Witam,
Zajmuje się hobbystycznie inżynierią wsteczną i niedawno stwierdziłem, że mogę szukać nowej pracy przez złamanie zabezpieczeń programu i wysłanie mojej aplikacji na stanowisko w danej firmie razem z opisem złamania zabezpieczeń. Jak na razie wysłałem to tylko do jednej firmy (nie z Polski tylko ze Stanów Zjednoczoncyh). Zrobiłem to ponad miesiąc temu i dotychczas nic na to nie odpowiedzieli. Zastanawiam się, czy jest to dobra droga i jak patrzą na to potencjalni pracodawcy, i czy wysyłać więcej tego typu aplikacji.
1
10
nie ma odpowiedzi, ponieważ już składają pozew za włamanie, czekaj na list od prawnika :]
8
- o_O przecież to nie ma żadnego sensu. Jeśli firma zajmuje się pisaniem softu to nie szuka reverserów tylko programistów. Jak chcesz robić RE to aplikuj do firm które zajmują się jakimiś antywirusami, malwarem itd.
- jw, "niezamówione" audyty bezpieczeństwa są nielegalne i może się okazać że w USA jest już wystawiony na ciebie nakaz aresztowania.
0
W Polsce tego typu działanie jest legalne w kodeksie karnym jest Art. 269c, który mówi, że jeżeli informuję dlaczego zabezpiecznie jest łatwe do ominięcia to jest to legalne.
4
pajacol napisał(a):
W Polsce tego typu działanie jest legalne w kodeksie karnym jest Art. 269c, który mówi, że jeżeli informuję dlaczego zabezpiecznie jest łatwe do ominięcia to jest to legalne.
Fajnie, a w międzyczasie ktoś złoży zawiadomienie o możliwości popełnienia przestępstwa, sprzęt zarekwiruja, Ty się będziesz spowiadal, a po roku czy dwóch jednak okaże się, że to pomyłka xD Weź się za bug bounty lepiej.
Podsumowując - ciężko wpaść na gorszy pomysł.
Tak jest jak ktoś żarty o CV na pulpicie potraktuje na serio.
3
Załóżmy, że wykryjesz te dziury w zabezpieczeniu. I co dalej? Przecież to będzie tylko kłopot dla firmy, bo tak to nawet nie wiedzieli, że są jakieś dziury i nie musieli nic robić, a przez ciebie muszą przydzielić ludzi, żeby to łatać. Więc ktoś się będzie odrywał od pracy, żeby załatać to, co niepotrzebnie zauważyłeś. A jeszcze jak wykryjesz jakiś wyciek danych, to firma będzie miała obowiązek to zgłosić, że RODO zostało złamane.
Szczególnie to widać choćby w rządowych organizacjach, które wolą zamieść wszystko pod dywan i zrzucić winę na tego, kto odkrył nieprawidłowość. Tak samo dziennikarze, którzy za dużo węszą, też nie są lubiani i czasem lubią ginąć w dziwnych okolicznościach albo są poddawani różnym represjom, bo wyjawiają na światło dzienne coś, co może komuś zaszkodzić.
1
Tylko, że jeżeli nie zabezpieczą, to potencjalnie każdy może łatwo to zabezpieczenie złamać i to wykorzystać. Ja tego nie użyję, bo na nic mi to potrzebne, więc wydaje mi się, że nawet jeżeli muszą to załatać to lepiej teraz niż później jak ktoś będzie mniej uprzejmy i nie poinformuje ich i jeszcze to wykorzysta.
@pajacol: to by jeszcze w tej firmie musieli myśleć, a nie zawsze myślą
0
Dzięki za opinie. W takim razie nie będę już tego robić, ale na szczęscie pozostają crackme do łamania i pisania :)
Shalom napisał(a):
- o_O przecież to nie ma żadnego sensu. Jeśli firma zajmuje się pisaniem softu to nie szuka reverserów tylko programistów. Jak chcesz robić RE to aplikuj do firm które zajmują się jakimiś antywirusami, malwarem itd.
Jeszcze nie widziałem w Polsce ofert na takie stanowiska, ale może źle szukam.
1
@pajacol to chyba słabo szukasz...
cert.pl zatrudnia reverserów do analizy malware ( https://cert.pl/posts/2020/02/co-tam-u-ciebie-emoteciku/ ), ESET zatrudnia w Krakowie, a firm które szukają pentesterów to już w ogóle jest na pęczki np. https://www.stmcyber.pl/kariera
edit: gdybyś chciał się pobawić w CTFy a przy okazji może poznać ludzi "z branży" i ogarnąć jakaś pracę to pingnij mnie na priv
1
Kiedyś pracowałem w firmie telekomunikacyjnej, w której jakiś cymbał ustawił hasło do DB z danymi klientów hasło "admin". Pomimo firewalli, VPN'ów i "fizycznie rozdzielonych sieci", ktoś się wrypał i pochwalił się tym firmie, ta nie pamiętam już czy już na skutek tej konkretnej sytuacji, czy były jakieś dalsze zwroty akcji zgłosiła go na policję.
Morał taki, że 90% firm, które korzystają z systemów informatycznych kompletnie nie zależy na bezpieczeństwie. Co najwyżej pozorują jakieś działania, żeby w razie czego mieć podkładkę "due diligence", a w szczególności jakiś tam chief security officer nie dostał po d... w razie W. Ot, że wszystkie skany zabezpieczeń przeszły, jest dokument, a że skaner nie wykrył, no trudno. Może po jakiejś grubej akcji typu "Morele", gdzie poszło parę baniek kary biznesy się otrząsają, ale to tak na tydzień, może 2. Jest jakiś "tydzień bezpieczeństwa", gdzie ktoś wygłosi jakąś pogadankę, wprowadzą kolejną bezsensowną procedurę omijającą sedno problemu o kilometry i się toczy.