Computerbeveiliging - Hoe je bad guys buiten de deur houdt

openbaren van lek

28-05-2012, 12:37 door Anoniem, 6 reacties
ik zat me laatst af te vragen of je een lek MOET melden aan de producent van de software?

en is het legaal om geld te vragen voor het lek wat je gevonden hebt (aan de producent), of is dit afpersing/chantage?

het is niet dat ik een lek gevonden heb, maar mocht ik er een vinden dan weet ik wat mag en niet
Reacties (6)
28-05-2012, 13:28 door Anoniem
Misschien mag je juridisch gezien wel geld vragen, maar moreel gezien is je doel het voorkomen van exploits. Dat doe je door z.s.m. de fabrikant volledig in te lichten.

Maar je hoeft geen werk te verrichten voor die fabrikant, als die je vraagt iets extra's te doen, dan kun je daar gerust een bedrag voor vragen.
28-05-2012, 13:43 door Security Scene Team
Niks moet, maar 't is wel zo netjes. en ja je kunt verwachten dat een 'producent' je als afperser gaat zien als je dit zo voorstelt. je kunt natuurlijk heel netjes vragen of zij er een vergoeding voor overhebben, maar pak dat voorzichtig aan.

alsje erkent wil worden als goede penetratie tester, dan zou ik dit gratis en voor niets doen. mochten zij er niks mee doen of hoorje er niks van, probeer het dan nog eens. als antwoord uitblijft maak er dan maar een mooie 0day van en release dat. dit zal de meeste grote bedrijven wel een stok achter de deur zijn om hun softwares te beschermen.

Succes ermee.
28-05-2012, 14:12 door regenpijp
@ Security Scene Team

De meeste bedrijven nemen 0days wel serieus en het is niet een kwestie van exploit openbaren na 2 weken, veel security experts die lekken openbaren zijn al meer dan een jaar bezig met het proberen op te lossen van het probleem, dan pas gaat de exploit op internet en dus ook metasploit, dit is dus niet het lichtste middel.

Je kunt verder gewoon subtiel vragen om een kleine beloning voor wat onkosten zoals de tijd die je er mee bezig bent geweest dit lijkt me vrij normaal.
28-05-2012, 16:00 door Security Scene Team
Door regenpijp: @ Security Scene Team

De meeste bedrijven nemen 0days wel serieus en het is niet een kwestie van exploit openbaren na 2 weken, veel security experts die lekken openbaren zijn al meer dan een jaar bezig met het proberen op te lossen van het probleem, dan pas gaat de exploit op internet en dus ook metasploit, dit is dus niet het lichtste middel.

Je kunt verder gewoon subtiel vragen om een kleine beloning voor wat onkosten zoals de tijd die je er mee bezig bent geweest dit lijkt me vrij normaal.

hmm.. waarom @ Security Scene Team? ik bedoel, de bovenste en jouw reactie @ regenpijp, zijn gewoon niks meer dan andere verwoording van wat ik postte, raar. maar in werkelijkheid klopt het wel, dat de meesten er wel wat aan doen. maar toch blijkt dat ook veel groteren o.a. php niet altijd wat doen met die zooi.

ik blijf bij mn standpunt, door het te melden. doen ze er niks mee, maak er dan een leuke 0day van.
28-05-2012, 16:13 door regenpijp
Een PoC bevat meestal wel een soort van 0day exploit, anders kan er niet worden aangetoond dat het een exploiteerbaar lek is, anders is het niks meer dan een crash. :)
28-05-2012, 17:08 door 0101
Door Anoniem: ik zat me laatst af te vragen of je een lek MOET melden aan de producent van de software?
Nee hoor, dit is niet verplicht.

Door Anoniem: Is het legaal om geld te vragen voor het lek wat je gevonden hebt (aan de producent), of is dit afpersing/chantage?
Het neigt wel naar het laatste, hoewel het er ook vanaf hangt hoe je het meldt; "ik heb een lek gevonden in jouw software en als ik daar geen geld voor krijg dan verkoop ik het lekker aan hackers" is chantage, maar "ik heb een beveiligingsfout gevonden in de XYZ-module van uw software, tegen een redelijke onkostenvergoeding wil ik wel meer informatie geven" zit waarschijnlijk op het legale randje. Een lek melden en aanbieden om tegen betaling te helpen met het oplossen ervan is waarschijnlijk gewoon legaal.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.