Grzegorz Staniak wrote:

>>> Jak weryfikujesz "wykrycie braku zabezpieczeń"? Sprawdzenie, czy na
>>> pewno wykryłeś dziurę jest już "uzyskiwaniem nieautoryzowanego dostępu"
>>> itd.
>> A dowodem na to jest ...
> A to już zupełnie inna bajka. Choćby radosne poinformowanie o fakcie
> właściciela rzeczonego systemu.

Czyli, podsumowując, jeśli - nie daj RNG - znajdziesz buga, który podpada
pod 'uzyskanie nieautoryzowanego dostępu'[1] to albo milczysz jak grób,
albo, jeśli zechcesz już o tym porozmawiać, to nie z właścicielem, bo
będzie miał dowód?
Czyli jak i z kim mają rozmawiać? Może napisać na pl.comp.security posta w
stylu 'Załóżmy, że jest serwis hostingowy, który trzyma logi w postaci (tu
opis + ew. opis jak przełamać to 'zabezpieczenie'). W logach mogą się
znaleźć dane typu (tu opis) które w szczególnym przypadku (tu opis)
pozwalają na (tu opis + ew. adnotacja że ma wrażenie że w przypadku portalu
jednego z ministerstw wydaje mu się, że tak jest). Czy takie coś jest
błędem w zabezpieczeniach? Jakie daje możliwości nadużyć?'
Oczywiście najlepiej by było, gdyby każda firma zamieściła na stronie info,
jak będzie traktować tego typu zgłoszenia, najlepiej z dokładnym cennikiem
za jakie informacje ile płaci (jeśli płaci). Tyle, że to nierealne.
A co IMO powinien zrobić home.pl? Poprawić swój błąd (to zrobili szybko i
skutecznie, z tego co wyczytałem), powiadomić admina portalu MEN o dziurze,
ze wskazaniem znalazcy dziury (czy też dać 24h na powiadomienie samemu
znalazcy), zabić śmiechem ofertę ('OK, było niedociągnięcie, ale jest już
poprawione (trzymamy się wersji, że analiza logów wystarczyła), dzięki za
zgłoszenie, możemy wam za to dać <tu np. rok hostingu gratis[2]>, jak nie,
to sobie publikujcie'. A dlaczego? Bo błędy były i będą, tak samo jak
ludzie, którzy ich szukają. A polityka 'u nas błędów nie ma[3], a spróbuj
ich poszukać/powiedzieć o nich, to się na ABW skończy' na dłuższą metę
działa IMO przeciw firmie.

>>> Były już procesy za wykrycie dziur przez admina w ramach wykonywania
>>> obowiązków.
>> W Polsce? Jakies konkretne?
> Nie, nie w Polsce.

Pewnie tam, gdzie rzeźby molestują studentów uczelni?

[1] Niby na którym etapie miała niby miejsce _autoryzacja_ w przypadku
opisanego dostępu do serwisu MEN? Z tego co piszą na
<http://hack.pl/aktualnosci/oswiadcznie_w_sprawie_wy
krycia_krytycznej_luki_serwerow_homepl_593>
po prostu weszli (klik w URL) do katalogu ze statystykami, tam były
niezabezpieczone pliki txt z logami, a w nich był link do strony z
potwierdzeniem o poprawnym zalogowaniu, po wejściu na którą otrzymywało się
pełny dostęp. Podsumowując: kliknięcie w określonego linka dawało pełny
dostęp do treści. Gdzie tu niby jest uwierzytelnianie (rozumiem, że jak
ktoś poda tu takiego linka a Ty klikniesz, to dokonasz 'uzyskania
nieautoryzowanego dostępu'? ;->)? Tak, czytałem
<http://ihack.pl/hack.pl-200-tys-za-statystyki>; tak, błędy dotyczyły
serwisów, nie home.pl (tu był wyłącznie nierozsądny sposób przechowywania
logów); tak, cena była śmieszna.
[2] Czy tam cokolwiek - do negocjacji. Minimum to podziękowania za 'pomoc w
zwiększeniu bezpieczeństwa serwisu', jeśli faktycznie pomogli w
znalezieniu/naprawieniu dziury/niedociągnięcia. W sumie w tym przypadku
prestiż mógłby być cenniejszy od pieniędzy.
[3] Jak się jest absolutnie pewnym bezbłędności programu/systemu, to się
wyznacza nagrodę za znalezienie błędu. Taka darmowa reklama. ;->