Проблема с безопасностью, что мне следует сделать?

  1. Биржа фриланса
  2. Форум фрилансеров
  3. Юридические вопросы
Всеволод Х.
71 сообщение
#13 лет назад
Прошу совета по несколько щекотливому, на мой взгляд, вопросу. Вполне возможно, что некоторые пользователи этого форума уже сталкивались с подобной ситуацией и есть реальные прецеденты.
В общем имеется информация, касающаяся уязвимости некоего сайта (здесь и далее - никаких имен, адресов и названий).
Результатом этой уязвимости является как минимум утечка конфиденциальной информации (ресурс - коммерческий), как максимум - полный доступ к сайту.
Причина - известная ошибка в скрипте, и конечно же рас***дяйство администратора сайта или того, кто этот сайт делал...

Собственно вопросы:

1. должен ли я сообщить владельцу/администратору ресурс о проблеме?
2. в какой форме это лучше сделать, чтобы там никого кондрашка не хватила, или с работы кто-нибудь не вылетел?
3. имею ли я право (моральное хотя бы) попросить некоторое вознаграждение за указанную информацию?
3.1. я знаю как исправить ошибку - там всего несколько строчек кода дописать, могу ли я предложить оплатить эту работу в рамках фриланс-проекта?

Примечание к третьим пунктам - не будет ли это выглядеть как некое вымогательство?
Реакцию владельцев ресурса предсказать сложно, поэтому хотелось бы узнать мнения...
Дмитрий Войциховский
2128 сообщений
#13 лет назад
1. Ну обязанности как таковой у Вас точно нет. Так что чисто Ваша добрая воля.
2. Я бы написал по адресу администрации сайта, что вот, мол, у Вас на сайте случайно обнаружил дыру в защите, так и так. Если в результате кого-то кондрашка хватит или с работы выгонят - это их проблемы, пусть не хлопают ушами. Гораздо хуже для них же будет, если этой дырой кто-то успеет воспользоваться, так что пусть радуются, что кто-то добрый предупредил.
3. Если постфактум просто за сам факт указания на ошибку - нет, ибо Вас никто об этом не просил - см. п.1. Если Вы при этом сообщите, что знаете как исправить и готовы помочь за определенное вознаграждение, если они не справятся своими силами, - да, это будет вполне корректное предложение, от которого они могут и отказаться. Вымогательством это будет выглядеть в том случае, если будет похоже на угрозу или шантаж Т.е. постарайтесь составить письмо вежливо и дружелюбно, тогда все будет адекватно.
Андрей К.
1172 сообщения
#13 лет назад
Вас как минимум попросят доказать факт наличия дыры. Подумайте, как это сделать с минимальным ущербом для себя и для сайта. Если захотят демонстрацию, то делайте это через анонимные прокси, мало ли.
И такие вещи надо делать через проект, чтобы потом к вам не привязали вымогательство.
Артем Л.
11416 сообщений
#13 лет назад
Когда мы нашли дыру в одном сайте, написали админам, что так и так, попросили 500$, он просил показать как ломается и в чем ошибка, мы показали и он выслал деньги
Роман К.
6970 сообщений
#13 лет назад
Есть специальные хакерские группы, которые ищут дыры в широко используемых продуктах, а потом информируют об этих дырах разработчиков. Поищите информацию об их методах - наверняка они застраховались от любых обвинений.

Кстати, этот топик может служить хоть каким-то доказательством Ваших добрых намерений.
Андрей Г.
1329 сообщений
#13 лет назад
Цитата ("BCEX"):
В общем имеется информация, касающаяся уязвимости некоего сайта

Откуда информация? Вы ищете дыры в безопасности коммерческих сайтов, а после предлагаете их "закрыть"?
Хороший бизнес)
Денис Авдеев
599 сообщений
#13 лет назад
Трудно тут что-то советовать. Вполне могут оказаться обычными жлобами, узнают как решить проблему и в итоге ничего не заплатят.

Могу рассказать реальную, немного подобную ситуацию. Была лет 8 назад одна фирма, занимающаяся защитой информации в Украине. Имела все разрешения, сертификаты, лицензии и тд. и тп. Выпустила эта фирма продукт, который позволял шифровать данные (файлы, диски,..). Шифрация осуществлялась алгоритмами ГОСТа, и вроде как имела даже какое-то экспертное заключение. Пользователями этого продукта были КабМин, Администрация президента, Министерства, Ведомства, короче большой размах был. Столкнулся и я с этим продуктом. Мне хватило 1 часа, чтобы расшифровать любой зашифрованный в этой системе файл с абсолютно любым паролем.
Я от имени анонима написал на эту фирму и сказал, что могу указать на дыры в системе защиты за вознаграждение (какое конкретно - я не указывал). Мне написали, что такого быть не может, и прислали так, для пробы зашифрованный файл. Этот файл я расшифровал и отправил обратно. Ну а дальше тишина.
Самое интерестное началось через месяц, когда фирма полностью поменяла дизайн продукта, его название, но суть осталась та же. После этого я написал ребятам, сказав, что не хорошо как-то я подсказал, что есть серьезные дыры, а мне за это никто даже спасибо не сказал. На что получил ответ в стиле хи-хи-ха-ха, мы сами все нашли, в ваших услугах не нуждаемся.
После этого мне осталось указать одним из клиентов этой фирмы на серьезные дыры в продукте, который они используют. Затем началась цепная реакция, все массово начали отказываться от услуг и продуктов этой фирмы. Через пару лет об этой фирме и ее продуктах ничего уже небыло слышно. Вот и мораль: съэкономили условно говоря копейки, а потеряли все (клиентов, репутацию).

Вот такая история.
Артем Л.
11416 сообщений
#13 лет назад
Цитата ("Andrey-A"):
Хороший бизнес)

Очень хороший!
Цитата ("wertex76"):
Вот такая история.

Хорошая поучительная история!
Торрес А.
9 сообщений
#13 лет назад
Вот и ответ на вопрос сам по себе нарисовался)))

2BCEX - пошлите этой фирме, эту историю wertex76'a....получиться метафорично....если неглупые люди, пойму к чему))....если не поймут, вы им тупо уже говорите - у вас дыры, которые я могу исправить......если жлобы окажутся......С вас ведь не убудет?))..Ну не ответят - вам не все равно?
Всеволод Х.
71 сообщение
#13 лет назад
Цитата ("Andrey-A"):

Откуда информация? Вы ищете дыры в безопасности коммерческих сайтов, а после предлагаете их "закрыть"?
Хороший бизнес)


Ну, если бы это был мой бизнес, то я бы наверное не задавал таких вопросов... :P

Информация - с баг-трекера, двухгодичной давности. Решил доказать племяннику Жорику (почитателю журнала Ксакеп), что такие ошибки давно и везде исправлены и публикуются исключительно как информация к размышлению. Увы, российская проблема Номер Один все еще актуальна. Реально уязвимый сайт обнаружился в первой же десятке яндекса. Не знаю, как он уцелел до сих пор...

Цитата ("voron_76"):

Кстати, этот топик может служить хоть каким-то доказательством Ваших добрых намерений.


Отчасти за этим и создавался.

В общем напишу людям, а там что получится. Кстати, может быть и ссылку на этот топик стоит добавить...
Роман К.
6970 сообщений
#13 лет назад
Цитата ("m2418577"):
2BCEX - пошлите этой фирме, эту историю wertex76'a....получиться метафорично....

...и очень похоже на вымогательство и шантаж. Всё-таки одно дело - широко распространённый продукт, дыра в котором касается многих фактически обманутых людей, и другое - частный сайт, безопасность которого касается только его владельцев.
Всеволод Х.
71 сообщение
#13 лет назад
Цитата ("voron_76"):
Всё-таки одно дело - широко распространённый продукт, дыра в котором касается многих фактически обманутых людей, и другое - частный сайт, безопасность которого касается только его владельцев.


Это сайт солидной оптовой фирмы, одна только база клиентов это не только проблема владельцев, но и самих пользователей.
Если от их имени будет сделан заказ, или база попадет к конкурентам... Мало не покажется...

ЗЫ ответа пока что нет... может быть не приняли всерьез, или наоборот - сами дыру ищут...