Na bezpečnostní chybu majitel webu nereaguje. A co vy?

5. 9. 2018 13:00:36

Asi každý, kdo má zkušenosti s vývojem sw, někdy zkusil bezpečnost jiných webů. Taky občas zkusím něco, co by člověk čekal, že bude ošetřené.. a hle, často není.

V minulosti jsem pokaždé kontaktoval provozovatele, nebo majitele a sdělil jim potřebné informace, nebo i poradil, jak mají chybu opravit. Ne všichni ale reagují a je několik projektů, které jsou roky děravé a vlastníci s tím nic nedělají. Jen pro informaci, i zde na Webtrhu se občas propagují některé služby/weby, které jsou nebezpečné a hrozí u nich únik dat. Ale o nich to teď není.

Moc lidí se s tím pochopitelně nepochlubí, nicméně zajímaly by mě vaše názory, ať už těch, kteří s tím mají zkušenost, tak i ostatních, kterých se to může někdy týkat (nás všech).

A) Jak byste se zachovali v případě, když byste zjistili bezpečnostní nedostatek u cizího projektu?

B) Jak byste jednali, pokud by vám někdo sdělil, že máte nedostatek u svého projektu?

Díky za názory.

5. 9. 2018 13:00:36

https://webtrh.cz/diskuse/na-bezpecnostni-chybu-majitel-webu-nereaguje-a-co-vy/#reply1364177

Radek

5. 9. 2018 13:07:47

A) Nehledám bezpečnostní nedostatky u jiných projektů

B) Pokud by se ukázalo, že má pravdu, chybu bych opravil a dotyčnému poděkoval :)

5. 9. 2018 13:07:47

https://webtrh.cz/diskuse/na-bezpecnostni-chybu-majitel-webu-nereaguje-a-co-vy/#reply1364176

skorozacatecnik

5. 9. 2018 13:12:41

Díky Radku za názor, tak nějak to většinou chodí. Lidi jsou rádi za informaci a opraví to. Jen dodám, že taky nehledám chyby cíleně, ale pokud mám někomu svěřit data a neprojde ani základním testem bezpečnosti, pak moje důvěra výrazně klesá.

5. 9. 2018 13:12:41

https://webtrh.cz/diskuse/na-bezpecnostni-chybu-majitel-webu-nereaguje-a-co-vy/#reply1364175

Radek

5. 9. 2018 13:28:14

Tak ono každý projekt, který pracuje s osobními informacemi uživatelů, by měl projít minimálně penetračními testy, které můžou takové zranitelnosti včas odhalit.

5. 9. 2018 13:28:14

https://webtrh.cz/diskuse/na-bezpecnostni-chybu-majitel-webu-nereaguje-a-co-vy/#reply1364174

Dominik Hašek

(12 hodnocení)

5. 9. 2018 13:31:45

Mám známého, který se občas taky "bavil" tím že zkoušel prolamovat různé projekty. Kolikrát člověk čuměl, ke kolika datům se dá poměrně jednodužše dostat (objednávky, informace o zákaznících a jejich osobní údaje, hesla v plaintextu (OMG) a jiné chuťovky). Nikdy data nezneužíval, vždy o problému informoval provozovatele. Když pominu do kolika poměrně velkých a známých projektů se dostal, bylo až zarážející že dost provozovatelů vůbec nereagovalo a chyby tak jsou tam do dnes. Já sem si do té doby myslel, že omezení přístupu na server alespoň pomocí IP nebo SSH klíče je něco naprosto standartního, no zdaleka není :-D

5. 9. 2018 13:31:45

https://webtrh.cz/diskuse/na-bezpecnostni-chybu-majitel-webu-nereaguje-a-co-vy/#reply1364173

Jan Stejskal

(7 hodnocení)

5. 9. 2018 13:32:18

Měl jsem klienta, který má většinu trhu v oboru jezdectví. Eshop mu dělala firma jeho známého, kterého považoval za nejlepšího v oboru. V rámci redesignu, který jsem pro něj připravoval, jsem přišel na to, že eshop vkládá ceny zboží do košíku z již zobrazených na klietovi, ne ze serveru, a současně nebyl nákupní proces ošetřen proti CSRF. Mimo ceny se stejným způsobem načítala i sleva, tzn. bylo možné nakoupit jakékoliv zboží se slevou, kterou si zákazník/útočník sám zvolí a přitom neměnit původní cenu, což bylo poměrně nenápadné okrádání.

Na upozornění byla negativní reakce, že nic takového není možné a že se snažím získat i zakázku, kterou dostal jeho známý. Na důkaz jsem provedl nákup zboží za milion s evidentně smyšlenými údaji a poslal mu číslo objednávky. Od té doby naše spolupráce skončila a obchod má po několika letech se zmíněnou chybou nový eshop.

5. 9. 2018 13:32:18

https://webtrh.cz/diskuse/na-bezpecnostni-chybu-majitel-webu-nereaguje-a-co-vy/#reply1364172

tomve

(22 hodnocení)

5. 9. 2018 13:32:24

Napsal Radek P.;1483427
Tak ono každý projekt, který pracuje s osobními informacemi uživatelů, by měl projít minimálně penetračními testy, které můžou takové zranitelnosti včas odhalit.

Hlavně jde taky o to, že tyhle penetrační testy něco stojí. Takže pokud jsou na webtrhu poptávky na systémy za 10-50k, tak prostě ty testy neuděláš v takové kvalitě, aby si odhalil díry.

A většiná poptávajících to bere za zbytečnost a nechce za to platit.

5. 9. 2018 13:32:24

https://webtrh.cz/diskuse/na-bezpecnostni-chybu-majitel-webu-nereaguje-a-co-vy/#reply1364171

skorozacatecnik

5. 9. 2018 13:36:43

Ono by se toho asi mělo dělat hodně, ale realita je o krok pozadu no :)

Rozšířím trochu otázky:

C) Co v případě, že vlastník nereaguje? Zahodit a nemyslet na to mi úplně nejde, se přiznám.

D) Co třetí strana (uživatelé), kterých se to může týkat?

E) Co na to právo, ať už z pohledu zpracovatele, nebo vlastníka dat, nebo toho, kdo to zjistil?

Nejedná se vždy jen o osobní, ale i obchodní data.

5. 9. 2018 13:36:43

https://webtrh.cz/diskuse/na-bezpecnostni-chybu-majitel-webu-nereaguje-a-co-vy/#reply1364170

David Hampl

(86 hodnocení)

5. 9. 2018 13:53:17

B - Kašlal bych na to. Jako laik zastávám názor, že hacknout lze v podstatě cokoliv. Otázkou je, kdo to zvládne, co k tomu potřebuje a jaký bude mít z daného útoku profit.

5. 9. 2018 13:53:17

https://webtrh.cz/diskuse/na-bezpecnostni-chybu-majitel-webu-nereaguje-a-co-vy/#reply1364169

TomasX

(4 hodnocení)

5. 9. 2018 13:57:57

Pokud by to někdo nahlásil mně, okamžitě bych sjednal nápravu, asi jiná ani možnost není, je to můj obor :).

C, D) urgovat, zveřejnit* (https://www.lupa.cz/clanky/unik-desitek-tisic-hesel-z-kuma-cz-a-hlava-v-pisku/), pokud to je web, který pracuje s uživatelskými daty, nahlásit na ÚOOÚ (nemám rád práskání, ale děravý web ohrožuje uživatele a je to problém pro ty, kteří se nemohou bránit), občas pomůže nahlášení hostingu, záleží o povaze a nebezpečnostni chyby

E) vlastník dat může poslat žádost o odstranění problému a poté nahlásit nesprávné zpracování osobních údajů na ÚOOÚ

*) Řada těch chyb může být nepodstatných nebo kosmetických, či jejich závažnost není možné prokázat, v tom případě je zveřejnění daleko vážnější "zločin" než samotná chyba a nedoporučoval bych automaticky všechno zveřejňovat. Zákon pamatuji pouze na veřejný zájem, což třeba v případu odkazovaného článku na lupa.cz od Michala Špačka nejspíš je.

Počítá se pouze s náhodně objevenou chybou, pokud bys cíleně hledat chyby na daném webu či na spoustě webů, může se jednat i o trestní čin a bez vědomí majitele bys to dělat neměl.

PS: pokud by se jednalo o webo kritické infrastruktury (banky, pojišťovny, operátoři, ČEZ atd.), neúčinnější je nahlásit report rovnou NÚKIBu (https://www.govcert.cz), ti budou reagovat prompntě ;)

---------- Příspěvek doplněn 05.09.2018 v 14:03 ----------

Napsal hampl.david;1483438
B - Kašlal bych na to. Jako laik zastávám názor, že hacknout lze v podstatě cokoliv. Otázkou je, kdo to zvládne, co k tomu potřebuje a jaký bude mít z daného útoku profit.

je to hodně přibližné :), náklady na takový průnik mohou být obrovské, stejně jak se dostaneš do jakékoliv banky, stačí trochu armády, to ale vyvolá úplně jiné reakce. Většina chyb, o kterých se bavíme jsou zneužitelné automatizovaně a jedná se o základní provinnění, něco jako nezavřené okno. Ty velké průniky znamenají měsíce, roky práce týmu lidí, což jsou obrovské náklady na takový průnik.

5. 9. 2018 13:57:57

https://webtrh.cz/diskuse/na-bezpecnostni-chybu-majitel-webu-nereaguje-a-co-vy/#reply1364168

skorozacatecnik

5. 9. 2018 14:15:10

Napsal TomášX;1483439
... jedná se o základní provinnění, něco jako nezavřené okno....

Ano ano, přesně tak bych to nazval :) V podstatě jde o překlep někde ve formuláři. A nejedná se o státní správu ani kritické infrastruktury.

Ohledně právních důsledků:

Muselo by proběhnout hlášení na UOOU a následné řízení i v případě, že by si dotyčná firma objednala bezpečnostní audit, který by odhalil danou chybu, tu by samozřejmě odstranila a nebyl by prokázán žádný únik dat, nebo zneužití odhalených chyb?

Asi to ženu do extrému, ale fakt se mi nechce nikoho práskat na úřadech za to, že mu někdo udělal díru v systému a on to v podstatě nemohl ovlivnit. Potažmo někdy můžu být i na druhé straně, to člověk neví, dokud to nepřijde.

5. 9. 2018 14:15:10

https://webtrh.cz/diskuse/na-bezpecnostni-chybu-majitel-webu-nereaguje-a-co-vy/#reply1364167

TomasX

(4 hodnocení)

5. 9. 2018 14:19:10

na ÚOOÚ se hlásí povinně pouze incidenty, tj. když došlo k průniku cizí osobou, nikoliv, když sám při testech odhalím zranitelnost.

Je tady ještě další možnost, často v patičce webu (či v hlavičkách css, js souborů) je uveden autor webu, občas pomůže napsat přímo jemu a on si to napraví sám, dělal jsem to takhle mnohokrát.

Pokud se jedná o maličkost a nikdo nereaguje, je asi vhodnější to pustit z hlavy.

5. 9. 2018 14:19:10

https://webtrh.cz/diskuse/na-bezpecnostni-chybu-majitel-webu-nereaguje-a-co-vy/#reply1364166

skorozacatecnik

5. 9. 2018 14:38:28

Díky TomasX za důležitou informaci. Dobrý vědět, že se to právo dá do jisté míry obrátit a netýrat tím vlastníky děr :)

Ještě teda doplním... až někde najdete nějakou bezpečnostní díru, napište majiteli. Třeba to bude (nedej bůh) moje a já bych vám to taky napsal :)

5. 9. 2018 14:38:28

https://webtrh.cz/diskuse/na-bezpecnostni-chybu-majitel-webu-nereaguje-a-co-vy/#reply1364165

Pro odpověď se přihlašte.

Přihlásit