После моей недавней статьи: “Почему в Украине нет белых хакеров или история взлома Киевстар”, которая попала в рассылку “Самое интересное на Geektimes”, я внимательно ознакомился с комментариями и пообщавшись с некоторыми моими читателями, я понял, что надавил на больную мозоль.
Уязвимость однозначно стоит денег, в худшем случае тех, которые может потерять компания.
В 2015 году потери от утечки данных в среднестатистической компании оцениваются приблизительно в 3.8 миллиона долларов согласно отчету Ponemon. & IBM.
Минимальную же оценку уязвимости вы можете посмотреть в публичных Bug Bounty программах. Это те рамки от и до, в которых стоит мыслить.
Важно понять, что оценка уязвимости без должного анализа — это сугубо субъективный процесс, ведь каждый скажет свою цифру с потолка. Это чем-то схоже на оценку предметов искусства. Каждый предмет (уязвимость):
- абсолютно уникален и неповторим
- подделать не возможно
- имеется в единственном числе
- для кого-то не стоит и гроша, а кто-то готов заплатить миллионы.
Для тех хакеров, которые далеки от этого понимания и придумали Bug Bounty программы, где огласили фиксированный прейскурант на описанные типы уязвимостей и поставили это на поток
Задумайтесь, Малевич ведь не знал сколько будет стоить его квадрат, когда его рисовал.
А ведь до сих пор многие наивные хакеры несут свое творчество и ожидают хоть какой-либо благодарности, в то время как на их дары непонимающе смотрит руководство, пока IT-отдел, заканчивая третью партию в доту левой ногой фиксит баг, который выкатили с мыслями «мне за это не доплачивают».
Особо умные руководители уже оптимизировали расходы на зарплаты тестировщиков, запустив баг баунти программу, ввели штрафы и премии, привязав их к количеству найденных багов многотысячной армией бесплатных тестировщиков-хакеров.
Не все люди технического склада ума обладают навыками продаж и могут провести переговоры с топ-менеджментом, поэтому если у компании, в системе которой вы нашли уязвимость, есть открытая программа вознаграждения, и вы согласны на озвученную цену — тогда можете смело репортить.
Если же программы нет, тогда назначайте свою цену, почему нет? Это ваше время и только вы можете его оценить по достоинству. В конце концов, есть теневой рынок и различного рода форумы, где в достаточной анонимности вы сможете продать информацию за хорошие деньги.
P.S. продажа открытой и доступной для всех информации не является нарушением закона
Комментарии (59)
olku
28.07.2016 22:22+3Не флейма ради, а токма ликбеза для. Хотелось бы комментарий практикующего юриста про торговлю якобы «открытыми» и «доступными» способами в контексте соучастия в преступлении, хотя бы для юрисдикции России. А то как наркоту делать — ай-ай!, а как банки ломать — милости просим!
rewiaca
28.07.2016 23:20It-право, это довольно размытое понятие, в принципе. Взять хотя бы вопрос спама и его легальности в различных его формах проявления.
pda0
28.07.2016 22:53+4Знаете, я вот радикально не соглашусь с прошлой статьёй. Пора уже вводить понятие GrayHat, потому что, какой ты, на фиг, WhiteHat, если ты *требуешь* вознаграждения?
А текущая ситуация давно превратилась в вымогательство. «Заплатите нам или мы воспользуемся уязвимостью.»
Насчёт картинки выше — совершенно согласен. Очень справедливая. Собственно, каждый сам выбирает приемлимые и неприемлимые для себя действия. Для кого-то приемлимо наркотиками торговать, для кого-то — поехать в горячую точку, подзаработать. Кто-то организует секту. Кто-то — пирамиду. Ну, или вот так тоже можно. И ужин будет соответсвующий.rewiaca
28.07.2016 23:12Так потому мы и видим в еновостях сколько хакеры денег наломали и кому из них не удалось избежать наказания. Для White Hat никто не создает условия, это попросту не выгодно.
pda0
28.07.2016 23:24+6Ещё раз: «Мне не заплатят — продам или использую уязвимость» — это ни разу не WhiteHat. Я ничего не имею против вознаграждений. Но если у кого-то позиция «Я тут только ради денег» — ради бога, только шляпку пусть белую снимет. Не идёт.
pda0
28.07.2016 23:30+5Т.е. с одной стороны денги — поощряют, а с другой — развращают. Читать статьи «я нашёл баг, написал, у них не было баг баунти, мне не заплатили. гады» — мне уже противно.
nikitasius
29.07.2016 11:30+1Любая работа должна быть оплачиваема. Если ты волонтер — это личный выбор, никто заставить быть волонтером (как вы тут пропогандируете в случае с whitehat) не может. Советский союз давно развалился.
pda0
29.07.2016 12:14+1Вы не поняли, просто был случай тут, вроде даже на хабр попадало, но ссылок не сохранил. Человек нашёл на каком-то сайте уязвимость и сообщил хозяевам. Те её закрыли и всё. Программы баг баунти у них не было. Парень обиделся. (Напоминаю, работу ему никто не заказывал и обещаний никаких не давал.) Сильно резануло то, что в комментариях (вроде даже на реддите было) многие согласились с ним, типа ему были обязаны заплатить.
Вот это мне не нравится. Начинают считать, что подобные программы — обязательная вещь.nikitasius
29.07.2016 12:42Вот это мне не нравится. Начинают считать, что подобные программы — обязательная вещь.
Но если у кого-то позиция «Я тут только ради денег» — ради бога, только шляпку пусть белую снимет
Вы сейчас сразу на 2х стульях. Надо или корпорации защищать или whitehat'а.
У вас же получается и первые плохие, когда денег не дают или спасибо не говорят, и второй, когда денег требует.
В итоге получается, что богатые становятся еще богаче (экономия на IT специалистах и отказ платить), а бедные как на картинке с ролтоном.pda0
29.07.2016 13:01+1Вот вы опять. «Отказ платить». Какой отказ там, где договора не было? Никто никому ничего не должен.
Никто не обязан искать уязвимости в чужих сайтах. Но и запрещать кому-то делать это бесплатно из альтруистических соображений — нельзя. И не надо переживать какой там кто ролтон ест.
Нет ничего плохого в том, что для кого-то это легальный заработок. И кто-то целенаправленно ищет баги там, где за них обещают вознаграждение. Но какого чёрта он ищет там, где не обещают?
На двух стульях как раз пытается сидеть тот, кто объявляет что делает это ради того, чтобы сделать мир лучше, но при этом требует награды. С тех, кто ему ничего не предлагал. :) Так что, получается, я защищаю И корпорации И WhiteHat, от тех, кто мимикрирует под первых и шантажирует вторых. :)shanker
29.07.2016 13:06+2Но какого чёрта он ищет там, где не обещают?
Я в основном на баги натыкаюсь случайно. Потом только раскручиваю, чтобы понять насколько они опасные. Правда, эту информацию приходится оставлять при себе. И 0-day так и остаётся 0-day. Почему так происходит — побробно описал нижеpda0
29.07.2016 13:41Ну, отлично. Вы же сами прекрасно понимаете какие варианты у вас есть. Можете бодаться с поддержкой чисто ради «мира во всём мире». :) Можете пройти мимо. Можете воспользоваться сами. Можете попробовать продать. Можете попытаться шантажировать угрозой продажи или использования.
Вам нужно чтобы кто-то объяснил вам какие варианты этичны, какие нет? Или нужно чьё-то разрешение или моральное оправдание на некоторые из пунктов? ;-)
Или хотите оспорить мою мысль в этих комментариях, что мне не нравиться, что вариант с шантажом вдруг начал считаться этичным?
nikitasius
29.07.2016 14:40+1Какой отказ там, где договора не было? Никто никому ничего не должен.
Так и я о том же. Спросить, если ли баунти система. Если баунти система есть — отрепортить. Если нет — спросить, как они поступают с багами. Технич. подробностей не говорить. Далее, по личному желанию и соображениям или выйти глупым альтруистом (компания экономит на вас деньги), или продать сей баг на рынке. Все.
И кто-то целенаправленно ищет баги там, где за них обещают вознаграждение.
Как уже написал shanker, на баги и случайно натыкаются в том числе.
Или хотите оспорить мою мысль в этих комментариях, что мне не нравиться, что вариант с шантажом вдруг начал считаться этичным?
О шантаже речи не идет. Идет речь о том, что компания, в которой кривые продукт или подрядчики может, если хочет, выплачить некую плюшку, которую можно намазать на хлеб если уж не с икрой, то с обычным маслом.
Если компания не хочет поощрить, а хочет и дальше экономить бабки на кодерах или на подрядчиках (=аутсорс), то ей просто отказывают в инфе и все. Пусть сами копаются, платят и делают проверку всей системы, что им дороже встанет.
Еще добавлю, для сообщения инфы о баге используйте новые ящики и смените IP, чтобы в случае отказа они не могли найти место, где вы светились и таким макаром сам баг. Упертым — флаг в руки. В данном случае упертая компания.
goodwind
29.07.2016 10:34+1Мне кажется, надо разграничивать шантаж и участие в bug bounty.
Т.е. если хакер нашел уязвимость у компании, которая не объявляла награду за уязвимости, и требует деньги в обмен на неопубликование — это шантаж.
А если компания объявляет «Ребята, мы готовы платить за уязвимости» то здесь скорее что-то вроде работы по найму по договору оферты. Увидел предложение поискать дыры, согласился с условиями, нашел дыру — ждешь награду. Честный обмен своего времени на деньги
lsknwns
29.07.2016 10:35Абсолютно солидарен.
Само понятие 'вознаграждения' (в награду, благодарность, etc) подразумевает это.
Награда по требованию уже как бы и не награда вовсе, а рынок.
nikitasius
29.07.2016 11:28Скорее уж поменять понятие whitehat: хакер, сообщает компании об уязвимости в соответствии с программой поиска этих самых уязвимостей.. Нет программы — нет сообщений!
В текущем же варианте выходит, что whitehat'у никто ничего не должен, а он всем обязан. Так неправильно и в корне неверно.
Если ты помог чьему-то бизнесу, будь добр получить награду.
На моей памяти было несколько ситуаций, когда из-за тех или иных факторов (которые даже и не ищещь специально) можно поднять тот или бакшиш, но программы и баунти нету, а заморачиваться (с подготовкой к «даркнету», биткоинам, левым серверам) просто лень. Конечно там и суммы были бы небольшие, и если правильно подойти, то вас никто в жизни не найдет.
Так что про $миллионный баг — обязательно продать за €полляма. А то, что попроще, и где можно поднять пару $тысяч, и нет программы баунти — не серьезный аргумент для перехода на другую сторону.pda0
29.07.2016 11:53Собственно я GrayHat и предложил. Правильный подход в общем случае — никто никому ничего не должен. Собственно, возможны альтруисты, просто желающие сделать сеть безопаснее. Находят уязвимости и сообщают, не ожидая вознаграждения (но не обязательно отказываясь). Своеобразные фрилансеры, которые подрабатывают поиском уязвимостей (последним стоит узнать про условия и наличие программы баг баунти ДО начала анализа). Ну и откровенные преступники, что ищут уязвимости в корыстных целях.
HatsuneAkeno
29.07.2016 13:50GrayHat — есть понятие и оно гласит о том, что хакер называя себя белым, берет заказы и использует это для законного проникновения внутрь периметра и потом крадет данные для личного пользования или продажи. Ну с дырками таже беда.
d_olex
28.07.2016 23:08+3А в чем проблема? Если вендор считает что ему не выгодно запускать баг баунти программу то это его право и его личное дело, не сотрудничайте с такими вендорами и будет вам счастье.
randomib
29.07.2016 03:06+9Ты заметил, что сосед забыл закрыть входную дверь. Насколько справедливо требовать с него денег за эту информацию?
Если он захочет, то отблагодарит тебя сам или скажет просто спасибо. Требовать это уже шантаж. Пойти продать эту информацию Васе-форточнику — гнустность, тем более писать о факте продажи в паблике.
Искать уязвимости и уметь взламывать сети — это круто, может быть даже искусство. Но последнее время все больше появляется людей, которые считают что им все должны за XSS и просто так это оставить не могут. Это значит одно — такой человек настолько редко находит достойные уязвимости, что ценность каждой у него зашкаливает и он тратит кучу времени на доказательство своего «интелектуального» труда. Если ваша уязвимость настолько важна и у разраба нет баг баунти, то есть легальные глобальные общественные объединения, которые платят деньги за любые супер важные(в контексте интернета) уязвимости, их цель грамотно свести к минимому риски при исправлении этой супер-уязвимости и «остаться на светлой стороне».
А такие люди не только позорят имя исследователей, но и портят жизнь таким как я. Я сдаю уязвимости бесплатно, всем попавшим под мое внимание крупным компаниям. Мне ни разу не предложили за это деньги и я не требовал ничего, и в замен я получил пулл постоянных клиентов из этих компаний, потому что показал свою компетентность и адекватность, на фоне вымогателей за каждый чих.
Некоторые хотят сидеть в блэке, но зарабатывать как вайты, сохраняя мировозрение блэка. Вы уже определитесь, вы блэк или вайт? Или хотя бы подблэкивайте втихоря, так чтобы никто не знал. Но никак не шантаж от имени вайтов.
pda0:Читать статьи «я нашёл баг, написал, у них не было баг баунти, мне не заплатили. гады» — мне уже противно.
+1, ух уж это новое поколение новоиспеченных хацкиров.Barafu
29.07.2016 08:11+1Сейчас всё стоит денег, особенно время. Бесплатно, ради светлого завтра, баги в чужом софте будут искать полтора гика. За денюжку — тысячи и тысячи. В каком случае багов будет меньше? При этом тот, кто это умеет, всё равно будет этим подрабатывать. Можно либо от имени «всея интернета» дать им возможность делать это легально И стабильно, либо они пойдут в тень.
Компании и так все подряд подсовыват юзверям договор, по которому как бы компания не накосячила, сколько данных и бабла клиентов не потеряла — они рафики ниучём неуиноуатыя. Так что не вижу ничего плохого в том, чтобы заставлять компании не делать багов и раскошеливаться за сделаные. Иначе они совсем забьют на безопасность данных пользователей.saboteur_kiev
29.07.2016 14:47Когда программисты лезут в бизнес, и выносят важность качества кода выше прибыли — получается фигня.
Каждая компания имеет право решать вести свой бизнес так, как ей выгодно, в рамках законодательства, и в мире уйма бизнеса, которые отлично существуют со своими багами.
А шантаж «дайте мне денег» — неважно с какими целями — это нарушение закона. Если будет страдать бизнес — компания либо разорится, либо найдет выход как порешать. Хочешь быть добрым хакером — цени свое время не только за счет компаний, которым хочешь продать свой баг, но и заранее думай, стоит ли тратить такое драгоценное время на компанию, которая ничего не предлагает, а потом жаловаться.
Barafu
29.07.2016 20:17+2В том то и дело, что интересы бизнеса стоят выше не только качества кода, но и прав клиентов. Есть много способов как компания сегодня может обмануть клиентов, и ничего ей за это не будет. Не обеспечить должной безопасности пользователям, сэкономить на ней — один из таких обманов. Как показала практика, крупная компания, допустившая слив, не несёт никаких убытков, даже репутационных. Так будет ли она стараться недопустить?
Получается парадоксальная ситуация: чёрный шляп, шантажом вынудивший компанию закрыть баг, действует незаконно, но при этом приносит пользу сообществу пользователей в целом. Белый шляп, решивший «у этой компании нет bug bounty, пойду дальше», действует законно, но этим не приносит пользу обществу допускает совершение преступлений, которые мог бы предотвратить. Парадокс.saboteur_kiev
30.07.2016 00:42Какая проблема у белого шляпа опубликовать баг?
Не требовать «или дайте денег или ничего не скажу», а просто сообщить о баге.
А а если нет реакции, и ты считаешь, что баг должен быть исправлен — опубликовать его. Если что то через тот же https://www.openbugbounty.org/?Barafu
30.07.2016 00:47Проблема в возможности потратить свои таланты на 100500 других занятий, которые либо веселее, либо приносят дленьги. Не проблема даже, а зачем ему вообще ковырять чужой код забесплатно? Есть любители, конечно. Но их наамного меньше, чем было бы, существуй надёжная система как найденный баг оценить и продать.
А как опубликовать — как раз проблемы нет.saboteur_kiev
30.07.2016 04:35+1Ну так тратьте свои таланты на другие занятия? Вас кто-то заставляет?
Вы никак не хотите понять, что жизнь не крутится вокруг багхантеров?
Платить багхантером — это интересный ход, который особенно полезен для крупных публичных сервисов, но совсем не факт, что он нужен в 95% остальных случаев.Barafu
30.07.2016 09:18+1Жизнь не крутится вокруг багхантеров. Жизнь не крутится вокруг врачей, археологов и астрофизиков. Но без них как-то хуже, чем с ними. Деятельность багхантеров полезна уже тем, что они банально вытесняют из ниши преступников, так как расходуют общий с ними ресурс — дыры. Их бы поддерживать и развивать, а им вместо этого фиги, угрозы и «не хочешь — не занимайся».
saboteur_kiev
30.07.2016 14:17Меня радует, как вы багхантеров приписали к врачам, археологам и астрофизикам.
Но на самом деле, баги — должны искать тестировщики, это их прямая задача и зарплата.
Просто да, мир неидеален, и настроить производственный процесс таким образом, чтобы обойтись только своими силами — крайне сложно. И никто не против багхантеров. Но вот требовать, чтобы багбаунти программы была на КАЖДОМ ресурсе, на каждом сайте, у каждого продукта?..
rockin
29.07.2016 08:51-1Входная дверь? Как-то за уши сильно притянуто.
В данном случае входная дверь аналогична форме сайте типа «нажмите тут и вы получите root», но такого же не бывает.
Уязвимости в подавляющем большинстве случаев скрыты от масс и только человек с определённым уровнем может её найти.
Тут просится аналогия с «уязвимостями» в законодательстве. Сколько зарабатывают юристы высокого уровня? Вот вам и ответ. Я что-то не наблюдаю разделения юристов на белых, черных, серых и так далее. Они просто делают свою работу.
Развивая далее мысль — компания нанимает юриста для а) грамотного ведения дел б) защиты своих прав в суде. Если некая компания по пункту А не наймёт юриста, что она получит? Штрафы. Если по пункту Б компания на наймёт грамотного юриста, что она получит? Проигрыш дела и последствия проигрыша. Юристы точно также «эксплуатируют уязвимости», не находите?
nikitasius
29.07.2016 14:45Ты заметил, что сосед забыл закрыть входную дверь. Насколько справедливо требовать с него денег за эту информацию?
Сосед — это opensource (=денег с квартиры не имеет). Если же у него дома бордель (=деньги с квартиры имеет), то сообщить конкурентам в другой бордель, получить денежку, намазать икру и наблюдать за разделом имущества.
Еще играют немаловажную роль личные отношения и гражданская позиция (в случае, если это случается с ассоциациями или организациями). Но опять же, дверь != баг, об этом в общих словах не сообщить. Поэтому решение «позвонить соседу или спалить конкурентам» надо принимать на месте, пока другой сосед не принят за вас, руководствуясь своими личными интересами.
Dolios
29.07.2016 07:17+5Если же программы нет, тогда назначайте свою цену, почему нет? Это ваше время и только вы можете его оценить по достоинству.
Вас кто-то просил это время тратить? Автор, купи кирпич, я сейчас цену назначу, я время потратил, чтобы тебе его принести, полезная в хозяйстве вещь. Вы обыкновенный вымогатель и шантажист с таким подходом.Dolios
29.07.2016 07:47+2Вы даже тут себе цену набиваете так, что читать противно. К чему эта душещипательная история со скриншотом о том, что ваш пост попал в «самое интересное»? Это намек на то, что вы потратили время и нам следует заплатить?
shanker
29.07.2016 13:24Оценка — вообще довольно часто субьективная вещь. Вот как Лукацкий однажды говорил: допустим, над Африкой разбился самолёт со сверхсекретными сведениями о новом оружи. Вроде, ущерб от разглашения налицо… Но если туземцы не умеют читать — какой тут ущерб?
PavelMSTU
29.07.2016 14:52+1Ущерб в том, что неграмотные туземцы продадут эфиопам, а эфиопы иранцам.
(Правда ?t будет существенно больше, нежели если разобьется над Аризоной или Сибирью.)shanker
29.07.2016 17:02Для начала — туземцы должны понимать, что этот товар представляет ценность. Если иранцы узнали о случившемся и сами вышли на туземцев — это ещё возможно. Но чтобы туземцы сами понимали ценность и искали покупателя — маловертояно.
Также и с уязвимостями: нужно знать кому продать и как продажу осуществить. Стоять с плакатом «продаю уязвимости» у метро — вряд ли КПД будет высоким
perfect_genius
29.07.2016 09:35Интересно, а сами компании покупают в даркнете уязвимости к своим продуктам?
Xardas2000
29.07.2016 10:00Мне кажется, что все таки статье место на Geektimes, а то разработкой тут даже не пахнет.
zmeykas
29.07.2016 10:15+6Я за такой вариант:
— Есть баг-баунти: получил награду
— Нет баг-баунти: сообщил в саппорт
— Сказали спасибо: с чувством выполненного долга спишь спокойно
— Нагрубили, угрожали, отмахнулись: сливай все в даркнет пока не научатся.
saboteur_kiev
29.07.2016 14:43Бывают случаи, когда сказали спасибо, а смотришь — через месяц баг все еще не закрыт.
И какой бы ты ни был уникальный хакер, всегда найдется другой, который тоже найдет этот баг, и возможно втихоря будет им пользоваться, а компания — провайдер услуг или банк, и страдают пользователи.
Тогда как вариант, можно баг опубликовать в открытых источниках, с ссылками на свои обращения в саппорт, чтобы мотивировать их исправление. Это уже ближе к плохому, но все еще white hat.
PavelMSTU
29.07.2016 14:53— Нагрубили, угрожали, отмахнулись: сливай все в даркнет пока не научатся.
Заменить этот пункт на:
— Нагрубили, угрожали, отмахнулись: забить.
В остальном — поддерживаю.zmeykas
29.07.2016 15:36Ну я хоть не очень верю, но все же надеюсь что воспитательный момент может иметь место.
EminH
29.07.2016 15:41+2— Сказали спасибо: с чувством выполненного долга спишь спокойно
— Нагрубили, угрожали, отмахнулись: сливай все в даркнет пока не научатся.
«Сказали спасибо» — очень редко. Сливать в даркнет — это же тоже самое что и «взломать», только чужими руками. Это все равно вам в карму зачтется.
Есть еще один вариант, недавно наткнулся — https://www.openbugbounty.org/
можно зарепортить и отложить публикацию деталей уязвимости. система сама пошлет уведомление по контактам в whois или dns.
если нет реакции — full disclosure публикуется автоматически.
P.S. Там много чего интересного и до сих пор неприкрытого
https://www.openbugbounty.org/incidents/164922/
https://www.openbugbounty.org/incidents/94922/
akamap
29.07.2016 10:31+4Какое вымогательство? какой шантаж? Граждане, вы о чём?
Кто-то занимается благотворительностью, а кто-то — коммерческой деятельностью… Товар в данном случае — информация о баге.pyrk2142
29.07.2016 11:45+1Я бы сказал, что есть три разных варианта:
«Привет, я нашел у вас уязвимость. Вот ее описание… Вот чем она опасна .....» — это благотворительность.
«Привет, я нашел у вас уязвимость. Если вы готовы заплатить, то я все вам о ней сообщу и посоветую, как исправить» — это что-то вроде коммерческой деятельности.
«Привет, я нашел у вас уязвимость. Если вы заплатите, я сообщу о ней вам. Если нет, то я продам ее злым хакерам или опубликую» — вот это уже шантаж.
kucheriavij
29.07.2016 10:34Все очень просто. Если в западных компаниях эта программа нормально работает, то у нас (страны СНГ) это не позволяет делать менталитет, большинство руководителей просто напросто думает что «Почему я должен ему платить, ведь он взломал меня», ну и опять же, как это у нас может работать, если во всем мире менеджер это управляющая должность, а у нас менеджером может быть кто угодно.
pyrk2142
29.07.2016 11:40Я однозначно считаю, что компании должны заботиться об информационной безопасности. Поэтому я поддерживаю введение bug bounty программ, поощрений для хакеров, которые сообщили об уязвимости компании, негодую, если какая-то компания проигнорировала исследователя и не заплатила ему, нагрубила или проигнорировала.
Но есть определенная граница, которую я не перехожу. Когда я нахожу какую-то критичную уязвимость (например, которая позволяет получить полный доступ к аккаунтам всех пользователей какого-то хостинга), я сообщаю о ней компании. И если ответ меня не устраивает, то я ною на Хабре, готовлюсь писать статью об этом, просто забываю про это, но не продаю эту уязвимость и не публикую. Именно потому, что это WhiteHat. А сообщение об уязвимости с требованием вознаграждения и угрозами использования или публикации уже выглядит как шантаж. Это вполне серьезный BlackHat. Мало того, что это аморально, неэтично и незаконно (тут нужен юрист), но подобное поведение портит имидж всех белых хакеров в целом.ivan19631224
29.07.2016 13:34-1По-моему, если строго следовать закону, то даже просто целенаправленный поиск уязвимостей в сервисе, если нет договорённости с владельцами (в форме публичной bug bounty, либо персональной), является преступлением. Не важно с целью ли взломать сервис/продать уязвимость или сообщить владельцу.
pyrk2142
29.07.2016 15:26Это интересный вопрос, на самом деле. Например, я создал в каком-то сервисе аккаунт, ищу XSS или CSRF. К чужим данным не лезу, получаю доступ к своим, только разными способами. Возникает вопрос, можно ли меня за это как-то наказать (исключительно с точки зрения закона).
ivan19631224
29.07.2016 16:01Ну доступ к данным это одно дело. Но вы же в любом случае будете пользоваться сервисом при этом, возможно слать специально сформированные запросы. А вдруг сервис упадёт, или что внутри сломается — будет нанесён ущерб. Конечно, тоже самое может произойти если пользователь введёт что-то не то. Но с точки зрения закона небезразлично наткнулись ли вы на проблему совершенно случайно, или же целенаправленно искали слабые места — это может в корне всё поменять.
Если ничто не упало и не сломалось, ущерба не нанесено, но вашу "нехорошую" активность обнаружили — не знаю. Вроде есть "Статья 272. Неправомерный доступ к компьютерной информации" и формулировки там настолько общие, что можно что угодно притянуть. Думаю, всё на дано откуп экспертов.
saboteur_kiev
29.07.2016 16:16Если не подписывали соглашение с владельцами сервиса (не регались, нажимая галочку «согласен»), то само исследование — еще не нарушение. Но тут уже суд решит, насколько осознанно вы взламывали или исследовали.
shanker
29.07.2016 12:24+5Вот мой скромный опыт:
1. Обход проактивной защиты Agnitum Outpost Security Suite
(bug bounty не было)
2. Обход проактивной защиты продуктов лаборатории Касперского (bug bounty не было)
3. Попал в Yandex Hall of Fame за найденный баг в Яндекс.Браузере (тогда у них не было ещё bug bounty)
Итог: куча потраченного времени на общение с саппортом и попытку донести важность проблемы. В случае с Agnitum — фикс появился уже после того, как я сначала выступил с докладом на ZeroNights, а потом выложил статью на Хабре.
Внимание, вопрос!
Имеются актуальные найденные баги (уже год как нашёл и они ещё актуальны) в:
1. Серверах SuperMicro (хардкодные пользователи с паролями + возможность использовать устройство как socks-proxy неавторизованному пользователю)
2. Спутниковом оборудовании компании Intellian. (хардкодные пользователи с паролями, возможность покрутить спутниковую антенну). Через Shodan их в Интернете найти не удалось. А через наш поисковый механизм найдено 30 штук. Подозреваю, что в интернете их немного, т.к. у них в основном локальная адресация.
Как я понял, и у SuperMicro, и у Intellian нету bug bounty. И что мне с этим делать? Какая у меня мотивация тратить кучу времени и опять что-то доказывать саппорту? Если можно было бы законно продать — я бы потратил время на общение с саппортом, развёрнутое описание проблем. Тратить время на продажу через даркнет? Тут тоже проблемы: времени портачу точно. Найду ли покупателя — не факт. И + вопросы законности, которые совсем уж ставят финальный крест на этом пути
shanker
29.07.2016 12:37+1В добавок: а писать статьи, пока это 0-day — не этично. Т.е. чтобы быть этичным и позволить себе написать статьи о багах, я должен пройти ад общения с саппортом.
HatsuneAkeno
29.07.2016 13:56Ну берем как в случае c Agnitum и выступаем на конференции. Также если конференции нет, пишем в саппорт и через 3-7 дней публикуем статью. Я считаю, что это куда будет продуктивнее. Да не заплатят, но свое имя в сфере ИБ надо же как-то делать :)
121212121
01.08.2016 22:43Да никакой мотивации.
Сообщил на свою голову Яндексу о баге FBL, наивно думал, что исправят.
Несколько месяцев общения и… они выпилили эту функцию вообще.
Так что о двух других мелочах я теперь просто промолчу.
nikitasius
На самом деле: если звезды правильны на небе, и найдет баг, который может стоит миллион, то его надо продать за полляма.
Ну, а уязвимости у мелких сайтов, в опенсорс софте или где еще по мелочи — сообщить по почте, или создать issue.
rewiaca
Логичное, а самое главное, мотивирующее ценообразование.
Но ведь, написав это в письме руководству компании, не посчитают ли это вымогательством?
nikitasius
Не компании продавать, а в даркнет выходить.