Tento \u010dl\u00e1nok som mal v pl\u00e1ne nap\u00edsa\u0165 u\u017e dlh\u0161iu dobu, kone\u010dne sa mi to podarilo – bude o etike pri h\u013eadan\u00ed bezpe\u010dnostn\u00fdch zranite\u013enost\u00ed ako aj o etike jeho komer\u010dnej formy – penetra\u010dn\u00e9ho testovania.<\/p>\n
Bohu\u017eia\u013e u\u017e p\u00e1r rokov sa stret\u00e1vam na Slovensku s t\u00fdm, \u017ee:<\/p>\n
V praxi to znamen\u00e1 to, \u017ee na Slovensku celkom \u010dasto funguje typ v\u00fdhra\u017en\u00e9ho penetra\u010dn\u00e9ho biznisu, kedy niekto bez ak\u00e9hoko\u013evek s\u00fahlasu odhal\u00ed na Va\u0161om webe nejak\u00fa v\u00e1\u017enej\u0161iu zranite\u013enos\u0165 a vz\u00e1p\u00e4t\u00ed V\u00e1m nap\u00ed\u0161e v\u00fdhra\u017en\u00fd mail znenia: Bohu\u017eia\u013e m\u00e1lokto z vystra\u0161en\u00fdch klientov si uvedom\u00ed, \u017ee toto konanie je vyslovene neetick\u00e9 a to z nasleduj\u00facich pr\u00ed\u010din:<\/p>\n 1. Ide o z\u00edskavanie biznisu prostredn\u00edctvom vyhr\u00e1\u017eania (ak nie vyslovene vydierania).<\/p>\n 2. Inform\u00e1cie o uveden\u00fdch zranite\u013enostiach boli z\u00edskan\u00e9 (ak nie neleg\u00e1lnym, tak) neetick\u00fdm sp\u00f4sobom (bez V\u00e1\u0161ho s\u00fahlasu na vykonanie testu, ktor\u00fd to odhalil).<\/p>\n Seri\u00f3zna IT bezpe\u010dnostn\u00e1 spolo\u010dnos\u0165, ktor\u00e1 poskytuje penetra\u010dn\u00e9 testy a bezpe\u010dnostn\u00e9 audity by:<\/strong><\/p>\n 1. Nikdy nemala vyu\u017e\u00edva\u0165 vyhrozovac\u00ed (alebo vydiera\u010dsk\u00fd) pr\u00edstup ku klientovi a to:<\/strong><\/p>\n Vo v\u0161etk\u00fdch troch pr\u00edpadoch ide (ak nie o neleg\u00e1lny, tak) neetick\u00fd pr\u00edstup.<\/p>\n 2.<\/strong> Mala v\u017edy vy\u017eadova\u0165 podp\u00edsanie vz\u00e1jomnej zmluvy o vykonan\u00ed penetra\u010dn\u00fdch testov<\/strong> (zmluva o bezpe\u010dnostnom zhodnoten\u00ed), kde Va\u0161a spolo\u010dnos\u0165 d\u00e1va svoj s\u00fahlas vykon\u00e1vate\u013eovi na spustenie a vykonanie dan\u00fdch penetra\u010dn\u00fdch testov v definovanom \u010dase (z dan\u00e9ho definovan\u00e9ho IP adresn\u00e9ho rozsahu alebo miesta) za jasne zmluvne definovan\u00fdch podmienok. Seri\u00f3zna bezpe\u010dnostn\u00e1 spolo\u010dnos\u0165 vykon\u00e1vaj\u00faca penetra\u010dn\u00e9 testy by sa nemala pusti\u0165 do testovania V\u00e1\u0161ho webu predt\u00fdm ako jej na to d\u00e1te p\u00edsomn\u00fd s\u00fahlas (v zmluve o \u010cast\u00fdm probl\u00e9mom ako klientov, ktor\u00ed \u017eiadaj\u00fa vykonanie penetra\u010dn\u00fdch testov, tak pr\u00edpadne \u010fal\u0161\u00edch „bezpe\u010dnostn\u00fdch pozorovate\u013eov“ je myln\u00fd predpoklad, \u017ee jednor\u00e1zovo vykonan\u00fd penetra\u010dn\u00fd test predstavuje trval\u00fa garanciu bezpe\u010dnosti otestovanej aplik\u00e1cie. Bez pravideln\u00fdch penetra\u010dn\u00fdch testov danej aplik\u00e1cie (\u010do si v praxi objedn\u00e1va len skuto\u010dn\u00e9 mal\u00e9 mno\u017estvo klientov) je technologicky nemo\u017en\u00e9 zo strany vykon\u00e1vate\u013ea testov akoko\u013evek garantova\u0165 bezpe\u010dnos\u0165 danej webovej aplik\u00e1cie.<\/p>\n R\u00fdchlej\u0161i penetra\u010dn\u00fd test<\/a> len demon\u0161truje potenci\u00e1lne zneu\u017eitie a mo\u017enos\u0165 kompromitovania danej aplik\u00e1cie behom kr\u00e1tkeho \u010dasu (obvykle za 3 dni nie je mo\u017en\u00e9 stihn\u00fa\u0165 analyzova\u0165 v\u0161etky zn\u00e1me druhy zranite\u013enost\u00ed vo v\u0161etk\u00fdch formul\u00e1roch a \u010dastiach aplik\u00e1cie a nap\u00edsa\u0165 detailn\u00fa v\u00fdsledn\u00fa spr\u00e1vu).To je cie\u013eom detailn\u00e9ho bezpe\u010dnostn\u00e9ho auditu<\/a>, ktor\u00fd je ve\u013emi detailn\u00fd a \u00fapln\u00fd a trv\u00e1 r\u00e1dovo a\u017e p\u00e1r t\u00fd\u017ed\u0148ov. Oba tieto penetra\u010dn\u00e9 testy ale hodnotia bezpe\u010dnos\u0165 danej webovej aplik\u00e1cie konkr\u00e9tnej verzie v konkr\u00e9tnom \u010dase.<\/strong> Ak sa klient rozhodne neobjedna\u0165 si pravideln\u00e9 penetra\u010dn\u00e9 testy, tak je nemo\u017en\u00e9 akoko\u013evek garantova\u0165, \u017ee nov\u00e9 verzie danej aplik\u00e1cie bud\u00fa automaticky v\u0161etky bezpe\u010dn\u00e9. Nikto na svete pri vykonan\u00ed jednor\u00e1zov\u00e9ho penetra\u010dn\u00e9ho testu prirodzene nedok\u00e1\u017ee garantova\u0165, \u017ee aplik\u00e1cia bude od toho okamihu trvalo bezpe\u010dn\u00e1, obzvl\u00e1\u0161\u0165 ak sa dynamicky vyv\u00edja.<\/p>\n Nech to znie akoko\u013evek alibisticky, skuto\u010dne nedok\u00e1\u017eeme nies\u0165 ak\u00fako\u013evek zodpovednos\u0165 za bezpe\u010dnos\u0165 a mo\u017enos\u0165 potenci\u00e1lneho kompromitovania pre v\u0161etky webov\u00e9 aplik\u00e1cie na ktor\u00e9 bol v minulosti vykonan\u00fd len jednor\u00e1zov\u00fd penetra\u010dn\u00fd test.<\/p>\n Preto m\u00e1 v pr\u00edpade kritick\u00fdch alebo \u010dasto a r\u00fdchlo meniacich sa aplik\u00e1ci\u00e1ch v\u017edy zmysel pravideln\u00e9 penetra\u010dn\u00e9 testovanie.<\/strong> Odpove\u010f na ot\u00e1zku, \u010di je leg\u00e1lne alebo neleg\u00e1lne zverej\u0148ovanie zranite\u013enost\u00ed z\u00edskan\u00e9 hackovan\u00edm danej webovej aplik\u00e1cie\/syst\u00e9mu bez s\u00fahlasu jeho vlastn\u00edka (\u010do je v na\u0161ich slovensk\u00fdch podmienk\u00e1ch celkom be\u017en\u00e9), by som ponechal na na\u0161ich pr\u00e1vnikov. Vzh\u013eadom na riziko pr\u00e1vneho postihu za neopr\u00e1vnen\u00e9 hackovanie, odpor\u00fa\u010dam h\u013eada\u0165 a zverej\u0148ova\u0165 zranite\u013enosti len na webov\u00fdch str\u00e1nkach, ktor\u00e9 jasne definuj\u00fa pravidl\u00e1 a podmienky odha\u013eovania bezpe\u010dnostn\u00fdch zranite\u013enost\u00ed (tzv. „vulnerability disclosure policy“). V\u0161etky ve\u013ek\u00e9 spolo\u010dnosti (Google, Microsoft, eBay, PayPal, ..) uveden\u00e9 podmienky maj\u00fa verejne dostupn\u00e9 a obvykle sa uveden\u00e9 pravidl\u00e1 zhoduj\u00fa v nasleduj\u00facich bodoch:<\/p>\n V pr\u00edpade, \u017ee dan\u00fd web neobsahuje pravidl\u00e1 zverej\u0148ovania zranite\u013enosti, je skuto\u010dne najlep\u0161ie a najrozumnej\u0161ie o dan\u00fdch zranite\u013enostiach jednoducho nehovori\u0165, nako\u013eko sa samotn\u00fd n\u00e1lezca zranite\u013enost\u00ed priamo vystavuje riziku pr\u00e1vneho postihu za neopr\u00e1vnen\u00e9 hackovanie zo strany vlastn\u00edka danej webovej aplik\u00e1cie (takto sa na to pozeraj\u00fa aj svetov\u00ed bezpe\u010dnostn\u00ed experti, nako\u013eko pri absencii pravidiel zverej\u0148ovania zranite\u013enost\u00ed neexistuje \u017eiadne pr\u00e1vne krytie bezpe\u010dnostn\u00fdch v\u00fdskumn\u00edkov v pr\u00edpade odha\u013eovania zranite\u013enost\u00ed aplik\u00e1ci\u00ed vlastnen\u00fdch tre\u0165ou stranou). Tento \u010dl\u00e1nok som mal v pl\u00e1ne nap\u00edsa\u0165 u\u017e dlh\u0161iu dobu, kone\u010dne sa mi to podarilo – bude o etike pri h\u013eadan\u00ed bezpe\u010dnostn\u00fdch zranite\u013enost\u00ed ako aj o etike jeho komer\u010dnej formy – penetra\u010dn\u00e9ho testovania. Etick\u00e9 krit\u00e9ri\u00e1 na dod\u00e1vate\u013ea penetra\u010dn\u00fdch testov Bohu\u017eia\u013e u\u017e p\u00e1r rokov sa stret\u00e1vam na Slovensku s t\u00fdm, \u017ee: t\u00ed, ktor\u00ed vedia odhalova\u0165 bezpe\u010dnostn\u00e9 […]<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"inline_featured_image":false,"_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"footnotes":""},"categories":[13],"tags":[445,446,447,448,449],"class_list":["post-1147","post","type-post","status-publish","format-standard","hentry","category-uncategorized-sk","tag-etika-sk","tag-pravidla-zverejnovania-zranitelnosti-sk","tag-responsible-sk","tag-vulnerability-disclosure-policy-sk","tag-zodpovedne-zverejnovanie-zranitelnosti-sk"],"yoast_head":"\n
\n„Dobr\u00fd de\u0148, na Va\u0161om webe <\/strong>sme odhalili <\/strong>v\u00e1\u017enu zranite\u013enos\u0165, viac inform\u00e1ci\u00ed o nej V\u00e1m poskytneme, ke\u010f si u n\u00e1s zaplat\u00edte penetra\u010dn\u00fd test…“.<\/strong><\/p>\n\n
\nbezpe\u010dnostn\u00e9 zranite\u013enosti<\/li>\n
\n3. Nemala ma\u0165 probl\u00e9m podp\u00edsa\u0165 obojstrann\u00fa NDA so zmluvnou pokutou minim\u00e1lne do v\u00fd\u0161ky ceny samotn\u00e9ho penetra\u010dn\u00e9ho testu.<\/strong><\/p>\n
\nvykonan\u00ed penetra\u010dn\u00fdch testov, pr\u00edpadne inej zmluve), podobne by V\u00e1s nemala informova\u0165 o
\nzranite\u013enostiach, ktor\u00e9 odhalila po\u010das testovania vykonan\u00e9ho bez V\u00e1\u0161ho s\u00fahlasu.
\nPenetra\u010dn\u00fd test – trval\u00e1 garancia bezpe\u010dnosti Va\u0161ej webovej aplik\u00e1cie (?)
\n<\/strong><\/p>\n
\nDnes som obdr\u017eal u\u017e tretiu spr\u00e1vu behom tohto roka (doposia\u013e boli v\u0161etky anonymn\u00e9, v poslednom pr\u00edpade u\u017e ch\u00fdba len priezvisko) od \u013eud\u00ed, ktor\u00ed n\u00e1m pon\u00fakaj\u00fa zverejnenie v\u00e1\u017enej kritickej zranite\u013enosti na webe n\u00e1\u0161ho klienta (= ktor\u00e9ho m\u00e1me uveden\u00e9ho v na\u0161ich referenci\u00e1ch).
\nDoteraj\u0161ie dve spr\u00e1vy mali v\u00fdhra\u017en\u00fd charakter – vy\u017eadovali zaplatenie nejakej sumy za
\nnezverejnenie danej zranite\u013enosti alebo objednanie nejak\u00fdch „\u0161peci\u00e1lnych“ testov, ktor\u00e9 n\u00e1m dok\u00e1zal dan\u00fd anonym poskytn\u00fa\u0165. Medzi riadkami sa v\u0161etci vyhr\u00e1\u017eali po\u0161koden\u00edm dobr\u00e9ho mena a reput\u00e1cie na\u0161ej firmy. Posledn\u00e1 spr\u00e1va s\u00edce nebola v\u00fdhra\u017en\u00e1, ale vy\u017eadovala nejak\u00fd s\u00fahlas o zverejnen\u00ed ozn\u00e1menia o tom, \u017ee n\u00e1m boli poskytnut\u00e9 nejak\u00e9 konzult\u00e1cie (ktor\u00e9 sme samozrejme ne\u017eiadali).
\nBohu\u017eia\u013e mus\u00edm op\u00e4\u0165 zd\u00f4razni\u0165, \u017ee nikto z uveden\u00fdch anonymov si neuvedomuje, \u017ee v\u00e4\u010d\u0161ina na\u0161ich klientov si jednoducho neplat\u00ed opakovan\u00e9 penetra\u010dn\u00e9 testy pre dan\u00fa webov\u00fa aplik\u00e1ciu. Ked\u017ee uveden\u00e1 aplik\u00e1cia \u010dastokr\u00e1t prech\u00e1dza v\u00fdrazn\u00fdmi zmenami zo strany klienta (ako funk\u010dn\u00fdmi, tak bezpe\u010dnostn\u00fdmi), s\u00fa\u010dasne sa neust\u00e1le objavuj\u00fa nov\u00e9 vektory a druhy zranite\u013enost\u00ed, tak jednoducho nedok\u00e1\u017eeme akoko\u013evek garantova\u0165, \u017ee jej bezpe\u010dnos\u0165 bude rovnak\u00e1 ako napr\u00edklad pred tromi rokmi, kedy sme dan\u00fd penetra\u010dn\u00fd test vykonali.<\/p>\n
\nZodpovedn\u00e9 zverej\u0148ovanie zranite\u013enost\u00ed<\/strong><\/p>\n
\nR\u00e1d by som ale hovoril o etickej str\u00e1nke zodpovedn\u00e9ho odha\u013eovania zranite\u013enost\u00ed (tzv.“responsible vulnerability disclosure“).<\/p>\n\n
\nSitu\u00e1cia je lep\u0161ia v pr\u00edpade zranite\u013enost\u00ed lok\u00e1lne in\u0161talovate\u013en\u00e9ho softv\u00e9ru (napr\u00edklad webov\u00e9 prehliada\u010de, pluginy, opera\u010dn\u00fd syst\u00e9m apod), kde je mo\u017en\u00e9 pr\u00edpadn\u00fa odhalen\u00fa zranite\u013enos\u0165 poskytn\u00fa\u0165 za odmenu konkr\u00e9tnej spolo\u010dnosti (napr\u00edklad Zero Day Initiative (ZDI) od TippingPointu), ktor\u00e1 m\u00e1 \u0161peci\u00e1lne dohody so v\u0161etk\u00fdmi ve\u013ek\u00fdmi spolo\u010dnos\u0165ami, ktor\u00e9 zastupuje a ktor\u00e9 n\u00e1sledne informuje o pr\u00edpadn\u00fdch z\u00edskan\u00fdch bezpe\u010dnostn\u00fdch zranite\u013enostiach.<\/p>\n","protected":false},"excerpt":{"rendered":"