Autor Tema: Hipotetički da razmotrimo - Šta posle odrađenog penetraciskog testa ?  (Pročitano 485 puta)

Vido

  • Novajlija
  • *
  • Poruke: 8
Odnosno recimo da ste "pronašli" sigurnosni propust koji omogućava da dođete do na pr. određenih privatnih informacija do kojih inače ne bi trebali da dođete i
recimo da nije "bug" u pitanju već s namjerom postavljen "back door" kojim je pogođen određeni procenat vaših sugrađana.

Šta biste vi uradili, da li bi prijavili toj nekoj kompaniji šta ste pronašli, mada teško da "oni" ne znaju za to što ste pronašli? Ili bi postavili online kako bi i ostali mogli da iskoriste taj neki "benefit" i time primorali da se što prije zatvori "back door", pri tom "postajete odgovorni" za nastali štetu.  Da li bi bilo "odgovarajuće" da tražite neku nadokandu za uloženi trud i vrijeme a svi znamo kolike su šanse da tako nešto i dobijete dakle jedino vam preostaje da sami izvučete "neku" korist da ćutite i radite dok ne vratite uloženi novac/vrijeme.

Šta bi bilo da vi odlučujete, postoji li rešenje u kom bi svi bili zadovoljni ?

tp0x45

  • Administrator
  • Junior
  • *****
  • Poruke: 96
Pitanje nije skroz jasno. Fali objasnjenje na koji nacin se doslo do saznanja o sigurnosnom propustu.

Ukoliko si takvu informaciju dobio "normalnim" krosicenjem nekog sistema, onda se to moze prijaviti tehnickoj podrski kroz neki "issue reporting".

Mislim da nije legalno da se covek "igra" sa raznim alatima za testiranje besbjednosti na tudjem sistemu. Ukoliko te uhvate, kako ces objasniti da si imao "postene namjere" :) Ovde je pristup da sigurnosne tehnike naucis na svom sistemu ili sistemu za koji imas ovlascenje da testiras. Onda, ukoliko zelis da testiras neciji sistem, da im ponudis to kao servis ili uslugu,  pa makar ta usluga bila besplatna. Vazno razumijeti i rizike da mozes biti odgovoran za probleme ako se nesto desi na tom sistemu dok si radio testiranje.

Da sumiram, vrlo je vazno razumijeti legalne aspekte ove problematike, a ne samo tehnicke.

Vido

  • Novajlija
  • *
  • Poruke: 8
Pitanje nije skroz jasno. Fali objasnjenje na koji nacin se doslo do saznanja o sigurnosnom propustu.

Ukoliko si takvu informaciju dobio "normalnim" krosicenjem nekog sistema, onda se to moze prijaviti tehnickoj podrski kroz neki "issue reporting".

Definitivno nisam dobio "informaciju normalinim" korišćenjem, jer kroz UI kojim regularno pristupaš servisu uopšte ne postoje "dodatna" podešavanja vezana za servis iako "bi trebala" i to me je navelo da pogledam malo dublje.
Mislim da nije legalno da se covek "igra" sa raznim alatima za testiranje besbjednosti na tudjem sistemu. Ukoliko te uhvate, kako ces objasniti da si imao "postene namjere" :) Ovde je pristup da sigurnosne tehnike naucis na svom sistemu ili sistemu za koji imas ovlascenje da testiras. Onda, ukoliko zelis da testiras neciji sistem, da im ponudis to kao servis ili uslugu,  pa makar ta usluga bila besplatna. Vazno razumijeti i rizike da mozes biti odgovoran za probleme ako se nesto desi na tom sistemu dok si radio testiranje.

Da sumiram, vrlo je vazno razumijeti legalne aspekte ove problematike, a ne samo tehnicke.
Normalno da je legalna strana "bitan" aspekat i potpuni se slažem sa tobom ali od "hvala" se ne živi a i da prijavim mislim da od davaoca usluga ni to ne bih dobio i na kraju "ko ti je kriv" :)