Strzelam, że każdy programista prędzej czy później spotka się z jakąś niezałataną luką w czyjejś aplikacji. Czym bardziej niszowy produkt tym większa na to szansa. A na pewno już część z was w takiej sytuacji była i czasami jest. Co robicie? Od razu szukacie kontaktu do autorów i ich powiadamiacie? Proponujecie od razu sposób jej naprawienia, a może płatny audyt? Nie boicie się podpisać własnym nazwiskiem?
Zdarzały się przecież sytuacje, w których takie osoby były pociągane do odpowiedzialności prawnej za przełamanie zabezpieczeń, nawet jeżeli natychmiast o tym informowali.
Największe korporacje mają procedury postępowania w takich przypadkach, nawet z góry określone nagrody. Ale często nie jest tak różowo. Jak daleko można się posunąć w odkrywaniu luki?
Ja szczerze mówiąc powiem, że zawsze podczas wysyłania takiego maila mam mały dreszczyk. Przynajmniej do momentu, w którym dostaję wiadomość zwrotną z podziękowaniem. Nie zdarzyło mi się jeszcze nigdy, żeby ktokolwiek mnie straszył jakimiś sądami, ba, raz dostałem nagrodę od zagranicznej firmy, a polska grupa deweloperska chciała zaprosić na rozmowę rekrutacyjną.
Mamy też takich ludzi jak Gynvael Coldwind, którzy znajdują w Windowsie lukę za luką, wygłaszają prezentacje na międzynarodowych konferencjach i bije się o nich Google :).
Wczoraj wykryłem AV-kę przy pewnym programie (pod XP.32b i 7.64b).
Była zbyt poważna i nic sobie z tego nie robiłem.
Poszedłem po działający zamiennik.
Autor programu ma czas na testy. Powinien zrobić też jakieś raportowanie błędów.
Tyle.
:)
Ja się w to nie bawię.
Może gdyby soft był na wagę złota i byłaby funkcja raportująca to bym skorzystał. A tak, daje sobie spokój, zwłaszcza na AV.
Co do polaków wykrywających luki jest jeszcze gość z nickiem Ice coś tam. Pracuje teraz dla google i jest rozchwytywany. Dziennikarze mówią że łatwiej się spotkać z prezydentem niż z tym gościem. Niestety jego nicka zapmniałem.
Skupiasz się na lukach bezpieczeństwa, jednak od strony użytkowej poważniejsze są bugi, różne braki, regresje i niekonfigurowalność — jakieś wkurzające zachowanie którego nie można zmienić ani wyłączyć.
Czasami takie rzeczy zgłaszam, ale twórcy zwykle to zlewają. W takich firmach jak Microsoft czasem i milion wściekłych userów nie może się czegoś doprosić (a nawet jeśli to w następnym głównym wydaniu za 5 lat).
Jak na razie to zraportowałem parę bugów w NetBeansie czy JogAmp i generalnie zostały one poprawione. JVM ma tą fajną właściwość, że jak program się wywali to widać cały stacktrace z miejsca błędu i programistom czy testerom to bardzo pomaga.
Jeśli wywala się program natywny to z reguły widzę komunikat typu: 24(&%$@(% can't be read. Nic mi to nie mówi, a programistom pewnie też, jako że adresy są często przydzielane dynamicznie. Z drugiej strony wysyłanie heapdumpa i późniejsze grzebanie w nim jest czasochłonne, nie dziwię się, że programiści czy testerzy to olewają.
Wykorzystuję dla własnych celów, czasem odkładam na później, nie jestem od tego by adminów/programistów uczyć jak maja pracować :>
Najgorzej, jak jakieś buraki znajduje się w gierce on-line. Odechciewa się grać... od razu natrętna myśl, że pewnie jeszcze jakiś nieodkryty buraczek gdzie czai, albo że odkryta luka jest wykorzystywana przez połowę graczy... co to za gra, jak zasady da się nagiąć.
Pytanie kto w ogóle pasjonuje się jakimiś gierkami online - jak dla mnie to rozrywka dla dzieci (patrz TiBia). To tak jak by dorosły facet bawił się samochodami-zabawkami. No niby to nic złego, bo i czemu ale wygląda jak wygląda.
Yo,
Strzelam, że każdy programista prędzej czy później spotka się z jakąś niezałataną luką w czyjejś aplikacji.
Ciekawe stwierdzenie. Domyślam się, że słuszne. Ba, nawet bym je trochę rozszerzył: "każdy użytkownik [...]". Natomiast powstaje pytanie - czy rozpozna, że to luka. O ile w przypadku crasha aplikacji to nietrudne, to w przypadku pewnych dziwnych zachowań nie jest to takie oczywiste.
Co robicie? Od razu szukacie kontaktu do autorów i ich powiadamiacie? Proponujecie od razu sposób jej naprawienia, a może płatny audyt? Nie boicie się podpisać własnym nazwiskiem?
Trafne pytania. Zachęcam do rzucenia okiem na http://gynvael.coldwind.pl/?id=366, punkt 6. Vulnerability Research (mity też warto przeczytać).
Odradzam proponowanie płatnych audytów (chyba że macie doświadczenie w kontaktach z daną firmą) - firma może odebrać to jako próbę szantażu lub wyłudzenia i sprawa może trafić do sądu. Taka propozycja musi wyjść od firmy.
Ad podpisanie własnym nazwiskiem - znajdowanie luk w aplikacjach, szczególnie klienckich (luki na stronach czy serwerach to zupeełnie inna sprawa, pisze o tym dalej), nie jest penalizowane w Polsce (i szczerze to nie znam kraju w którym było by to penalizowane). Nawet jeśli pójdziesz z luką full-disclosure, to vendor (producent) co najwyżej będzie się wygrażał w mediach jaki to jesteś "ble i fuj" (afair były na świecie jednostkowe przypadki, że vendor pozywał za FD, ale nie kojarzę żeby kiedyś wygrał; to jednak luka wynikająca z ich niewiedzy/zaniedbania, a zgłaszający ją tylko zgłasza, a nie tworzy).
Zdarzały się przecież sytuacje, w których takie osoby były pociągane do odpowiedzialności prawnej za przełamanie zabezpieczeń, nawet jeżeli natychmiast o tym informowali.
To o czym piszesz dotyczy przełamywania zabezpieczeń na serwerach/stronach/serwisach, oraz zabezpieczeń anty-pirackich - ponownie odsyłam do http://gynvael.coldwind.pl/?id=366 (tym razem część o mitach oraz 3. Vulnerability Bounty oraz creditsy).
Szukanie luk w aplikacjach client-side (np. browserach, windowsach czy linux-based OS'ach) nie jest penalizowane, jak pisałem wcześniej.
(Z tworzeniem tzw "uzbrojonych exploitów" jest trochę inna sprawa i w niektórych krajach myślą o spenalizowaniu tego lub nawet już to zrobili. Natomiast są to nowe ustawy i afair nie były testowane w sądach do tej pory)
Największe korporacje mają procedury postępowania w takich przypadkach, nawet z góry określone nagrody. Ale często nie jest tak różowo. Jak daleko można się posunąć w odkrywaniu luki?
Rule of thumb tutaj jest prosta: póki działasz na swoich sieciach/komputerach (włączając w to legalne oprogramowanie na nich zainstalowane), jesteś bezpieczny z prawnego punktu widzenia; w momencie kiedy zaczynasz testować komputery innych bez odpowiedniego uprawnienia, możesz mieć problem prawny.
a polska grupa deweloperska chciała zaprosić na rozmowę rekrutacyjną
Cool, miło z ich strony ;)
Znam przynajmniej jedną osobę która znalazła pracę w ten sposób. Natomiast była też w Polsce sprawa, że zaproszona osoba na rozmowę znalazła tam policjantów (została ostatecznie uniewinniona afair). Patrz rule of thumb.
@Kolejne posty i komentarze do nich
Wychodzi, że ludzie nawet nie czytają dokładnie, ciągle pisze, że razem z j00ru to czy tamto... - deus 2011-03-13 18:38
Ahaha, nawet mi nie mów deus ;) Przynajmniej raz w miesiącu wysyłam mejla w stylu Busha: "and don't forget j00ru!" ;DDD
Ludzi trudniących się bughuntem jest znacznie więcej, nie zawsze chcą/mogą być 'medialni'. Zabawne, że skoro wymieniacie Gyna to o j00ru zapomnieliście, oni zazwyczaj działąją wspólnie. - deus 2011-03-13
Nie kojarzę, żeby lcamtuf był jakoś specjalnie medialny. On po prostu jest zajebisty w tym co robi :)
Błędy odczytu jeszcze takie ciekawe nie są, znacznie ciekawsze są te zapisu :> - deus 2011-03-13 17:56
Zgadzam się. Są jednak wyjątki (np. http://vexillium.org/?sec-ff) ;>
Najgorzej, jak jakieś buraki znajduje się w gierce on-line. Odechciewa się grać... od razu natrętna myśl, że pewnie jeszcze jakiś nieodkryty buraczek gdzie czai, albo że odkryta luka jest wykorzystywana przez połowę graczy... co to za gra, jak zasady da się nagiąć.
Zgadzam się. Nic tak nie wkurza jak wall hack/aim hack/map hack. Chociaż nieźle cieszy jak przeciwnik mimo "wspomagaczy" przegrywa ;D
Ad same bugi w grach - to kwestia gry, tj. jeśli bug nie jest super-poważny, to czasem staje się "ficzerem" ;) (patrz np. hold lurkery w starcraft 1)
Pytanie kto w ogóle pasjonuje się jakimiś gierkami online - jak dla mnie to rozrywka dla dzieci (patrz TiBia). To tak jak by dorosły facet bawił się samochodami-zabawkami. No niby to nic złego, bo i czemu ale wygląda jak wygląda.
Eehehe, no to mi się dostała przygana ;D
No cóż, ty rzucasz "tibia", ja rzucę "Starcraft 2" - patrz
(ciekawy reportaż)