White hat hacking rubrika: Folklór
9
joinmax
Jakou máte zkušenost s lidmi, kteří nabourali vaši aplikaci nebo web a místo, aby toho zneužili, vám to řekli? Jak jste reagovali? Dostali jste nějaké ultimátum (že do určité doby musíte stihnout opravu, protože pak hacker ten exploit zveřejní)? Dali jste je k soudu (nebo jste se je tím aspoň pokoušeli zastrašit) nebo jste je odměnili za to, že chybu nezneužili, nezveřejnili a informovali o ní jako první vás?
Nebo jste byli těmi hackery vy? Jak to vidíte z té druhé strany?
8
v6ak
Setkal jsem se s různými reakcemi. Někteří poděkovali a vzali to zodpovědně. Z něčeho byly i nějaké peníze, ale nedá se na to spoléhat. Ale nevím, jestli se toto dá dělat jen čistě pro peníze, spíš ne. Mnoho lidí prostě poděkuje a opraví, někteří třeba zveřejní jméno na webu. Říct si o peníze rovnou zavání vydíráním a nezkoušel jsem to. V některých případech prý ale vděčné firmy dávají na white-hat dobré reference, zkušenost nemám.
I s ignorací nebo s (podle mého názoru) příliš malou reakcí se lze setkat. Jednomu známému (a jinak celkem dobrému) poskytovateli VPS a dalších služeb jsem před časem reportoval problém s SSH klíči v šablonách. Již vytvořené servery neměli chuť řešit, ani napsat svým zákazníkům. Staré šablony asi neřešili (ale nejsem si 100% jist), v nových je to už patrně vyřešeno.
V takových situací někdy přemýšlím, jestli mám kontaktovat samotné uživatele. Ono by to vůči nim bylo asi celkem fér, ale ještě jsem se do toho nikdy nepustil. Jedna věc je obava z případné reakce provozovatele. Druhá věc někdy je obava z reakce samotných uživatelů, které už vůbec neznám. Například jednou jsem se dostal k DB uživatelů a začal jsem zkoumat, zda hesla pasují i do e-mailových účtů. Ale zkuste ty naprosto neznámé uživatele kontaktovat. V očích takového uživatele můžete být za nějakého mága, který se nějak magicky dostal k vašemu heslu, a racionální reakce mohou jít stranou. Možná to vidím moc černě, ale nechtělo se mi do toho.
Je ale potřeba dát si pozor, aby člověk neškodil. Bez předchozí dohody obvykle není na výběr a takovéto věci se dělají na ostrých systémech. A s ostrými daty platí "dvakrát měř, jednou řež". A pokud do toho úplně nevidíte (typicky pokud nemáte zdrojový kód), je někdy dost dobré si promyslet, co tím vlastně uděláte. Třeba taková klasika v SQL injekci je zakomentování zbytku příkazu. U SELECTu je to obvykle nevinné, ale u UPDATE/DELETE taky můžete zakomentovat třeba celou podmínku WHERE - se všemi následky. (To se mi bohužel stalo, naštěstí to nebyla až tak kritická data, měli k tomu relativně nedávnou zálohu a vzali to celkem v pohodě. Každopádně je to poučení pro příště.)
Někdy navíc nemusejí být následky úplně zjevné, když kvůli chybě v SQL se skript z nějakého důvodu nedostane k odemčení tabulky, což tehdy přinejmenším vyústilo ve shození celého webserveru. Obávám se ale, že toto už nešlo jen tak snadno předvídat. Vlastně ani teď nevím, na základě čeho bych to byl býval mohl předem odhadnout. Dodnes totiž ani netuším, na co tam používali zamykání tabulek.
Pro zobrazení všech 3 odpovědí se prosím přihlaste:
Nebo se přihlaste jménem a heslem: