Buďte milí k vášmu lokálnemu bezpečnostnému výskumníkovi

Buďte milí k vášmu lokálnemu bezpečnostnému výskumníkovi

Ako veľkí fanúšikovia Open Source cítime potrebu podporovať komunitu a prispievať projektom, ktoré máme radi. A keďže náš kód je škaredý ako peklo samo, snažíme sa o to aspoň prostredníctvom nahlasovania chýb a bezpečnostných zraniteľností. Možno to tak na prvý pohľad nevyzerá, ale vývojári sú rovnakí ľudia ako všetci ostatní. A rovnako to platí aj pre ich osobnosť a ich prístup. Niektorí z nich sú vďační za každú spätnú väzbu, ktorú dostanú od užívateľov, iní sú k vám spočiatku rezervovaní, kým sa nepreukážete ako znalí danej problematiky. Niektorí vám ani neodpovedia, ale problém opravia, ale ako v každom aspekte života, aj tu sa nájdu takí ktorým na bezpečnosti nezáleží.

Je veľkým uspokojením obdržať od vývojára rýchlu odpoveď s potvrdením zraniteľnosti, o vydaní rýchlej záplaty a o tom, že chyba bude opravená v ďalšej verzii. Vieme že odmena je skvelá vec, ale aj obyčajné „ďakujem“ a spomenutie v poznámkach k novej verzii je to, kvôli čomu majú ľudia daný projekt radi a budú ho podporovať aj v budúcnosti. A hoci niekedy vývojári nechápu podstatu nahlásenej zraniteľnosti, vľúdny prístup a záujem o vec sú práve tým, čo motivuje výskumníkov trpezlivo vysvetliť danú zraniteľnosť a demonštrovať ju prostredníctvom demonštračného príkladu (PoC).

Na druhú stranu tu máme druhý typ prístupu, ktorý nečiní výskumníkov príliš šťastnými a tlačí ich od zodpovedného odhaľovania až k „hurá-žiadna-NDA“ takže plné odhalenie.

Uvedieme príklad. Minulý mesiac sme nahlásili bežnú, celkom ľahko odstrániteľnú, avšak kritickú zraniteľnosť projektu ktorý sami používame. Podľa zdrojového kódu projekt vyvíja jediný vývojár, ktorý chýbajúce skúsenosti nahrádza oduševnením a odhodlaním. Používateľská základňa projektu je približne 40 000 používateľov. Napísali sme vývojárovi krátky e-mail objasňujúci nájdenú zraniteľnosť, ponúkli demonštračný príklad (PoC) a popísali možné protiopatrenia, našu motiváciu a požiadali o povolenie zverejniť odhalenie zraniteľnosti po vydaní záplaty. Dobrá správa je že sme dostali odpoveď do 24h. Tá zlá je, že bola asi takáto: „Čo mi tým chcete povedať? Prevažná väčšina web stránok je zraniteľná na túto zraniteľnosť! Prečo ste si vybrali práve môj projekt, to je nezodpovedné.“ V poriadku, možno sme si iba neporozumeli.

Odpovedali sme preto obšírnejším popisom zraniteľnosti, pridali demonštračnú ukážku (PoC), vysvetlili možný scenár útoku a dopad na používateľov. Aby sme predišli ďalším možným nedorozumeniam, opätovne sme objasnili našu motiváciu a ponúkli pomoc s objasnením otázok ohľadne danej zraniteľnosti a znovu otestovaním aplikácie po implementovaní záplaty. Ak ste hádali že odpoveď bola známe „WontFix“, hádali se správne. Čiastočne. Bola „Tu je repozitár na GitHube, očakávam vašu záplatu“. Takže toľko k motivácii.

Na čo vývojári občas zabúdajú je to, že to nie sú iba oni kto trávi prispievaním na projekty svoj voľný čas, ale taktiež výskumníci ktorí im nahlasujú zraniteľnosti. Ich motivácia je rovnaká ako motivácia vývojárov, urobiť projekt lepším a bezpečnejším pre používateľov. Odmena očakávaná za ich prácu je taktiež rovnaká, ocenenie ich prínosu.

A preto, prosím, buďte milí k vášmu lokálnemu bezpečnostnému výskumníkovi.

open-source

About the author

Citadelo
Citadelo je dom plný etických hackerov na vašej strane. Pomáhame otestovať ich informačnú bezpečnosť. Podrobte svoje IT prostredie výzve a odhaľte, do akej miery sú vaše citlivé dáta chránené.
Zobraziť viac od autora

Related posts

Citadelo Security Evening - jeseň 2017

Blog | | Citadelo
Hackerské tipy, odhalenie zraniteľnosti s medzinárodným dopadom a ako ukradnúť milióny. Nie, to nie sú názvy filmov, ale témy prednášok, ktoré odzneli na Citadelo Security Evening (CSE)
Zobraziť

WPA2 prelomená. Viete ako ochrániť svoje dáta?

Blog | | Citadelo
Bezpečnostný analytik Mathy Vanhoef zverejnil širokej verejnosti vážnu bezpečnostnú chybu vo WPA2 protokole. WPA2 protokol sa bežne používa na šifrovanie komunikácie pri použití Wi-Fi, jeho predchodcovia sú WPA a WEP.
Zobraziť

Odhalili sme zraniteľnosť CMS Made Simple

Blog | | Citadelo
CMS Made Simple je voľne dostupný, open source CMS. Pozreli sme sa bližšie na zraniteľnosť CMS Made Simple a o výsledok sme sa s vami podelili.
Zobraziť

Úspešne sme absolvovali certifikáciu OSCP

Blog | | Citadelo
OSCP je skúška, ktorá preverí teoretické aj praktické znalosti. Narozdiel od iných skúšok, OSCP a jej úspešné absolvovanie hovorí o určitej znalosti držitela certifikátu.
Zobraziť