Dois-je répondre à un "pirate éthique" qui demande une prime ?

Un vrai "hacker éthique" vous dirait quel problème il a trouvé dans votre système, et ne vous demanderait pas d'argent pour cela ; il pourrait vous proposer de le réparer en tant qu'entrepreneur, mais ce serait une erreur. après vous dire quel est le problème réel ; et dans tous les cas, c'est une chose complètement différente que d'essayer de vous effrayer pour vous faire payer.

C'est du chantage pur et simple.

(Il est également très possible qu'il n'y ait pas de réelle vulnérabilité et que quelqu'un essaie simplement de vous escroquer en vous faisant payer de l'argent pour rien).

Bien que cette pourrait être du chantage, il y a de nombreuses possibilités de bonnes intentions authentiques, aussi. Par conséquent, voici quelques réflexions plus complètes sur la façon dont on peut traiter les rapports de vulnérabilité non sollicités. En bref : vous avez toutes les raisons d'être prudent, mais vous n'avez pas à être impoli. .

Qui peut trouver des vulnérabilités et pourquoi ?

Les hackers éthiques effectuent leur analyse sur la base d'un contrat comportant généralement des objectifs et des limites prédéfinis. Il peut s'agir de missions commandées ou de programmes de primes aux bugs plus souples, soit directement, soit par l'intermédiaire d'une plateforme telle que HackerOne . Dans tous les cas, un hacker éthique (ou un white hat hacker ) a toujours une permission explicite.

Rien qu'à partir des détails de cette question, il est difficile de dire si le message que vous avez reçu est une escroquerie manifeste ou une personne animée de bonnes intentions mais manquant de compréhension - ou de volonté d'adhérer à des normes éthiques. Cette dernière hypothèse chapeau gris peuvent même violer des lois, mais ils n'ont pas d'intentions malveillantes. Le site test de pénétration L'industrie est également très à la mode, ce qui explique l'existence de toutes sortes d'entreprises autoproclamées. testeurs de pénétration , hackers éthiques , chercheurs en sécurité etc. avec des compétences variables (ou un manque total de compétences). Dans ce cas, ils peuvent bénéficier d'un accompagnement en douceur, alors que de fausses accusations peuvent les conduire dans une mauvaise direction.

J'ai trouvé plusieurs vulnérabilités par accident, sans avoir l'intention de toucher au système de quelque manière que ce soit. Ces cas sont généralement assez durs, et j'hésite entre ne pas le signaler du tout, le signaler de manière anonyme, ou le signaler avec mon nom, ce qui me donnerait la possibilité d'aider ces personnes pour d'autres questions. En réalité, comme je n'avais pas d'autorisation, le destinataire peut interpréter ou traiter mon rapport de manière inattendue, ce qui peut entraîner des poursuites judiciaires ou d'autres problèmes. Jusqu'à présent, ils se sont montrés compréhensifs à mon égard.

Bénéficiez-vous de ces résultats ?

On vous demande de payer pour les résultats, mais sans connaître les détails, vous ne pouvez pas savoir si cela vaut la peine de payer. Les vulnérabilités sont de toutes formes et de toutes tailles. Certaines sont critiques, d'autres sont mineures. Certaines peuvent également sembler problématiques de l'extérieur, mais n'ont aucun rapport avec vous, ou avec le risque que vous avez accepté. On ne peut tout simplement pas vendre les vulnérabilités en pièces, en paquets, en kilogrammes ou en litres.

Deux exemples de rapports totalement inutiles que j'ai reçus récemment, tous deux avec une intention sincère.

1. Un message proposait une récompense pour avoir trouvé une page web protégée par Authentification de base HTTP qui, en effet, n'est pas une méthode d'authentification sûre. Cependant, comme il ne s'agissait que d'une couche de sécurité supplémentaire avant une page de connexion réelle, et qu'elle ne protégeait de toute façon aucun système critique, il ne s'agissait pas vraiment d'une vulnérabilité. Par conséquent, la découverte n'avait aucune valeur pour l'entreprise.

2. Un rapport sur un enregistrement SPF manquant. L'explication était correcte et tout, mais l'enregistrement n'était pas manquant ! Au lieu d'interroger le DNS, le "chasseur de bogues" avait utilisé un outil de recherche SPF basé sur le Web, mais il avait utilisé les éléments suivants http://example.com 代わりに example.com . En raison de cette erreur de syntaxe, l'enregistrement n'a pas été affiché.

Par conséquent, afin de juger de la valeur, certains détails de la vulnérabilité doivent être divulgués. Si la personne qui a découvert la vulnérabilité pense que le fait de divulguer ces détails peut lui faire perdre la récompense, la vulnérabilité peut en fait être sans valeur : connue, facile à repérer avec des outils automatisés, dans les limites du risque accepté, trop mineure ou sans intérêt. D'un autre côté, si la vulnérabilité est grave, elle est aussi souvent si complexe que le fait de donner des détails sur la vulnérabilité peut entraîner la perte de la récompense. preuve de concept n'aidera pas complètement à le réparer. Le travail supplémentaire nécessaire pour décrire et traiter la vulnérabilité est précieux et sera rémunéré.

Il n'est pas rare qu'une personne qui découvre une faille de sécurité reçoive une prime pour sa découverte. De nombreux projets et sites web open source de premier plan ont pour politique de verser une prime pour la divulgation responsable d'une vulnérabilité. Je ne sais pas s'il est courant pour les entreprises de payer une prime sans avoir mis en place un programme de prime à l'avance.

J'ai reçu une prime pour avoir signalé un bogue de sécurité dans une application web open source très importante. Voici comment cela a fonctionné dans mon cas :

• J'ai signalé la vulnérabilité à l'équipe de développement par le biais de leur méthode de signalement préférée, en précisant que si le bogue pouvait faire l'objet d'une prime, je serais intéressé (ils avaient un programme public de primes aux bogues).
• J'ai gardé la connaissance de la vulnérabilité confidentielle pendant que l'équipe identifiait et corrigeait le problème.
• Lorsqu'un correctif a été publié, ils m'ont informé que mon rapport était effectivement éligible à une prime et m'ont indiqué le montant qu'ils étaient prêts à payer.
• À ce stade, j'étais libre de discuter publiquement de ma vulnérabilité (mais j'ai choisi de ne pas le faire).

Les points clés sont les suivants :

1. Le rapport a été établi sans que les détails ne soient rançonnés jusqu'à ce que je sois payé.
2. Les détails de la vulnérabilité n'ont pas été rendus publics jusqu'à ce que le fournisseur soit en mesure d'apporter un correctif.
3. Si le problème que j'ai signalé n'était pas en fait un bug de sécurité, je ne serais pas payé.
4. Le vendeur décidait de la valeur de la vulnérabilité. Ils avaient un tableau public de "Les vulnérabilités de type X seront payées jusqu'à Y$" sur leur site web.

Bien que je n'aie d'expérience directe qu'avec ce seul fournisseur, je pense que ce processus est assez typique pour la plupart.

Dans votre situation, je le ferais :

1. Insistez pour que la vulnérabilité soit divulguée de manière responsable, c'est-à-dire à vous, directement, et sans aucune forme de divulgation publique ou semi-publique par votre "hacker". Vous voulez être au courant de cette vulnérabilité avant tout le monde, c'est l'une des choses pour lesquelles vous payez. Si votre hacker publie des informations à ce sujet, ou en parle à ses amis, il n'y a pas d'accord.
2. Insistez sur le fait que les détails de la vulnérabilité doivent être vérifiés par un expert en sécurité. Comme vous dites que vous êtes une entreprise unipersonnelle sans grande expertise en matière de sécurité, vous devrez probablement engager quelqu'un sous contrat pour vous assister.
3. Si votre expert reconnaît qu'il s'agit d'un problème de sécurité, il sera en mesure de vous donner une idée de sa gravité et VOUS pourrez décider de ce que cela vaut.

Combien devez-vous payer ? C'est à vous de décider. Dans mon cas, le fournisseur a classé le bogue comme "critique", puis il l'a corrigé. Cela aurait pu conduire à une compromission sérieuse, mais cela aurait été difficile à faire. J'ai été payé un peu moins de 5 000 $ pour mes efforts, ce qui était proche de l'extrémité supérieure de la fourchette indiquée sur leur site Web.

De même, s'ils vous informent simplement d'une vulnérabilité de sécurité connue dans un logiciel tiers, cela ne vaut probablement pas grand-chose. Par exemple, si vous utilisez une ancienne version de WordPress et que le bogue est une vulnérabilité connue de WordPress.

C'est du chantage ?

S'ils insistent pour que vous n'obteniez pas de détails tant qu'une prime n'est pas versée. Oui. Ce n'est pas comme ça que ces programmes fonctionnent habituellement, un bon hacker éthique le sait.

C'est sa façon de dire que vous feriez mieux de me payer ou je vais faire des ravages. des ravages ?

Un vrai hacker éthique n'essaie pas de faire des ravages. Il ne vendra pas non plus la vulnérabilité à quelqu'un d'autre si vous ne payez pas. Mais cela suppose que vous ayez affaire à un véritable hacker éthique, et non à un fauteur de troubles qui cherche à vous arnaquer ou à vous causer des ennuis.

Ou s'agit-il d'une méthode typique et légitime permettant aux gens de gagner leur vie sans intention malveillante ?

Après avoir gagné ma prime, j'ai fait le calcul, et je me suis dit que je pouvais potentiellement gagner ma vie en collectant des primes. C'est possible. Si c'est ce que votre gars est en train de faire, qui sait. Essayer de collecter des primes auprès d'entreprises qui n'ont pas de programme de primes officiel est une façon assez risquée de s'y prendre, ce qui joue en défaveur de votre homme.

Oui, c'est du chantage.

La chose responsable à faire est de vous informer en privé. Peut-être avec une politique de divulgation de l'information pour éventuellement la rendre publique si aucune réponse n'est donnée après un certain temps.

Une façon plus polie de procéder consisterait à indiquer que vous obtiendriez davantage de rapports si vous offriez une récompense sous forme de prime de bogue ou autre. Mais transmettez quand même les détails du problème.

Envisagez d'engager une personne chargée de la sécurité (pas ce "pirate") pour évaluer vos systèmes. Quelle que soit la forme que cela prenne, un engagement ponctuel pour effectuer une évaluation de la sécurité, une prime ou une migration vers une plateforme hébergée pour externaliser les opérations à quelqu'un d'autre.

Le commentaire de @GlennWillen a fait mouche :

Même si les "vulnérabilités" sont réelles, vous ne devez pas supposer qu'elles sont utiles, sauf si vous les comprenez vous-même dans leur contexte. Par exemple, y a-t-il y a-t-il un moyen réel de causer des dommages en intégrant votre site dans une iframe ? Je reçois tout le temps ces courriels de spam sur la "vulnérabilité", mais le site en question est une page de marketing statique. mais le site en question est une page de marketing statique sans possibilité de se connecter d'utilisateur, donc il n'y a pas d'utilité possible à effectuer une attaque de clickjacking sur ce site. Ces personnes exécutent simplement des "scanners de vulnérabilité" sur votre site, puis vous demandent de l'argent. votre site, puis vous demandent de l'argent. Ils ne comprennent pas vraiment le résultats de ces outils.

En d'autres termes, étant donné les deux problèmes de sécurité mentionnés par le "hacker" (SPF ?all et clickjacking), il est très probable que le hacker n'a pas consacré beaucoup de temps ou d'efforts à la sécurité. spécifiquement en examinant le site de l'OP.

Par conséquent, pour éviter d'être marqué pour un ciblage plus spécifique, le PO ne doit pas répondre à l'e-mail.

Le PO devrait vérifier ces questions avec un véritable expert en sécurité, mais ne devrait pas s'engager avec ce "hacker".