Должен ли я отвечать «этическому хакеру», который запрашивает награду?

Настоящий «этичный хакер» скажет вам, какие проблемы он обнаружил в вашей системе, и не попросит за это денег; (s) он мог предложить исправить это как подрядчик, но это будет после того, как сообщит вам, в чем реальная проблема; и в любом случае это совсем другое, чем просто попытка запугать вас, заставив вас заплатить.

Это простой и простой шантаж.

(Кроме того, это вполне реальная вероятность того, что реальной уязвимости нет и кто-то просто пытается обманом заставить вас платить деньги зря).

Хотя это может быть шантажом, есть много возможностей для искренних добрых намерений. Поэтому вот несколько более подробных мыслей о том, как можно обрабатывать незапрашиваемые отчеты об уязвимостях. Вкратце: у вас есть все основания для осторожности, но вы не должны грубить .

Кто может находить уязвимости и почему?

Этичные хакеры проводят свой анализ на основе контракт обычно с заранее определенными целями и ограничениями. Это могут быть упорядоченные назначения или более свободно определенные программы вознаграждения за ошибки, либо напрямую, либо через платформу, подобную HackerOne . В любом слючае, этический хакер (или хакер в белой шляпе ) всегда имеет явное разрешение.

Только по деталям в этом вопросе трудно сказать, является ли полученное вами сообщение явное мошенничество или кто-то с хорошими намерениями, но непонимание - или готовность придерживаться этических стандартов. Последние серые шляпы могут даже нарушать законы, но у них нет злых намерений. Индустрия тестирования на проникновение также чрезвычайно модна, поэтому существуют всевозможные самозваные тестеры на проникновение , этические хакеры , исследователи безопасности и т. д. с разными навыками (или полным их отсутствием). В этом случае они могут извлечь выгоду из некоторого мягкого руководства, тогда как ложные обвинения могут привести их в неверное русло.

Я обнаружил несколько уязвимостей случайно, без намерения каким-либо образом проткнуть систему. Эти случаи, как правило, довольно жесткие, и я сомневаюсь, не сообщать ли об этом вообще, сообщать анонимно или сообщать на мое имя, что дало бы мне возможность помочь им с дальнейшими вопросами. Реальность такова, что из-за того, что у меня не было разрешения, получатель может интерпретировать или обработать мой отчет неожиданными способами, что может вызвать у меня судебные обвинения или другие проблемы. До сих пор они относились ко мне с симпатией.

Получили ли вы пользу от этих открытий?

Вас просят заплатить за находки, но, не зная подробностей, вы не можете быть уверены, стоит ли платить за них вообще. Уязвимости бывают самых разных форм и размеров. Некоторые из них критические, а некоторые второстепенные. Некоторые из них также могут показаться проблемными со стороны, но они совершенно не имеют отношения к вам или находятся в пределах вашего принятого риска. Просто невозможно продать уязвимости частями, пачками, килограммами или литрами.

Два примера совершенно бесполезных отчетов, которые я получил недавно, оба с искренним намерением.

1. В сообщении предлагалось вознаграждение за обнаружение веб-страницы, защищенной Базовая аутентификация HTTP , которая действительно не является безопасным методом аутентификации. Однако, поскольку это был лишь дополнительный уровень безопасности перед фактической страницей входа и в любом случае не защищал какую-либо критическую систему, на самом деле это не было уязвимостью. Следовательно, это открытие не имело ценности для компании.

2. Отчет об отсутствующей записи SPF. Объяснение было правильным и все такое, но запись не пропала! Вместо запроса из DNS «охотник за ошибками» использовал веб-инструмент поиска SPF, но использовал http://example.com вместо example.com . Из-за этой синтаксической ошибки запись не отображалась.

Поэтому, чтобы оценить значение, необходимо раскрыть некоторые детали уязвимости. Если кто-то, обнаруживший уязвимость, думает, что разглашение этих сведений может привести к потере награды, уязвимость может быть бесполезной: известная, легко обнаруживаемая с помощью автоматических инструментов, в пределах допустимого риска, слишком незначительная или иным образом не имеющая отношения к делу. С другой стороны, если уязвимость серьезная, она часто бывает настолько сложной, что предоставление некоторого доказательства концепции не поможет полностью исправить ее. Дополнительная работа, необходимая для описания и устранения уязвимости, ценна и будет оплачена.

Нет ничего необычного в том, что кто-то, обнаруживший уязвимость системы безопасности, получает вознаграждение за свое открытие. Многие известные проекты с открытым исходным кодом и веб-сайты имеют правила выплаты вознаграждения за ответственное раскрытие уязвимости. Я не знаю, насколько часто компании выплачивают вознаграждение без предварительной настройки какой-либо программы вознаграждения.

Я получил вознаграждение за сообщение об ошибке безопасности в очень известном веб-приложении с открытым исходным кодом. Вот как это сработало в моем случае:

• Я сообщил об уязвимости команде разработчиков с помощью их предпочтительного метода отчетности, включая тот факт, что, если бы ошибка соответствовала критериям вознаграждения, я был бы заинтересован (у них была общедоступная программа вознаграждений за ошибки) .
• Я хранил информацию об уязвимости в секрете, пока команда выявила и исправила проблему.
• Когда был выпущен патч, меня уведомили, что за мой отчет действительно полагается вознаграждение и сколько они будут готовы заплатить .
• На этом этапе я мог свободно обсуждать свою уязвимость публично (хотя и не делал этого).

Ключевые моменты здесь заключаются в следующем:

1. Отчет был составлен без подробностей о выкупе, пока я не был
2. Подробная информация об уязвимости не была опубликована до тех пор, пока поставщик не внес исправление.
3. Если бы проблема, о которой я сообщил, на самом деле не была ошибкой безопасности, мне не заплатили бы.
4. Поставщик решил, сколько стоит уязвимость. У них действительно есть общедоступная таблица «Уязвимости типа X будут оплачены до $ Y» на их веб-сайте.

Хотя у меня есть прямой опыт работы только с этим одним поставщиком, я считаю, что этот процесс довольно типичен для большинства.

В вашей ситуации я бы:

1. Настаивал на ответственном раскрытии уязвимости. то есть вам, напрямую и без какой-либо формы публичного или полуобщественного раскрытия вашим «хакером». Вы хотите знать об этом раньше всех, это одна из тех вещей, за которые вы платите. Если ваш хакер публикует об этом публично или говорит об этом со своими товарищами, то сделки нет.
2. Настаивайте, чтобы подробности уязвимости были проверены экспертом по безопасности. Если вы говорите, что являетесь представителем одного актера без большого опыта в области безопасности, это, вероятно, означает найм кого-то по контракту, чтобы помочь вам.
3. Если ваш эксперт согласится, что это проблема безопасности, они смогут дать вам представление о его серьезности, и ВЫ сами решаете, сколько это стоит.

Сколько вы должны заплатить? Решать вам. В моем случае производитель оценил ошибку как «критическую», после чего она была исправлена. Это могло привести к серьезному компромиссу, но сделать это было сложно. Мне заплатили чуть меньше 5 тысяч долларов за мои усилия, что близко к верхнему пределу диапазона, указанного на их веб-сайте.

Кроме того, если они просто говорят вам об известной уязвимости безопасности в некоторой третьей стороне программное обеспечение, которое, вероятно, не стоит много. например если вы использовали старую версию WordPress, и ошибка была известной уязвимостью WordPress.

Это черная почта?

Если они настаивают на том, чтобы вы не получали подробностей, пока не будет выплачено вознаграждение. Да. Эти программы обычно работают не так, настоящий этический хакер это знает.

Это его способ сказать, что тебе лучше заплатить мне, или я собираюсь нанести ущерб хаос?

Настоящий этичный хакер не пытается сеять хаос. И они не будут продавать уязвимость кому-то другому, если вы не заплатите. Но это предполагает, что вы имеете дело с законным этичным хакером, а не с каким-то нарушителем спокойствия, который пытается ограбить вас или создать проблемы.

Или это типичный и законный метод для людей зарабатывать на жизнь без каких-либо гнусных намерений?

] После того, как я заработал свою награду, я посчитал и решил, что потенциально могу зарабатывать на жизнь, собирая награды. Возможно. Кто знает, задумал ли твой парень. Попытка получить вознаграждение от компаний, у которых нет официальных программ вознаграждений, - довольно рискованный способ, который идет вразрез с вашим парнем, IMHO.

Да, это шантаж.

Ответственное дело - сообщить вам конфиденциально. Возможно, с политикой раскрытия информации о том, чтобы в конечном итоге стать достоянием общественности, если через некоторое время не будет ответа.

Более вежливым способом ведения бизнеса будет намек на то, что вы получите больше отчетов, если предложите вознаграждение в виде вознаграждения за ошибку или аналогичного. Но все равно отправьте подробности проблемы.

Рассмотрение вопроса о найме специалиста по безопасности (не этого «хакера») для оценки ваших систем. Какую бы форму он ни принял, одноразовое задание для проведения оценки безопасности, вознаграждение или переход на размещенную платформу для передачи операций другому лицу.

Комментарий @ GlennWillen попал в самую точку:

Даже если "уязвимости" реальны, не следует предполагать, что они полезно, если вы сами не понимаете их в контексте. Например, это есть ли реальный способ причинить вред, встраивая свой сайт в iframe? Я все время получаю эти спам-сообщения об уязвимостях, но рассматриваемый сайт представляет собой статическую маркетинговую страницу без входа пользователя возможность, поэтому нет возможности использовать для выполнения кликджекинга атаковать его. Эти люди просто запускают "сканеры уязвимостей" против ваш сайт, а затем попросите у вас денег. Они на самом деле не понимают вывод инструментов.

Если говорить более конкретно: с учетом двух проблем безопасности, упомянутых «хакером» (SPF? all и clickjacking), наиболее вероятно, что хакер не потратил сколько-нибудь значительного времени или усилий , в частности , исследующий сайт OP.

Таким образом, чтобы избежать пометки для более конкретного таргетинга, OP не должен отвечать на электронное письмо.

OP должен проверить эти проблемы с настоящим экспертом по безопасности, но не должен вмешиваться с этим «хакером».

Как человек, работающий в сфере информационной безопасности и получающий довольно много таких отчетов, несколько комментариев:

• если охотник вносит платеж, условие для выявления уязвимости вы должны пройти. Это либо ложное сообщение, либо сообщение от кого-то, кто не является профессионалом (и, следовательно, имеет нулевую или низкую ценность)
• , если охотник предоставляет вам частичные доказательства и просит деньги за остальное (скажем, они показывают, что они доступ к большему количеству данных, чем они должны иметь), это шантаж. Основная проблема здесь в том, что вы вряд ли знаете, как решить проблему (или, может быть, даже понимаете, является ли это проблемой вообще). Так что оплата только за находку может не дать вам многого. OTOH, если вы знаете кого-то, кто может это исправить, тогда это может быть выстрел, после того, как вы пропустите то, что у вас есть, через этого «кого-то, кто может это исправить»
• , если они дали вам все, вам все равно, вероятно, понадобится кто-то, чтобы это исправить. Если вы сделаете жест, было бы неплохо (даже в виде какого-то подарка - это своего рода подарок, это зависит от множества факторов).

Вы также можете почувствовать, что вам наплевать на безопасность - это так совершенно нормально при условии, что вы знаете о последствиях . Поскольку вы ведете бизнес в Интернете, я думаю, что это не вариант.

Вы можете подумать о переводе своего бизнеса на решение SaaS, если это возможно, и позволить другим беспокоиться о таких вещах (включая безопасность).

Награды за ошибки работают наоборот!

Как они работают:

1. Поставщик услуг или поставщик программного обеспечения заранее объявляет о «программе поощрения ошибок» . . 12143] Более или менее этичный хакер находит ошибку. Они СООБЩАЮТ об ошибке, используя метод сообщения, объявленный в программе bug bounty. Они также могут поделиться этим с некоторыми авторитетными СМИ или экспертами, связанными с безопасностью, которые обещают хранить молчание некоторое время.
2. Ошибка оценивается заинтересованными сторонами. Они решают заплатить (или не платить) награду и связываются с хакером для уточнения деталей. (Они также в конечном итоге исправляют ошибку.)

Если они не отреагируют должным образом и своевременно, хакер, другие эксперты по безопасности или задействованные СМИ могут публично раскрыть ошибку, провал вознаграждения за ошибку программа и / или другие детали.

Я считаю, что это, скорее всего, спам, а это означает, что правильный ответ - это отсутствие ответа.

Кто-то получает список малых предприятий и рассылает всем такие электронные письма. Из миллионов намеченных несколько укусят и пошлют им деньги.

Помимо потери этих денег, жертвы теперь находятся в списке доверчивых людей, людей, которые станут мишенью для дальнейших мошенничеств, требующих большего личного внимания со стороны мошенник и больше денег.

Не попадайте в список доверчивых людей.

Конечно, вам все равно следует усилить безопасность:

Сделайте резервную копию ваших данных. Убедитесь, что резервную копию нельзя взломать, просто поместите ее на диск, который не подключен к сети.

Измените пароли. Не используйте один и тот же пароль для разных служб.

Составьте график периодического резервного копирования данных.

Говорит ли предоставленная информация сама за себя? И можно ли это подтвердить? Я мог бы быть склонен незамедлительно ответить, если первое верно, сказав, что я приступаю к комплексной проверке предоставленной информации.

Если все подтвердится, какова ценность этой информации для вас?

Какой тип отношений вы бы хотели поддержать эти интересы? Я ожидаю узнать предполагаемую форму оплаты и юридическое лицо, а также другие детали, связанные с нормами ведения бизнеса. Я прошу обо всем этом в своем ответе.

Если вы хотите заниматься бизнесом, договоритесь с этим человеком, чтобы продолжить, имея в виду, что вы можете в любой момент изменить свое мнение - как за, так и против.

Если он окажется, что вы вовлечены в преступную деятельность, вам нужно будет предоставить всю собранную информацию властям (ФБР?).

В противном случае вы можете получить и более качественное обслуживание, и сэкономленные ресурсы, и хорошую стоимость. Имейте в виду, что любой может изменить поведение и деловые отношения в любое время. Полезно установить доверие и четко разложить карты. Не думайте, что они хотят вымогать у вас, независимо от стиля презентации. Это помогает поддерживать профессионализм, ясность и порядочность, чтобы каждый мог уйти со своим достоинством. Надеюсь, это обеспечит содержательный контекст и контраст, а также поможет в вашей ситуации.

Да, это шантаж.

Я читал компьютерное право в аспирантуре, но, выступая как этический хакер и охотник за головами, я никогда не пытаюсь найти уязвимости (так называемое пентестинг) на веб-сайтах, которыми я не владею или не имею специального разрешения на тестирование.

Программы Bug Bounty существуют по определенной причине - чтобы дать хакерам возможность найти уязвимости и заработать на этом деньги. О тестировании без разрешения или без программы поощрения ошибок, которая автоматически предоставляет разрешение на основе определенных условий, например, о том, что сделал так называемый «этический хакер», можно сообщить в полицию, поскольку это киберпреступление - ничем не отличается от злонамеренного хакера.

Я понимаю, что мой ответ немного запоздал, и вы, возможно, уже заплатили, но любой, кто читает это в будущем, не должен платить этим самопровозглашенным «этическим хакерам».

Теперь , о самих «уязвимостях»: Ни одна из них не является настоящими уязвимостями!

В лучшем случае это просто лучшие практики безопасности. Раньше я управлял программой по выявлению ошибок, и такие отчеты (записи SPF допускают спуфинг, кликджекинг) - просто пустая трата времени. Если вы выполните простой поиск в Google , вы увидите, что подавляющее большинство программ по выявлению ошибок, запускаемых любой компанией, автоматически помещает эти отчеты в корзину и, возможно, заносит в черный список этих репортеров. Это потому, что эти «уязвимости» не имеют реального воздействия. Таким образом, репортер - это не просто шантажист; он также мошенник из-за преувеличения воздействия!

Я ему верю.

Вы не должны верить людям, не имеющим реальных полномочий. Под полномочиями я подразумеваю фактическое доказательство их этической хакерской деятельности, например, наличие нескольких CVE на свое имя или участие в соревнованиях по взлому безопасности (CTF) с хорошей репутацией, или участие в какой-либо технической конференции, или просто включение в список по крайней мере, один Зал славы в любой программе вознаграждения за ошибки и т. д.

И определенно не случайный парень, требующий денег с небольшого сайта без программы вознаграждения за ошибки.

Во-первых, можете ли вы воспроизвести реальную уязвимость на основе этой информации?

Во-вторых, действительно ли предоставленное решение устраняет эту уязвимость?

Если оба ответа «да», то вы можете почувствовать, что это было полезно, и заплатить вознаграждение, но вы не обязаны это делать.

Просить вознаграждение, когда есть не рекламировался, это не хороший бизнес, даже если предоставлена ​​вся необходимая информация. Если этот «хакер» связывается с вами и просит вознаграждение, не сообщая вам всех деталей, необходимых для самостоятельного воспроизведения уязвимости, то это шантаж и, возможно, мошенничество, если уязвимость является фиктивной.

Это больше похоже на обычную сноску, фишинг для программ вознаграждения? Не похоже, что он прямо упомянул об этом в теле письма, кажется, что это результат массового обследования, хотя, вероятно, безуспешно, поскольку это не противоречит разработанному приложению. Я не думаю, что кто-то будет платить за что-то, что легко выявить в ходе проверки безопасности / PEN-теста, но эту уязвимость не следует сбрасывать со счетов.

Если это принесло подлинную ценность, то не будет никакого вреда в признании их посредством какой-либо формы подписки или вознаграждения, но я также не чувствую никаких обязательств, первоначальное взаимодействие должно было быть менее спамерским / угрожающим. Попадал ли он в адрес нескольких администраторов домена (веб-мастера, администратора, почтмейстера и т. Д.) Или был запрошен запрос напрямую?

Если бы в электронном письме было указано, что «если у вас есть активная программа вознаграждений, я хотел бы подать жалобу против этого», оно казалось бы лучше? Английский может не быть их основным языком, а иностранная речь может показаться довольно резкой при прямом переводе, но это все лишь догадки, не видя композиции.

Есть этические хакеры, а затем являются «этичными» хакерами. Было бы неправильно, а иногда даже опасно принимать их за других. Проверьте сообщества хакеров и платформы, такие как hackerone.com, и вы увидите разницу между ними.

Есть те, кто действительно прилагает особые усилия, чтобы протестировать ваш сервер, проверить все уязвимости и сообщить вам обо всем заранее. Поэтому, если есть 10 ошибок, которые они могут найти, они сообщают обо всех вам, чтобы решить.

Также есть те, кто массово сканирует несколько веб-сайтов на предмет хорошо известных и легко обнаруживаемых ошибок, таких как веб-серверы, раскрывающие версию Nginx, которые можно легко исправить. отключив server_tokens; в конфигурации Nginx. У этих хакеров также есть элемент неизвестности: они сначала вылавливают несколько ошибок, проверяют пульс жертвы, а затем охотятся.

Так что, если бы это был я, я найду себе хорошего этичного хакера, чтобы Найдите все остальные уязвимости и исправьте их все вместе, или, говоря словами, никогда не позволяйте хакеру / незнакомцу взять верх в этих переговорах. Удачи.

Как говорили другие, скорее всего, это какое-то частично автоматическое сканирование уязвимостей, при котором вы платите деньги чтобы они исправили устаревшее программное обеспечение, которое в любом случае должно быть исправлено.

Но не игнорируйте это, просто скажите человеку, что он должен предоставить какой-то способ доказать наличие уязвимости, которая может быть использована для причинения вреда . Дайте им разрешение провести проверку способностей на вашем сайте, где они получают доступ или крадут некоторую информацию, не используя ее для причинения вреда. Если они смогут это сделать, то вы можете начать обсуждать дела.

Возможно, вам придется организовать какое-то условное депонирование третьей стороной, поскольку ни один из вас, скорее всего, не доверяет другой стороне настолько, чтобы в первую очередь выполнить на вашей стороне условия сделки. .

Это то, что мы называем "серым" взломом. Это смесь намерений белых и черных шляп. Серые шляпы обычно сообщают об уязвимостях для веб-сайтов , но не по доброй воле . Обычно они говорят вам заплатить вознаграждение и исправят это за вас. Возможно, это мошенничество, но большинство из них скажет вам, что это такое, или что-то еще, чтобы доказать вам законность. Обычно они делают это по собственной инициативе.