Security Professionals
- ipfw add deny all from eindgebruikers to any
Wat de doen als een security devices leverancier de vingers in de oren stopt voor melding exploit mogelijkheden?
07-11-2014, 16:14 door Anoniem, 8 reacties
De HQ top level security mensen bij een leverancier wiens logo erg lijkt op dat van cisco en wiens mensen voornamelijk ex Juniper zijn, laat via email weten dat zij geen interesse hebben in details omtrent meerdere serieuze zwakke plekken in hun firewall product lijn, en verwijzen met een stukje kletspraat door naar een zwart gat procedure en mogelijke als beloning een eervolle vermelding ergens op een pagina'tje waar niemand verder naar kijkt.
Dus geven aan dat ze er zeker geen moeite voor willen gaan doen, en 't sowieso ontmoedigen door er niet eens een amazon boekenbon voor over te hebben als ze met behulp van die info zich zelf bakken met geld kunnen besparen.
En toen?
Dus geven aan dat ze er zeker geen moeite voor willen gaan doen, en 't sowieso ontmoedigen door er niet eens een amazon boekenbon voor over te hebben als ze met behulp van die info zich zelf bakken met geld kunnen besparen.
En toen?
Reacties (8)
07-11-2014, 16:39 door
Eric-Jan H te D
En toen?
Lijkt me duidelijk hè: namen noemen.
Lijkt me duidelijk hè: namen noemen.
Je kan een tijde volhouden te proberen responsible disclosure policies te volgen maar op een gegeven moment neem je de stap om het openbaar te maken, pas dan wel op voor represailles, want alle beloftes ten spijt is het nog steeds heel makkelijk om als hacker opgepakt te worden.
je eist dus in principe een beloning voor je mogelijke vondst? volgens mij is geen leverancier daartoe verplicht.
persoonlijk zou ik het redelijk slecht vinden als je het nu publiek maakt alleen om die reden.
persoonlijk zou ik het redelijk slecht vinden als je het nu publiek maakt alleen om die reden.
Door Anoniem: En toen?
Het zoeken naar zwakke plekken in properiaty software is al een misdrijf op zich geloof ik. Als je vervolgens eisen stelt aan een responsible disclosure, (eer, geld, of een andere vorm van beloning,) ben je volgens de Wet, een afperser.Ik wil je één tip meegeven:
Als je een (technisch) verhaal gaat schrijven over datgene dat je hebt aangetroffen, vermijdt dan subjectieve opmerkingen (bijv. "stukje kletspraat door naar een zwart gat procedure en mogelijke als beloning een eervolle vermelding ergens op een pagina'tje waar niemand verder naar kijkt."), gebruik af en toe de ENTER-toets, en gebruik vooral je eigen naam.
Dán wordt je wel serieus genomen, omdat je blijk geeft van je (goede) intenties.
Als je die goede intenties niet hebt, (waar het sterk op lijkt,) heeft het geen nut om verder nog advies te vragen op dit forum, me dunkt.
Geen idee wat je gezegd hebt dat ze geen interesse tonen en wellicht dat ze dat hoe dan ook niet gedaan zouden hebben. Zoals al opgemerkt ben je al gauw bezig met afpersen, en dat is zeker strafbaar. Je hebt wat simpele keuzes:
Wil je geld? Verkoop je exploits aan de hoogste bieder. Er zijn bedrijven die zulke dingen opkopen.
Je doet het voor het nut van het algemeen? Gooi het open in de groep.
Zoals al gezegd, laat je eigen mening achterwege en rapporteer alleen feiten. En ik hoop voor je dat je die apparaten in je eigen bezit hebt danwel dat je toch tenminste toestemming had om er mee te spelen want anders stel je je open voor aantijgingen van computervredebreuk.
Wil je geld? Verkoop je exploits aan de hoogste bieder. Er zijn bedrijven die zulke dingen opkopen.
Je doet het voor het nut van het algemeen? Gooi het open in de groep.
Zoals al gezegd, laat je eigen mening achterwege en rapporteer alleen feiten. En ik hoop voor je dat je die apparaten in je eigen bezit hebt danwel dat je toch tenminste toestemming had om er mee te spelen want anders stel je je open voor aantijgingen van computervredebreuk.
Dit is een lastig dilemma, vooral als je helemaal niet op zoek was naar een lek. Het komt vermoedelijk vaak voor dat iemand product X van leverancier Y gebruikt, en daar een lek in ontdekt, en zich daar niet goed raad mee weet (ik weet niet of dit op jou van toepassing is, een gokje dus).
Als je het lek "full disclosure" publiceert, en Y vervolgens een jaar achterover leunt, heb je zelf een probleem met jouw product X en is je baas niet blij. Bovendien is Y niet blij en kan een advocaat op je afsturen.
Als je alleen maar roept "ik heb een lek gevonden in product X van Y" wordt Y ook boos (laster -> advocaat, mogelijk neemt die contact op met jouw werkgever en dat kan ernstige gevolgen hebben voor jouw loopbaan); de community schreeuwt "give us a poc or STFU" en Y repareert het lek in X niet. Uiteindelijk schiet je hier zelf niets mee op, integendeel!
Ook "de wereld" schiet er nauwelijks wat mee op: het zou kunnen dat Y naast troep slechts mooie praatjes verkoopt (die zijn er zat in deze business) maar aan de andere kant zou jij ook ingehuurd kunnen zijn door een concurrent om Y zwart te maken - je levert immers geen bewijs. Bovendien heb je kans dat criminelen je gaan benaderen (wellicht niet al te zachtzinnig, bijv. zich voordoend als justitiemedewerkers) om je jouw "geheim" te ontfutselen. Afhankelijk van wat je wel publiceert kunnen derden denken dat jij een serieus wapen in handen hebt!
Het beste wat je, denk ik, kunt doen is eerst proberen het lek netjes bij Y te melden, zonder daar iets voor terug te willen hebben (je kunt wel vragen om een antwoord binnen een bepaalde termijn, maar dreig niet; heb je pech dan antwoordt een advocaat en zit de zaak definitief op slot). Doet Y er vervolgens niets aan, ga dan naar je baas en leg de situatie uit. Vraag dat product X wordt vervangen door een product van een andere leverancier. Daarna kun je overwegen om het lek bij bijv. ZDI te melden. Of Full Disclosure gaan, maar zorg dan dat je zelf je anonimiteit waarborgt.
Vaak is het -helaas- de veiligste oplossing om je verlies te nemen en de zaak te laten rusten. Doe dat zeker als je niet in een "rotsvaste situatie" verkeert (denk aan je loopbaan, gezin etc).
Anderzijds, als je een "lekkenjager" bent die zelfstandig opereert (niet gedekt door een kudde kundige advocaten), blijf dan uit de buurt van bedrijven die geen duidelijk "responsible disclosure" beleid hebben.
Recente "beloningstarieven" dekken wellicht wel je kosten, maar zelden de juridische risico's die je loopt (en, als je beloond wordt, gebeurt dit altijd achteraf). Je moet je goed realiseren dat veel bedrijven er bewust voor kiezen om weinig tijd aan het beveiligen van hun producten te besteden. Voor dat soort bedrijven ben jij de grootste bedreiging, niet de lekken in hun product. En als ze al iets met jouw informatie doen: vaak heb jij het topje van een ijsberg ontdekt, en zal het bedrijf andere dan het door jou gevonden lek voorrang geven. Daar vertellen ze jou natuurlijk niets over, jouw indruk is dan alleen maar dat ze jou laten bungelen (dat zou kunnen, maar het kan ook zijn dat ze echt met belangrijker zaken bezig zijn).
Sowieso begint het er vaak al mee dat het ernorm lastig blijkt te zijn om iemand in bedrijf Y te vinden die begrijpt wat het lek inhoudt dat jij hebt gevonden (of denkt te hebben gevonden, die fout maak ik ook regelmatig - terughoudendheid is vaak op zijn plaats). Daarna moet Y het zien te reproduceren, ook dat lukt lang niet altijd. Reken maar op heel wat frustraties!
Misschien kan https://www.ncsc.nl/actueel/nieuwsberichten/leidraad-responsible-disclosure.html je verder helpen.
Terzijde, het zou goed zijn als bij ICT aanbestedingen ook naar dit aspect gekeken zou worden: hoe gaat een bedrijf om met gemelde lekken? Hoe snel worden die vervolgens verholpen?
Als je het lek "full disclosure" publiceert, en Y vervolgens een jaar achterover leunt, heb je zelf een probleem met jouw product X en is je baas niet blij. Bovendien is Y niet blij en kan een advocaat op je afsturen.
Als je alleen maar roept "ik heb een lek gevonden in product X van Y" wordt Y ook boos (laster -> advocaat, mogelijk neemt die contact op met jouw werkgever en dat kan ernstige gevolgen hebben voor jouw loopbaan); de community schreeuwt "give us a poc or STFU" en Y repareert het lek in X niet. Uiteindelijk schiet je hier zelf niets mee op, integendeel!
Ook "de wereld" schiet er nauwelijks wat mee op: het zou kunnen dat Y naast troep slechts mooie praatjes verkoopt (die zijn er zat in deze business) maar aan de andere kant zou jij ook ingehuurd kunnen zijn door een concurrent om Y zwart te maken - je levert immers geen bewijs. Bovendien heb je kans dat criminelen je gaan benaderen (wellicht niet al te zachtzinnig, bijv. zich voordoend als justitiemedewerkers) om je jouw "geheim" te ontfutselen. Afhankelijk van wat je wel publiceert kunnen derden denken dat jij een serieus wapen in handen hebt!
Het beste wat je, denk ik, kunt doen is eerst proberen het lek netjes bij Y te melden, zonder daar iets voor terug te willen hebben (je kunt wel vragen om een antwoord binnen een bepaalde termijn, maar dreig niet; heb je pech dan antwoordt een advocaat en zit de zaak definitief op slot). Doet Y er vervolgens niets aan, ga dan naar je baas en leg de situatie uit. Vraag dat product X wordt vervangen door een product van een andere leverancier. Daarna kun je overwegen om het lek bij bijv. ZDI te melden. Of Full Disclosure gaan, maar zorg dan dat je zelf je anonimiteit waarborgt.
Vaak is het -helaas- de veiligste oplossing om je verlies te nemen en de zaak te laten rusten. Doe dat zeker als je niet in een "rotsvaste situatie" verkeert (denk aan je loopbaan, gezin etc).
Anderzijds, als je een "lekkenjager" bent die zelfstandig opereert (niet gedekt door een kudde kundige advocaten), blijf dan uit de buurt van bedrijven die geen duidelijk "responsible disclosure" beleid hebben.
Recente "beloningstarieven" dekken wellicht wel je kosten, maar zelden de juridische risico's die je loopt (en, als je beloond wordt, gebeurt dit altijd achteraf). Je moet je goed realiseren dat veel bedrijven er bewust voor kiezen om weinig tijd aan het beveiligen van hun producten te besteden. Voor dat soort bedrijven ben jij de grootste bedreiging, niet de lekken in hun product. En als ze al iets met jouw informatie doen: vaak heb jij het topje van een ijsberg ontdekt, en zal het bedrijf andere dan het door jou gevonden lek voorrang geven. Daar vertellen ze jou natuurlijk niets over, jouw indruk is dan alleen maar dat ze jou laten bungelen (dat zou kunnen, maar het kan ook zijn dat ze echt met belangrijker zaken bezig zijn).
Sowieso begint het er vaak al mee dat het ernorm lastig blijkt te zijn om iemand in bedrijf Y te vinden die begrijpt wat het lek inhoudt dat jij hebt gevonden (of denkt te hebben gevonden, die fout maak ik ook regelmatig - terughoudendheid is vaak op zijn plaats). Daarna moet Y het zien te reproduceren, ook dat lukt lang niet altijd. Reken maar op heel wat frustraties!
Misschien kan https://www.ncsc.nl/actueel/nieuwsberichten/leidraad-responsible-disclosure.html je verder helpen.
Terzijde, het zou goed zijn als bij ICT aanbestedingen ook naar dit aspect gekeken zou worden: hoe gaat een bedrijf om met gemelde lekken? Hoe snel worden die vervolgens verholpen?
Met alle respect, de morele overweging tussen een boekenbon of in potentie de gevangenis in belanden is niet zo'n hele lastige. Al vind ik uw inzet voor een veiligere wereld wel zeer respectabel.
En vergeet niet dat bedrijven via e-mail mensen al snel afwimpelen omdat ze niet zitten te wachten op een media circus, al is dat misschien contraproductief. Terwijl ze in werkelijkheid als kippen zonder kop aan het rondrennen zijn om een probleem op te lossen.
En vergeet niet dat bedrijven via e-mail mensen al snel afwimpelen omdat ze niet zitten te wachten op een media circus, al is dat misschien contraproductief. Terwijl ze in werkelijkheid als kippen zonder kop aan het rondrennen zijn om een probleem op te lossen.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.