Jump to content
Sign in to follow this  
user101010

Como reportar falhas

Recommended Posts

Descobri uma falha de segurança em um site, expondo dados dos usuários e alteração de valores a serem pagos à empresa. Gostaria de saber como abordar a empresa, como contar a falha e se possível, algum retorno por parte da empresa...
 
Alguém já passou por isso?
 
Desde já agradeço.
  • Curtir 1

Share this post


Link to post
Share on other sites

Olha,

na minha experiência isso varia muito de empresa para empresa. Infelizmente no Brasil, se não estou enganado, a empresa não é obriga a notificar que sofreu algum tipo de invasão. Então campanhas de recompensa são quase que raras.

Quando encontro falha de segurança, sempre notifico a empresa (TI) do ocorrido e informo brevemente sobre a falha, algumas retornam, outras não.  Se a empresa retorna, tento fornecer serviço de consultoria, caso não, armazeno todos os samples da vulnerabilidade e fim.

Share this post


Link to post
Share on other sites

Isso já aconteceu comigo. Mandei um e-mail e eles corrigiram a falha...
Mas não mandaram nem um "obrigado" como resposta. (sério, não deram resposta nenhuma)

No caso eu "tropecei" na falha. Se você fez pentest sem autorização no sistema deles tenha cuidado.
Mesmo que você tenha o objetivo de ajudar eles não querem saber. Os fins não justificam os meios neste caso. e.e
Eu acharia arriscado contatar eles, podem te processar e você pode até ir para a cadeia. (sim, isso é crime)
A menos que tenham ativo algum serviço de Bug Bounty.

A propósito, se quer ganhar dinheiro testando sistemas dos outros ir atrás de um Bug Bounty é uma boa pedida.
Dá uma olhada no site HackerOne.

Edited by Felipe.Silva
  • Agradecer 1

Share this post


Link to post
Share on other sites

É, esse negócio é complicado, já vai fazer uns dois meses que reportei um problema de segurança no site da minha faculdade e até agora não foi mudado nada...

E é uma coisa tão simples que eu penso: onde está a dificuldade em mudar isso?

É difícil entender...

Edited by gzn

Share this post


Link to post
Share on other sites
Em 20/04/2018 em 17:55, Felipe.Silva disse:

Isso já aconteceu comigo. Mandei um e-mail e eles corrigiram a falha...
Mas não mandaram nem um "obrigado" como resposta. (sério, não deram resposta nenhuma)

No caso eu "tropecei" na falha. Se você fez pentest sem autorização no sistema deles tenha cuidado.
Mesmo que você tenha o objetivo de ajudar eles não querem saber. Os fins não justificam os meios neste caso. e.e
Eu acharia arriscado contatar eles, podem te processar e você pode até ir para a cadeia. (sim, isso é crime)
A menos que tenham ativo algum serviço de Bug Bounty.

A propósito, se quer ganhar dinheiro testando sistemas dos outros ir atrás de um Bug Bounty é uma boa pedida.
Dá uma olhada no site HackerOne.

Qual o crime? desde não haja nenhuma execução de código, acesso efetuado a sistema protegido por senha ou algo assim não vejo crime no mero teste não...se puder dar essa luz, agradeço... 

Share this post


Link to post
Share on other sites
41 minutos atrás, MateusP disse:

Qual o crime? desde não haja nenhuma execução de código, acesso efetuado a sistema protegido por senha ou algo assim não vejo crime no mero teste não...se puder dar essa luz, agradeço... 

Imagine que no meio da noite você acorde com um barulho na porta da frente, você abre ela e dá de cara com um indivíduo que você nunca viu na vida... E então ele diz:
« Não se preocupe eu não sou um ladrão, eu só estava testando a segurança da sua casa »

Você vai acreditar nisso? A polícia vai acreditar nisso? O juiz vai acreditar nisso?
Acho que não, hein.
Qual a diferença entre fazer um "pentest" não combinado e atacar o sistema? Nenhuma!
Se não houve um acordo preestabelecido então você não está fazendo um teste de segurança naquele sistema, está atacando ele.

E em relação a ser crime ou não, não sou eu ou você quem decide isso. É a lei.

Aproveitando a analogia do "ladrão bonzinho" eu vou usar outra:
Imagine que um cara tente te esfaquear e seja pego pela polícia, então em sua defesa ele diz:
« Por que eu estou sendo preso? Eu não matei ele, tentei fazer isso mas não consegui »


Assim como a tentativa de assassinato é crime, a tentativa de invadir ou danificar um sistema também é. E mais uma vez NÃO sou eu quem digo, eu não estou falando da minha opinião ou ponto de vista aqui.
Estou falando da lei.

E vale lembrar que se o servidor estiver situado em solo Americano, são as leis de lá que entram em vigor.
E o USA é bem rígido o quanto a isso.

Referências legais. (badum tis!)
> Lei N° 2848, artigo 14
> Lei N° 12.737

  • Agradecer 1

Share this post


Link to post
Share on other sites
3 horas atrás, Felipe.Silva disse:

Imagine que no meio da noite você acorde com um barulho na porta da frente, você abre ela e dá de cara com um indivíduo que você nunca viu na vida... E então ele diz:
« Não se preocupe eu não sou um ladrão, eu só estava testando a segurança da sua casa »

Você vai acreditar nisso? A polícia vai acreditar nisso? O juiz vai acreditar nisso?
Acho que não, hein.
Qual a diferença entre fazer um "pentest" não combinado e atacar o sistema? Nenhuma!
Se não houve um acordo preestabelecido então você não está fazendo um teste de segurança naquele sistema, está atacando ele.

E em relação a ser crime ou não, não sou eu ou você quem decide isso. É a lei.

Aproveitando a analogia do "ladrão bonzinho" eu vou usar outra:
Imagine que um cara tente te esfaquear e seja pego pela polícia, então em sua defesa ele diz:
« Por que eu estou sendo preso? Eu não matei ele, tentei fazer isso mas não consegui »


Assim como a tentativa de assassinato é crime, a tentativa de invadir ou danificar um sistema também é. E mais uma vez NÃO sou eu quem digo, eu não estou falando da minha opinião ou ponto de vista aqui.
Estou falando da lei.

E vale lembrar que se o servidor estiver situado em solo Americano, são as leis de lá que entram em vigor.
E o USA é bem rígido o quanto a isso.

Referências legais. (badum tis!)
> Lei N° 2848, artigo 14
> Lei N° 12.737

Pois é, essa é a mesma legislação que conheço, e desde que você não viole nenhum mecanismo de segurança, não cause indisponibilidade nenhuma e não tenha nenhum tipo de acesso indevido a nenhuma informação privada sua conduta não vai poder ser tipificada como crime.

Por exemplo: se você faz um "pentest" sem autorização prévia e encontra uma provável injeção de SQL num app web ao passar uma aspa simples em algum parâmetro de uma requisilção e tendo como resultado um erro de unclosed quotation mark ou algo assim, onde está o crime? se encontra um XSS e explora com um alert(1) onde está o crime? se identifica no banner de algum serviço, através de um arquivo readme.html ou nos headers de respostas a requisições HTTP o uso de algum software e versão com vulnerabilidade conhecidas, onde está o crime?

Por isso que, em minha interpretação, é possível fazer um pentest, ainda que superficial, sem autorização e sem cometer crime.

Share this post


Link to post
Share on other sites

@MateusP Trabalhando na realidade fictícia de que realmente não é crime, ainda sim seria no mínimo antiético.
Com tantos sistemas de Bug Bounty e plataformas como o HackerOne por ai, não tem porque querer tentar ganhar dinheiro dessa forma invasiva. (onde "invasiva" é um eufemismo)
É a mesma coisa que você jogar a pedra na janela do vizinho e depois oferecer a venda de uma janela nova.

Que é crime e antiético isso é fato. Agora se você quer praticar esse tipo de atitude, ai é com você. Já é adulto e sabe o que faz. (ou pelo menos deveria saber)

Edited by Felipe.Silva

Share this post


Link to post
Share on other sites
13 horas atrás, Felipe.Silva disse:

@MateusP Trabalhando na realidade fictícia de que realmente não é crime, ainda sim seria no mínimo antiético.
Com tantos sistemas de Bug Bounty e plataformas como o HackerOne por ai, não tem porque querer tentar ganhar dinheiro dessa forma invasiva. (onde "invasiva" é um eufemismo)
É a mesma coisa que você jogar a pedra na janela do vizinho e depois oferecer a venda de uma janela nova.

Que é crime e antiético isso é fato. Agora se você quer praticar esse tipo de atitude, ai é com você. Já é adulto e sabe o que faz. (ou pelo menos deveria saber)

Por que colocar uma aspa simples num formulário ou url e ver uma mensagem de erro é anti-ético ou ilegal? Que dano foi provocado? Qual janela foi quebrada? A da falsa sensação de segurança?
 

Citar

 

Não tem porque querer tentar ganhar dinheiro dessa forma invasiva. 

 

Nunca tentei, nem falei nada sobre dinheiro, mas também não vejo nenhum conflito ético ou legal na estratégia do @johnk3r , já que você gosta de analogias, é como se você fosse um mecânico, ouvisse um barulho esquisito no motor do carro de alguém, ou uma fumaça estranha no escapamento, avisasse isso à pessoa gratuitamente, dando uma explicação sobre qual é o provável problema e os riscos que ela corre e se oferecesse para analisar e consertar mediante pagamento. 

Share this post


Link to post
Share on other sites

@MateusP Perfeita a sua analogia de um mecânico. Agora vamos trabalhar com ela de forma mais realista:

Imagine que você estaciona seu carro e entra em um Shopping. Quando volta das compras se depara com um "mecânico" que arrombou o capô e está mexendo no motor do seu carro. E então ele diz:
« Amigo, seu carro está com um problema de vazamento no radiador. Se quiser eu concerto por $$ reais. »

Agora eu lhe pergunto: Quem garante a ética deste "mecânico"?
Como o "cliente" pode saber se o problema é real ou causado pelo mecânico após ele ter arrombado o veículo?
E se o "cliente" resolver não pagar pelo serviço(ou extorsão?), quem não garante que o mecânico não tenha feito algo para danificar o carro? (como ter cortado os freios)

Percebe a situação desconfortável que o cliente(ou vítima?) permanece?
Esse suposto profissional pode ser um criminoso extorquindo ele, e ele pode se sentir obrigado a pagar pelo "serviço" achando que o seu sistema corre perigo.

Como eu disse: Se isso não fosse ilegal seria no mínimo antiético.
E é sim ilegal. Eu já passei os links das leis para você ler e comprovar isso.

Nem precisava de toda essa discussão para ver que tem algo de errado neste tipo de atitude.

Share this post


Link to post
Share on other sites
18 horas atrás, Felipe.Silva disse:

@MateusP Perfeita a sua analogia de um mecânico. Agora vamos trabalhar com ela de forma mais realista:

Imagine que você estaciona seu carro e entra em um Shopping. Quando volta das compras se depara com um "mecânico" que arrombou o capô e está mexendo no motor do seu carro. E então ele diz:
« Amigo, seu carro está com um problema de vazamento no radiador. Se quiser eu concerto por $$ reais. »

Agora eu lhe pergunto: Quem garante a ética deste "mecânico"?
Como o "cliente" pode saber se o problema é real ou causado pelo mecânico após ele ter arrombado o veículo?
E se o "cliente" resolver não pagar pelo serviço(ou extorsão?), quem não garante que o mecânico não tenha feito algo para danificar o carro? (como ter cortado os freios)

Percebe a situação desconfortável que o cliente(ou vítima?) permanece?
Esse suposto profissional pode ser um criminoso extorquindo ele, e ele pode se sentir obrigado a pagar pelo "serviço" achando que o seu sistema corre perigo.

Como eu disse: Se isso não fosse ilegal seria no mínimo antiético.
E é sim ilegal. Eu já passei os links das leis para você ler e comprovar isso.

Nem precisava de toda essa discussão para ver que tem algo de errado neste tipo de atitude.

Meu deus cara, nas situações que eu descrevi o mecânico não arrombou capô nenhum, ele só viu ou ouviu qualquer coisa que indicou a ele um problema.

Que parte de quando eu digo que você não pode ter nenhum tipo de acesso às partes privadas dos sistemas, não pode executar código nem nada desse tipo você não entende?

E não, não é ilegal, essa conduta que eu descrevo não está tipificada em nenhum dos artigos da Lei Carolina Dieckmann.

Se tem algo errado é algum moralismo esquisito seu, mas é opinião pessoal, não pensamento juridicamente válido...rs

 

Citar

Art. 154-A.  Invadir dispositivo informático alheio, conectado ou não à rede de computadores, mediante violação indevida de mecanismo de segurança e com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do titular do dispositivo ou instalar vulnerabilidades para obter vantagem ilícita:  

Onde, provocar um erro através da inserção de um aspa, nada mais, se encaixa na definição da conduta que está descrita aqui? onde que um alert(1) se encaixa nisso? onde saber que a versão X do software Y tem vulnerabilidades conhecidas se encaixa nisso aqui?

Entenda: Inserir ' não é crime, inserir ' or 1=1-- pode ser crime...

Citar

 

Art. 266.  ........................................................................ 

§ 1º  Incorre na mesma pena quem interrompe serviço telemático ou de informação de utilidade pública, ou impede ou dificulta-lhe o restabelecimento.

 

 Aqui ainda menos...

 

Edited by MateusP

Share this post


Link to post
Share on other sites

@MateusP. Parece que você se esqueceu que eu passei DOIS links.
Um é a lei que você citou, e o outro a Lei N° 2848 - artigo 14.
Onde lá diz:
 

Citar

Tentativa                      (Incluído pela Lei nº 7.209, de 11.7.1984)

II - tentado, quando, iniciada a execução, não se consuma por circunstâncias alheias à vontade do agente.                     (Incluído pela Lei nº 7.209, de 11.7.1984)

Pena de tentativa                      (Incluído pela Lei nº 7.209, de 11.7.1984)

Parágrafo único - Salvo disposição em contrário, pune-se a tentativa com a pena correspondente ao crime consumado, diminuída de um a dois terços  

 

E isso no Brasil. Como eu já disse, se o servidor estiver situado em território Americano é a lei dos Estados Unidos que entra em vigor.
E eu acredito que você saiba muito bem que lá as leis são bem rigorosas o quanto a isso.
Já teve gente que teve dor de cabeça no USA por simplesmente usar um portscan sem autorização... Imagine fazer um SQL Injection ou XSS.

E voltando para a analogia... Mesmo que o "mecânico" não arrombe o capô, não esqueça que estamos no referindo a um Pentest e não a "escutar" problemas em uma máquina.
Não tem como descobrir a falha em um sistema sem testar o mesmo, diferentemente de um carro que você pode ouvir um ronco estranho.
E para testar o motor de um carro você teria que arrombar o capô...
Mas já que você não gosta da palavra "arrombar". Podemos dizer que você deixou o capô do carro aberto e um cara estranho se aproximou SEM PERMISSÃO e começou a buscar por problemas. (ou a criar eles... Como você vai saber? Não entende de mecânica...)

Acho que o problema é que você se perdeu na analogia.

Share this post


Link to post
Share on other sites
10 horas atrás, Felipe.Silva disse:

@MateusP. Parece que você se esqueceu que eu passei DOIS links.
Um é a lei que você citou, e o outro a Lei N° 2848 - artigo 14.
Onde lá diz:
 

 

E isso no Brasil. Como eu já disse, se o servidor estiver situado em território Americano é a lei dos Estados Unidos que entra em vigor.
E eu acredito que você saiba muito bem que lá as leis são bem rigorosas o quanto a isso.
Já teve gente que teve dor de cabeça no USA por simplesmente usar um portscan sem autorização... Imagine fazer um SQL Injection ou XSS.

E voltando para a analogia... Mesmo que o "mecânico" não arrombe o capô, não esqueça que estamos no referindo a um Pentest e não a "escutar" problemas em uma máquina.
Não tem como descobrir a falha em um sistema sem testar o mesmo, diferentemente de um carro que você pode ouvir um ronco estranho.
E para testar o motor de um carro você teria que arrombar o capô...
Mas já que você não gosta da palavra "arrombar". Podemos dizer que você deixou o capô do carro aberto e um cara estranho se aproximou SEM PERMISSÃO e começou a buscar por problemas. (ou a criar eles... Como você vai saber? Não entende de mecânica...)

Acho que o problema é que você se perdeu na analogia.

Não esqueci não, só digo que a aspa simples ou o alerta(1) não é uma tentativa de invasão...e o Brasil é o que me interessa, até pq não é possível extraditar brasileiro nato, que é o meu caso.

Não provoque nenhum tipo de dano a ninguém, não obtenha vantagem ilícita  e hack in peace...

Edited by MateusP

Share this post


Link to post
Share on other sites

Tá bom o debate e achei bem legal a divergência de idéias. Ambas as partes tem seus pontos positivos e negativos.
Realmente muitas pessoas não gostariam de chegar em casa e encontrar um chaveiro na porta provando se a fechadura é segura ou não, porém se ele não o fizer, com certeza um delinquente fará e deixará consequências piores.

A latino américa como um todo ainda não tem consciência da segurança na web, ainda enxergam isso como um GASTO e não como um investimento para prevenir possíveis dores de cabeça.

O Bug Bounty de certa maneira pode ser uma boa saída, e até existe bug bounty aberto para quem sai caçando falhas na internet: openbugbounty.com

Eles não aceitam nenhuma vulnerabilidade onde há métodos invasivos, mas aceitam muito bem:
-XSS
-Open Redirect
_Improper Access
_CSRF

Algumas empresas até pagam, outras nem se quer falam contigo, porém como eles entram em contato com o responsável, aumenta um pouco as possibilidades.
Eu sinceramente não curto muito a metodologia da HackerOne, mas seria uma ótima opção...tem a BugCrowd, onde eu trabalho com programas de lá praticamente full time.
O pessoal não curte muito a BugCrowd justamente pelos programas terem um nível de dificuldade muito maior que a HackerOne (ao menos é a opinião da maioria com quem tenho falado).

Tem agora outra plataforma para a américa latina, o Boxug assim como a Intigriti e o BugBounty.jp

Acredito que o melhor caminho seja pelos programas de bug bounty.

Share this post


Link to post
Share on other sites

Eu acredito que se você usar meios e técnicas baseadas em OSINT (Open source intelligence) para buscar possíveis falhas e informações não vai ter problemas com o setor jurídico.

Você sempre pode entrar em contato com a empresa sem problemas , só que ela não é obrigada a pagar por isso.

Tente vender um serviço e no pior dos casos ela não vai te responder.

Tentar entrar em contato com algum gerente é muito importante , pois funcionários podem te sabotar até porque você está enviando possíveis erros e ninguém gosta de admitir um erro.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...