Güvenlik açığa çıkmaması konusunda etik güç [kapalı]

Üç yıl önce büyük bir e-ticaret web sitesi için güvenlik denetimi yaptım. Denetim gerçekleştirildiğinde, bir işlem tamamlandıktan sonra erişilememesi gereken verilere erişime izin veren birkaç ciddi güvenlik sorunu buldum. Bu sitede birkaç büyük risk vardır. İlk olarak, sistemden gerçek zamanlı olarak gelen siparişleri görebilirsiniz; tüm işlemler bu şirket tarafından manuel olarak işlenir. Bir işlemi görüntülerseniz adı, adresi ve gönderim hedefini görebilirsiniz. Burada iki istismar noktası görüyorum, 1 - gemiyi adrese gönderebilir ve gönderinin kendinize gönderilmesini sağlayabilirsiniz ve 2 - sipariş verildiğinde kullanıcıyı doğru arayabilir ve basitçe erişim elde etmek için bir "telefon onayı" yapabilirsiniz temel sosyal mühendislik ile kredi kartı bilgilerine

Ayrıca, biraz daha fazla çalışma ile CC bilgisini ve sipariş kimlik numaralarını dökebilir ve daha sonra sipariş kimliğini ve kullanıcı bilgilerini eşleştirebilirsiniz.

Bunların hepsi, sitelerinde açıktaki işlevleri kullanarak ve birkaç değeri değiştirerek. Evet, bir sebepten dolayı belirsiz oluyorum.

Bu şirketteki pazarlama direktörü üç yıl önce bu riskler konusunda uyarıldı ve bunları düzeltmek için hiçbir şey yapmadı. Bunu bulabilirsem başkalarının bulabileceğinden kuşku duymuyorum. Bu site yılda 88 bin işlem gerçekleştiriyor ve tüm siparişlerin verilere hâlâ işlenmiş ve erişilebilir durumda.

Peki etik soru… ne yapacağım? Şirketim umrumda değil… bu yüzden yardım alamıyorum. Pazarlamacı ile temasa geçersem, sadece kıçını ve yetersiz iç geliştirme ekibinin (soğuk füzyon) kıçlarını örtmeye devam edecektir. Daha yukarıda biriyle mi iletişime geçebilirim? Şirketimi dolaşıyor muyum? Verileri inceleyip CC bilgisi eksi bir rakibe satar mıyım? Bunu bilerek ne yapmalıyım? Bana sallanıyor ve gitmesine izin veremem. Bu, bildiğim birçok siteden sadece biri, ancak erişim kolaylığı ve yüksek trafik beni bu konuda çok düşünmeme neden oluyor.

Durumu çözmek için kahramanca önlemler almayı önerebileceğim bir zaman vardı. O zamandan beri daha iyi öğrendim - birini kendi çıkarları için hareket etmeye zorlayamazsınız. Bunu sık sık yapmak, sizin için tatsız olması muhtemel istenmeyen sonuçlara yol açar.

Bir düşün ... sen

• Denetim raporunuz aracılığıyla şirketi bilgilendirdi
• Yönetiminizden haberdar olun

Yani gidip evde CEO'yu ararsanız, artık yönetiminizin etrafında bir son çalışması yaptınız ve CYA işini yapan iç insanların sizi kötülük yapacağı bir durum yarattınız. CEO, yeteneksiz personelini 3 yıl önce bir denetim yapan rastgele bir danışmandan daha fazla dinleyecektir.

Benim tavsiyem: gitmek bir bira ya da ne yapmak isterseniz ve asla tekrar web sitesini ziyaret edin.

İlk olarak - bildiklerinizi satmazsınız, bu kesinlikle etik dışıdır ve yasadışı olabilir :)

İkinci tavsiyem, şirketin CEO'suna kadar Marketing Guy'ın patronuna gitmek. Bir denetim grubu için çalışıyorsanız, bir şirketin bilgi ile ne yaptığını umursamazlar, sadece hizmeti ilk etapta satmak zorunda kalırlar.

Üçüncüsü, eğer gerçekten bu kadar büyük bir anlaşma ise, sitenin güvensizliği ile ilgili olarak, gerçekten ödün vermeden anonim (veya anonim olmayan) bir pazarlama / boykot kampanyası başlatabilirsiniz .

Ama bir grup sysadmin istemekten daha iyi saygın bir avukatla konuşmak :)

Bir denetim yapmak için görevlendirildiniz, bu nedenle göreviniz denetimin sonuçları hakkında onları bilgilendirmektir. Bununla yaptıkları şey onların işi. Risklerin değişim maliyetine karşı karar verdiler. Sen değil. Büyük bir güvenlik sorunu varsa ve mahkeme celbi alırsanız, denetim sonuçları hakkında ifade vereceksiniz (3 yıl önce). Bu sizin yükümlülükleriniz kadar.

Senin için haberlerim var. Şirketlerin büyük çoğunluğu müşteri verilerini bir şekilde veya başka bir düzeyde güvensiz bir şekilde ele almaktadır. Kaç DBA'nın tüm müşteri verilerine tam erişimi var? Çok az şirket Oracle Vault kullanıyor.

"Verileri benim çıkarıyor ve CC bilgisi eksi bir rakibe satıyor muyum?"

Sadece hapse girmek istiyorsan.

Herhangi bir şeyi açıklarsanız gerçekten ince buz üzerinde olabilirsiniz. Bunun için gerçek bir belaya girebilirsiniz.

Pentesting sözleşmesi yapılırken şirketlerin birbirleri arasında sıkı anlaşmalar yapmasının bir nedeni vardır. Pentesting şirketi alabilecekleri tüm korumaya ihtiyaç duyuyor. Yapamamanız gereken ve ifşa edeceğiniz veya dava açacağınız bilgileri ifşa etmek.

Diyelim ki pazarlama adamının patronuna git. Patron pazarlama adamına kelepçeliyor. Pazarlama görevlisi kıçını örtmeye başlar. Patronu, bu bilgilere sahip olmanız için yasadışı veya benzer bir şey yapmış olmanız gerektiğine ikna edebilir. Sonunda kazanacak olsanız bile, uzun süre mahkemede olabilirsiniz.

İlk yaklaşımda ciddiye almak istemezlerse, onları ciddiye almaya zorlamak büyük ihtimalle başınızı belaya sokacaktır.

Senin iyiliğin için bırak.

DÜZENLEME: Ayrıca, güvenlik denetimi için orijinal sözleşme yalnızca bilgilendirebileceğiniz belirli kişileri içeriyorsa, sözleşmeye dahil olmayan aynı şirketteki diğer kişileri bilgilendirmek sizi rahatsız edebilir.

Gördüğüm kadarıyla işini yaptın. Denetimi yaptınız ve sonuçları yetkili makama ilettiniz. Benim tavsiyem ondan sadece uzaklaşmak, yapabileceğiniz başka bir şey yok. Elbette ikilem, masum müşterilerin devam eden güvenlik zayıflıklarına maruz kalabilmeleridir, ancak gerçekten sizin probleminiz değil mi? İşinizin sorumluluğu dışında herhangi bir kısmı için sorumluluk alamazsınız.

Bu bilgiyi kesinlikle sızdırmazsınız ve kesinlikle yabancılara satmazsınız.

Burada anlamadığım bir şey var ... üç yıl önce? 3 yıl önce bir denetim yaptıysanız, bu nasıl oluyor? Bu konuda kötü hissediyor musunuz, veya güvensiz şirket hala şirketinizi güvenlik / denetim hizmetleri için sözleşme yapıyor mu?

Bu önemli bir soru, çünkü bu şirketle 3 yıldır hiç işiniz yoksa, net tavsiyem uzaklaşmaktır. 3 yıl sonra tekrar ortaya çıkar ve eleştirmeye başlarsan çok garip gelebilir. 3 yıl önce olsaydı, o zaman şansın vardı ve onu almadın. Şimdi uzaklaş.

Şirketiniz hala güvensiz şirket ile iş yapıyorsa , o zaman kendi patronunuzu birlikte bir mektup göndermesi için güçlü bir şekilde silahlandırmayı öneririm. Patronunuz bundan hoşlanmayacak; ama sizin için mektup kendinizden ziyade şirketinizden geliyorsa sizin için çok daha iyi. Kurye ile pazarlama müdürleri patronuna (CEO) gönderin. Kibar olun, belirsiz tutun ve çoğunlukla kendi şirketlerinizi ** kaplayın ve pazarlama yöneticilerinin güvenlik kararlarını, kabul edilen endüstri standartlarının dışında, başının üzerinden geçmeye mecbur hissettiğinizi ima edin. Amacınız her şeyi anlatmak değil, amacınız kendi şirketlerinizi bir ** kapsamak ve diğer CEO'nun orijinal raporunuzun bir kopyasını isteyecek kadar sarsılmasını sağlamaktır.

Pazarlama yöneticilerinin başına geçmek , herhangi bir şekilde önerebileceğim en güçlü hamle . Ve gerçekten oldukça güçlü ve istenmeyen. Bir konuda uzman görüşü sağlamak için işe alındınız; işlerini yürütmemek.

Biraz üzücü bir site notunda: Etik olmayan veya sadece düzensiz beceriksiz iş adamları görmek nadir değildir. Bazen bunlar, bulguları hiç kullanmak istemeden güvenlik denetçilerini işe alabilir; sadece tanınmış güvenlik şirketi X tarafından denetlendiklerini söylemek niyetiyle. Bu elbette üzgün ve saldırgan - ama gerçek ve güvenlik denetiminde çalışmak istiyorsanız buna alışmanız gerekecek.

Diğer yandan, müşteriyi riskler hakkında yeterince bilgilendirmeme sorumluluğunuzu göz önünde bulundurmalısınız. Şirketinizin ne tür Hata ve İhmal kapsamı taşıdığını göz önünde bulundurmalısınız. Şirketinizin umursamadığını söylüyorsunuz, ancak müşterileri tarafından onlara karşı bir takım tarafından getirilen müşteri tarafından dava edilirlerse, herkesin dikkatini çekeceğini iddia ediyorum.

3 yıl önce, muhtemelen size ödenen bir iş yaptınız. Eğer o işin icrasında sizden gerekli tüm adımları attıysanız, o zaman işiniz yapılır. Bitmiş. Bitirdi.

Bu konuda bir şeyler yapmak için neden 3 yıl geçirdiğinizi ve yapmadığınızı anlamakta ciddi sorun yaşıyorum. Etik sorunlarınız varmış gibi geliyor bana. Aslında bilgileri satma konusundaki sözünüz bana çok farklı güdülerin olabileceğini gösteriyor. En azından pozisyonunuzu oldukça şüpheli buluyorum.

Şimdiye kadar hiçbir şey yapmadığınız için, herhangi bir eylemde bulunmaya başlarsanız, kendinizi olası yasal işlemlere maruz bırakabilirsiniz. Yasalar bir yerden bir yere değişmektedir, ancak bulunduğum yerde, biri sizin tanımladığınız mekanizmalar yoluyla veri hırsızlığına kurban gitti ve şimdi harekete geçtiyseniz, aslında önceki eylemsizliğiniz aracılığıyla tanıyan bir katılımcısınız. Kişisel olarak sizin için tek güvenli dersi bırakmaktır.

Eğer "güvenlik denetimleri" işindeyseniz, bilgilerin madenciliği ve satışı söz konusu değildir. Cehennem, bu soruyu bile sormanız gerçeği, etik kurallarınızı merak etmeme neden oluyor ve güvenlik ekibim için doğru olup olmadığınızı kesinlikle sormamı sağlıyor.

Bunu söyledikten sonra işini yaptın. Güvenlik denetimi yapmak için tutuldunuz ve yaptınız. Şirket bulguların yazılı olarak farkında mıydı? Diğerlerinin söylediği gibi, bir şirketi güvenlik boşluklarını kapatmaya zorlayamazsınız. Etik soru, bu denetimden ders almak ve devam etmektir.

İşinizi düzgün yapmaktan endişe ediyorsanız, işinizi yaptınız. Kimsenin tavsiyelerinize etki etmediği için sizi yansıtmaz.

Ancak, müşterilerinin kimlik veya kredi kartı hırsızlığı mağduru olmaları konusunda meşru bir endişeniz varsa, FTC şikayet departmanıyla iletişime geçmenizi söyleyebilirim . (ABD'de olduğunuzu varsayarsak, ülkeniz muhtemelen benzer bir devlet dairesine sahiptir.)

Etik alanında birkaç dönem yaptım ve bu gerçekten zor, zor bir soru.

Burada "Ne yapmalıyım" cevabını sormak size asla "Doğru" bir cevap vermeyecektir, alacağınız tek şey, konuyla ilgili kişisel duygularınızın ne olduğunu zorlayan ya da ona karşı çıkan cevaplardır.

Ayrıca, burada aldığınız tüm cevaplar , insanların yaşadıkları, nerede büyüdükleri, yerel yasaları ve gelenekleri olan geçmiş eylem veya kararlardan güçlü bir şekilde etkilenecektir. Yani, bulunduğunuz durumda olsalar bile, deneyimleri tamamen farklı olabilir.

Kısa cevap: SİZİN doğru olduğuna inandığınız şeyi yapmanız gerekiyor . Açıkçası, eylemsizliğin yapılacak doğru şey olmadığına inanıyorsunuz. Eğer yapmasaydın, bunu sormazdın.

Şahsen ben "Bırak" ya da "İşini yaptın" diyen herkese katılmıyorum. ServerFault'da etik her ortaya çıktığında bu popüler bir fikir gibi görünüyor. Ve bu yanlış bir cevap değil , sadece benim cevabım değil .