende vulns die toevallig CVE 10 zijn. Bijvoorbeeld het vinden van een server die nog steeds kwetsbaar is voor Heartbleed.Een scanner zou om te beginnen niet scannen gedurende -1 dagen.
@jdgregson U bedoelt dat elke algemene kwetsbaarheid zijn eigen CVE heeft?Ik dacht dat die alleen van toepassing waren op specifieke bugs van specifieke software.Er zijn een aantal manieren om een website verkeerd te bouwen en te implementeren (waarvan ik zou verwachten dat een scanner dit opmerkt);maar het verbaast me te horen dat die allemaal ook CVE's zouden hebben.
@jdgregson Nu je het zegt, CVV was * waarschijnlijk * een typefout.Ik hoorde CVSS, terwijl jij duidelijk CVE hoorde.Beide zijn goede gissingen ...
Gaius
2019-11-09 17:42:38 UTC
view on stackexchange narkive permalink

Regel één van het scannen op kwetsbaarheden of enige andere activiteit die mogelijk als vijandig kan worden geïnterpreteerd: vraag eerst schriftelijke toestemming, ondertekend door het senior management. Een ongevraagde "kwetsbaarheidsscan" is niet te onderscheiden van een hackpoging - en als je een algemeen hulpmiddel hebt gebruikt, en ze hebben slimme monitoring, zullen ze die scan hebben gedetecteerd en je IP-adres hebben geregistreerd. En een slecht geformuleerde melding van een gevonden kwetsbaarheid is niet te onderscheiden van een dreiging. Als je geluk hebt, kan het bestaan ​​van een veel voorkomende bug op hun site betekenen dat ze geen goede monitoring hebben. Een dergelijk bedrijf zal echter eerder de politie bellen als ze, hoe onjuist ook, denken dat u hen dreigt te hacken.

Beschouw het op deze manier: een willekeurige vreemdeling vertelt je op een dag dat je je ramen niet op slot hebt gedaan. Hij of zij zweert dat ze je huis niet zijn binnengegaan. Zou je dankbaar zijn of zou je je afvragen waarom deze persoon je ramen probeerde?

Het is triest om te zeggen, maar dit is de realiteit van de wereld van vandaag - je verstandigste optie is om niets te doen. Bedenk dat u vandaag iets hebt geleerd over het scannen van kwetsbaarheden, en ga verder.

+1 voor het enige antwoord dat het scannen in twijfel trekt.
+1 hiervoor.Ik ken iemand die een kwetsbaarheidsscanner tegen een kleine website heeft uitgevoerd om te zien wat er zou gebeuren en het vernietigde de website.Het vond een hele lading kwetsbaarheden maar vernielde ook de database en de website laadde niet meer.Wees heel voorzichtig.Niemand mag zonder toestemming kwetsbaarheidsscans uitvoeren.
Nog een +1.Elke keer als ik lees over iemand die een kwetsbaarheidsscan uitvoert op een site (die niet van die persoon is), valt het me op waarom ze in godsnaam zelfs denken dat ze daar recht op hebben.Het is alsof je een koevoet op iemands voordeur gebruikt om alleen te controleren of deze inbraakwerend is.Niemand zou beslist het idee hebben dat dit in de echte wereld legitiem is.
Ja, het is veel te riskant om het te melden.Vraag het maar aan [een van de auteurs van het beroemde boek * Programming Perl *] (https://en.wikipedia.org/wiki/Randal_L._Schwartz#Intel_case).
* Zou je dankbaar zijn of zou je je afvragen waarom de persoon je ramen probeerde? * - het antwoord zegt waarschijnlijk veel over de lokale cultuur.
Mike Ounsworth
2019-11-08 23:52:16 UTC
view on stackexchange narkive permalink

Wil je een witte hoed of zwarte hoed zijn? Het antwoord kan ook afhangen van de wetten die van toepassing zijn op basis van het land waarin u zich bevindt, in welk land het bedrijf zich bevindt.

Dingen die altijd in orde zijn

Gebruik een verantwoord openbaarmakingsproces om informatie openbaar te maken de bevinding voor het bedrijf.

Kijk of het bedrijf een rapportageproces voor kwetsbaarheden heeft. Een goede plek om te beginnen is kijken of ze een https://company.com/.well-known/security.txt hebben. Als dit niet het geval is, zoek dan rond en kijk of ze een beveiligd e-mailadres hebben om dit soort dingen te melden.

Een andere optie als u niet rechtstreeks met het bedrijf kunt of wilt omgaan, is rapporteren via een tussenpersoon zoals US Cert.

Hier moet ook worden vermeld dat als u wilt dat het bedrijf u serieus neemt, u het probleem duidelijk moet beschrijven, de stappen om te reproduceren, beschrijf hoe doordringend het is in hun toepassing, welke schade en aanvaller ermee zou kunnen veroorzaken en wat ze moeten doen om het te repareren. Als je ze gewoon het rapport van een scanner stuurt, zullen ze je waarschijnlijk negeren, of erger nog, een advocaat sturen (zie hieronder).

Dingen die soms ok zijn

Soms is het ok om het resultaat te publiceren zonder het bedrijf te informeren (bijvoorbeeld door een CVE in te dienen, of een blogpost te schrijven, github-repo).

Afhankelijk van het type en de ernst van de kwetsbaarheid, zou dit uiteindelijk meer kunnen opleveren schade dan goed als mensen gehackt worden voordat het bedrijf de tijd heeft om het te repareren.

"Dingen die soms oké zijn" zou in de eerste plaats het gebruik van de scanner kunnen zijn. Tenzij u daarvoor wordt ingehuurd of als er een bugbounty-programma is, kan het worden geïnterpreteerd als een hackpoging. (Bedankt @EsaJokinen). Een snelle Google-zoekopdracht toont aan dat wanneer je zonder toestemming "veiligheidsonderzoek" doet, je net zo goed naar de gevangenis wordt geleid als om een ​​bedankje te krijgen:

Iemand anders aanvallen website met een beveiligingsscanner kan u in grote problemen brengen, dus zorg ervoor dat u de juridische implicaties begrijpt voordat u het doet!

Dingen die nooit goed zijn

De website zelf hacken.

Dit is ongetwijfeld illegaal in elk land dat hier wetten over heeft.

Wees heel voorzichtig met deze aanpak, want je kunt veel verliezen, en ik weet niet zeker of je iets wint (bij althans vanuit een white-hatperspectief).

Dit is de eerste keer dat ik van US Cert.Als je tijd hebt, zou je het erg vinden om met me mee te chatten, zodat ik je er een vraag over kan stellen?Het maakt duidelijk niet uit als je dat niet kunt
@ConorMancone Welk chatkanaal?Ik weet niet veel over US CERT, behalve dat ze zullen optreden als tussenpersoon waar een onderzoeker te klein is om opgemerkt te worden, anoniem wil blijven, of de onderzoeker denkt dat hij wettelijk geïntimideerd zal worden door de verkoper.Van de gelinkte site: _ "CISA zal proberen alle gerapporteerde cyberkwetsbaarheden te coördineren met de getroffen leverancier van industriële controlesystemen of informatietechnologieproducten." _
Er is hier een lokale app die enkele ernstige zwakke punten heeft.Ik heb ze gevonden zonder zelfs maar enige echte penetratietest uit te voeren - hun applicatie heeft in feite helemaal geen beveiliging.Het is een klein systeem, maar heeft waarschijnlijk een paar duizend gebruikers (met wachtwoorden) in een database die wijd open staat voor eenvoudige SQLi.Ik stuurde een volledig openbaarmakingsrapport naar de leverancier, maar werd volledig genegeerd (er werd via meerdere kanalen contact opgenomen).Ze nemen het misschien serieuzer als iemand anders dan een anonieme persoon contact met hen opneemt.
Dus eigenlijk vroeg ik me af of US Cert het soort organisatie zou zijn dat betrokken zou raken bij zoiets kleins, of dat ze meer geïnteresseerd waren in "substantiële" bedreigingen.Als je het echter niet zeker weet, google ik of neem gewoon contact met ze op
"Dingen die soms oké zijn" zou in de eerste plaats het gebruik van de scanner kunnen zijn.Tenzij u daarvoor wordt ingehuurd of als er een bugbounty-programma is, kan het worden geïnterpreteerd als een hackpoging.
Dit is de eerste keer dat ik van `.welbekend` heb gehoord.Ironisch, is het niet?
Bedankt @EsaJokinen!Ik heb dat in mijn antwoord geleend!
@ConorMancone het nationale CERT * zal * daar zorg voor dragen, genoeg om het rapport door te sturen naar de juiste ontvanger.Als het geen Amerikaans bedrijf was, raad ik aan om in plaats daarvan contact op te nemen met de respectieve nationale CERT (u kunt de meeste vinden op [FIRST] (https://www.first.org/members/teams/)), maar anderedan dat, een werkende CERT die een correct rapport ontvangt voor een bedrijf onder hun kiesdistrict, _zal_ (proberen te) rapporteren aan de betrokken partij.Het is hun taak!


Deze Q&A is automatisch vertaald vanuit de Engelse taal.De originele inhoud is beschikbaar op stackexchange, waarvoor we bedanken voor de cc by-sa 4.0-licentie waaronder het wordt gedistribueerd.
Loading...