mboost-dp1
Sikkerhedshul hos dansk Internet service udbyder
- Forside
- ⟨
- Forum
- ⟨
- Tagwall
Da jeg spurgte her i tråden hvor længe jeg burde give dem kom der to bud. Det ene bud sagde "et par måneder", det andet sagde "to uger, som minimum".
Men hvis nu I kommer med forslag til hvilket nyhedsmedie der kunne være interesseret i historien og give det en seriøs dækning, så vil jeg bruge et par uger på at overveje hvem jeg synes jeg vil kontakte med historien.
Der var en som foreslog at man kunne slå alle deres kunder op hos DK-hostmaster, men der kom aldrig nogen opdatering på hvordan man kunne foretage sådan et opslag.
Fire uger er i hvert fald ude over hvad jeg synes er rimeligt.
Men hvis nu I kommer med forslag til hvilket nyhedsmedie der kunne være interesseret i historien og give det en seriøs dækning, så vil jeg bruge et par uger på at overveje hvem jeg synes jeg vil kontakte med historien.
Der var en som foreslog at man kunne slå alle deres kunder op hos DK-hostmaster, men der kom aldrig nogen opdatering på hvordan man kunne foretage sådan et opslag.
Fire uger er i hvert fald ude over hvad jeg synes er rimeligt.
Lav en nyhed her på sitet og på version2. Så kommer den vel ud til de fleste?
Evt. send den til EB også, men så skal sproget nok være på lavt niveau. De elsker "sensationer".
Jeg synes du bør gøre det hurtigst muligt, da der jo sagtens kan være andre der kender og måske allerede udnytter hullet.
Evt. send den til EB også, men så skal sproget nok være på lavt niveau. De elsker "sensationer".
Jeg synes du bør gøre det hurtigst muligt, da der jo sagtens kan være andre der kender og måske allerede udnytter hullet.
Alrekr (58) skrev:Indlæg 1 = Version2
Indlæg 2 = Version2 el. newz.dk
Indlæg 3 = Indlæg 1 + Indlæg 2 = Version 2 + newz.dk
:P
Nej, Indlæg 1 + Indlæg 2 = Version 2 + (Version2 ∨ newz.dk)
Daniel-Dane (59) skrev:Alrekr (58) skrev:Indlæg 1 = Version2
Indlæg 2 = Version2 el. newz.dk
Indlæg 3 = Indlæg 1 + Indlæg 2 = Version 2 + newz.dk
:P
Nej, Indlæg 1 + Indlæg 2 = Version 2 + (Version2 ∨ newz.dk)
Men ville Version2 + Version2 give mening? Nogle gange skal man tænke over hvordan man udtrykker sig matematisk, og ikke bare overholde alle regler - ligesom når man udregner længden af en side i en trekant. Der udelader man også +-, da det ikke giver mening med en negativ længde.
kasperd skrev:Der var en som foreslog at man kunne slå alle deres kunder op hos DK-hostmaster, men der kom aldrig nogen opdatering på hvordan man kunne foretage sådan et opslag.
Med et WHOIS-opslag, men det slog mig at det nok er svært at finde alle deres kunder ud fra det da de sikkert har forskellige handles. Nogen udbydere benytter sig af deres firmas DNS-server, så måske man på en måde kan søge på danske domæner med de samme DNS-servere fra serviceudbyderen.
Det sårbare system har eksisteret i mange år, og hullet har sikkert altid været der. Så det er da en reel risiko.fjols (57) skrev:Jeg synes du bør gøre det hurtigst muligt, da der jo sagtens kan være andre der kender og måske allerede udnytter hullet.
Jeg vurderede dog at hvis virksomheden håndterede dette hul professionelt og lukkede hullet i løbet af en uges tid, så ville der være en meget lille risiko for at andre opdagede hullet indenfor denne uge. Hvis jeg publicerede detaljerne ville der til gengæld være en risiko for at andre begyndte at udnytte hullet i den tid der gik før det blev lukket.
Hvis nogen allerede havde kendskab til hullet kan de have haft kendskab til det i lang tid, og i så fald mener jeg ikke et par uger fra eller til er altafgørende.
Det har nu vist sig at hullet ikke er blevet lukket så hurtigt som jeg havde forventet. Jeg overvejer at skrive dem en email med en ordlyd i denne retning:
Arbejdet på dette hul har efterhånden taget længere tid end jeg havde forventet. Jeg synes derfor det er ved tiden vi overvejer hvordan vi bedst muligt kan informere jeres kunder om hvilke forholdsregler de bør tage for at undgå misbrug indtil hullet bliver lukket. Har I nogen god idéer til hvordan man bedst muligt får disse forholdsregler kommunikeret ud til alle der har behov for at kende dem?
Derudover ville jeg tilføje hvilke forholdsregler jeg mener man bør tage. Er ovenstående formulering konstruktiv nok, eller kan den forbedres?
Jeg ved hvordan jeg kan slå en handle op hvis jeg kender et domænenavn, og jeg får ved den lejlighed automatisk kontaktoplysninger med, dog ikke nogen email adresse. Men jeg har jo ikke nogen liste over alle de domænenavne jeg har brug for at slå op, og jeg ved heller ikke hvordan man givet et handle kan finde alle domæner registreret med det handle.KaW (62) skrev:Med et WHOIS-opslag, men det slog mig at det nok er svært at finde alle deres kunder ud fra det da de sikkert har forskellige handles.
Det kunne måske være brugbart, men jeg kender ikke nogen måde at fremskaffe en liste over alle domænerne på en DNS server.KaW (62) skrev:måske man på en måde kan søge på danske domæner med de samme DNS-servere fra serviceudbyderen.
Jeg synes du skal være mere hård i tonen og skrive, at du kontakter medierne indenfor f.eks. 14 eller 30 dage.
At hullet har fandtes i flere år gør det bestemt ikke bedre for firmaets kunder og jeg mener de bør informeres hurtigst muligt. Hvis du har givet firmaet over en måneds frist, så synes jeg du har været mere end rimelig.
At hullet har fandtes i flere år gør det bestemt ikke bedre for firmaets kunder og jeg mener de bør informeres hurtigst muligt. Hvis du har givet firmaet over en måneds frist, så synes jeg du har været mere end rimelig.
kasperd (63) skrev:[...]
Det har nu vist sig at hullet ikke er blevet lukket så hurtigt som jeg havde forventet. Jeg overvejer at skrive dem en email med en ordlyd i denne retning:Hør her, røvhuller
Arbejdet på dette hul har efterhånden taget længere tid end jeg havde forventet.Jeg synes derfor det er ved tiden vi overvejer hvordan vi bedst muligt kan informere jeres kunder om hvilke forholdsregler de bør tage for at undgå misbrug indtil hullet bliver lukket. Har I nogen god idéer til hvordan man bedst muligt får disse forholdsregler kommunikeret ud til alle der har behov for at kende dem?
Derfor offentliggører jeg alle detaljer omkring sikkerhedshullet inden __ dage, i et relevant medie.
Jeg prøvede at tage dit eksempel og skiftede ns1.bmit.dk ud med navnet på en DNS server som jeg ved er autoritativ for nogle domæner som er berørt af dette sikkerhedshul.Magten (65) skrev:Eksempel
Den gav absolut intet. Den kunne ikke fortælle mig et eneste domæne som havde denne DNS server som autoritativ.
Til gengæld har jeg ad anden vej (mest Google og Netcraft) fundet frem til 44 domæner som så vidt jeg kan vurdere må være berørt. Blandt de domæner det lykkedes mig at finde frem til var et enkelt som er kendt nok til at det med en passende overskrift burde være sensationelt nok til sladderpressen.
Jeg prøvede også lidt andre DNS servere efterfølgende hvor den ikke fandt noget. Det virker lidt tilfældigt om der er noget info eller ej.kasperd (67) skrev:Jeg prøvede at tage dit eksempel og skiftede ns1.bmit.dk ud med navnet på en DNS server som jeg ved er autoritativ for nogle domæner som er berørt af dette sikkerhedshul.
Den gav absolut intet. Den kunne ikke fortælle mig et eneste domæne som havde denne DNS server som autoritativ.
kasperd (69) skrev:Det er der ingen risiko for da jeg ikke gør noget ulovligt.
Den kan nok gradbøjes juridisk. Du skader indirekte firmaet PR-mæssigt og måske økonomisk ved at offentliggøre hullet. Hvis en evt. retsinstans ikke finder, at du har givet dem rimelig tid, hænger du potentielt på den.
Jeg er i øvrigt enig med Arne i, at de skal have et par måneder til at reagere i, før evt. offentliggørelse. Men der sker intet ved at gå til V2 som jeg også tidligere nævnte i tråden, så har de tidligere vøret meget velvillige til at afsætte en journalist til at høre på dig, og derefter rette henvendelse til firmaet.
kasperd (69) skrev:Det er der ingen risiko for da jeg ikke gør noget ulovligt.
Husk at der ikke skal meget til. Selvom du finder noget, der står helt åbent, er det stadig ulovligt at se sig omkring, og én testkørsel kørsel af dit exploit er også strafbart. Jeg ved ikke hvordan du har fundet IP-adresserne, men det lyder heller ikke lovligt.
Er der en lov som giver et firma krav på god PR?BlackFalcon (73) skrev:Du skader indirekte firmaet PR-mæssigt og måske økonomisk ved at offentliggøre hullet.
Det afhænger da så afgjort af omstændighederne.Zhadow (74) skrev:én testkørsel kørsel af dit exploit er også strafbart.
Lad mig give et eksempel hvor man kan afprøve et sikkerhedshul uden at foretage sig noget ulovligt. Der kunne være et website hvor man når man er logget ind kan se nogle personlige oplysninger, som ikke må være synlige for udenforstående. Det kunne være at man på nogle af disse sider har glemt at checke at det er den rigtige bruger, fordi man ikke troede andre kunne finde frem til den pågældende URL. Men den eneste forskel på URLen mellem forskellige brugere var måske et enkelt tal som tildeles fortløbende.
I dette hypotetiske tilfælde kunne man blot ændre det tal i URLen og få adgang til andre brugeres data. Det må man selvfølgelig ikke. Men hvis man gemmer URLen når man er logget ind og kigger på den igen efter man er logget ud, så har man intet ulovligt gjort, men man har stadig undersøgt om hullet er til stede. Man kunne også have givet URLen til en anden person, som ikke er bruger på systemet, og givet denne lov til at kigge på ens data.
Jeg har ikke sagt noget om nogen IP adresser. Men hvis jeg var interesseret i at slå nogle IP adresser op, så kan jeg jo bare slå dem op i DNS, det er der intet ulovligt i.Zhadow (74) skrev:Jeg ved ikke hvordan du har fundet IP-adresserne, men det lyder heller ikke lovligt.
kasperd (75) skrev:Er der en lov som giver et firma krav på god PR?
Der findes en lov som siger, at du ikke må lave nedværdigende reklame om en andet selskab. Det er derfor alle butikker siger 'Danmarks bedste' og ikke 'Bedre end [den der anden butik]'. En lov, som Burger King var på kant med (efter min overbevisning) da de lavede reklamen med mågen.
kasperd (75) skrev:I dette hypotetiske tilfælde kunne man blot ændre det tal i URLen
Jeg tvivler stærkt på at det er lovligt. Helt i tråd med at du ikke må tage i et dørhåndtag, for at se om døren er låst.
kasperd (75) skrev:Man kunne også have givet URLen til en anden person, som ikke er bruger på systemet, og givet denne lov til at kigge på ens data.
Det er tit heller ikke tilladt afhængigt af hvad, du sagde ja til, da du oprettede brugeren.
Så er det vel ikke sværere end man siger "Jeg skrev den direkte url men ramte et forkert tal, og fandt derfor hullet."Zhadow (77) skrev:Jeg tvivler stærkt på at det er lovligt. Helt i tråd med at du ikke må tage i et dørhåndtag, for at se om døren er låst.
Dermed er det ved et tilfælde man har fundet fejlen.
Magten (79) skrev:Så er det vel ikke sværere end man siger "Jeg skrev den direkte url men ramte et forkert tal, og fandt derfor hullet."
Ja, hvis det er en fejl, der er nem at lave. Men der er noget, der hedder ond tro og god tro. Undskyldninger er ikke altid nok til at frifinde dig.
Eksempel:
Hvis du retter pbx til 2, bliver det nok svært at forklare hvordan du kom til at lave fejlen.
http://www.google.dk/#sclient=psy-ab&hl=da&source=hp&q=breaking+the+law&pbx=1&oq=breaking+the+law&aq=f&aqi=g4&aql=1&gs_sm=e&gs_upl=...
Hvis du retter pbx til 2, bliver det nok svært at forklare hvordan du kom til at lave fejlen.
kasperd (75) skrev:Er der en lov som giver et firma krav på god PR?
Nej, ikke hvad jeg ved af, men uden videre indsigt i sagen i øvrigt, kan udsagnet muligvis vendes om og spørge: Er der en lov der byder dem at lukke det hul du har fundet (og indenfor en tidsfrist)?
Prøv at tænke på det fra neutral side. I yderste instans afpresser du uden videre gyldig grund et firma og det kan, som jeg udtrykkeligt skrev, potentielt tolkes som, at du har forsøgt at udnytte situationen for egen vinding. Det er givetvis ikke hensigten, men du kan ikke bare afskrive det. Sålænge de responderer på dine henvendelser indenfor rimelig periode, har de vel vist at de er igang.
Dit eksempel i#75 er i øvrigt præcist hvad der var tilfældet i den sag, jeg linkede til i #35.
Straffelovens §263 er en god start. Du er ikke berettiget til at afprøve sikkerhed jf. § 263 a stk. 3
Så vidt jeg ved bruges der også afgørelser. Vi havde om det i IT jura på "skolen".
Så vidt jeg ved bruges der også afgørelser. Vi havde om det i IT jura på "skolen".
https://www.retsinformation.dk/Forms/R0710.aspx?id=133530#263 skrev:Med bøde eller fængsel indtil 1 år og 6 måneder straffes den, der uretmæssigt erhvervsmæssigt sælger eller i en videre kreds udbreder en kode eller andet adgangsmiddel til et ikke offentligt tilgængeligt informationssystem, hvortil adgangen er beskyttet med kode eller anden særlig adgangsbegrænsning.
Jeg læser det ikke som at man via url'en anskaffer sig adgang til beskyttet materiale, det er vel ikke beskyttet hvis man bare har det liggende i åben mappe på sit web-drev som kun kan tilgåes ved at skrive noget lign htttp://www.internetside.dk/superhemmeligmappe/....?
BlackFalcon (83) skrev:Prøv at tænke på det fra neutral side. I yderste instans afpresser du uden videre gyldig grund et firma og det kan, som jeg udtrykkeligt skrev, potentielt tolkes som, at du har forsøgt at udnytte situationen for egen vinding.
Det kan vel kun tolkes sådan, hvis han skrev 'Jeg har fundet et hul, som I må høre om, for 3500 kr'. Hvis han kontakter dem og siger 'Jeg har fundet et hul, det er blablabla, og jeg håber I gør noget ved det', samt senere siger 'Jeg mener vi skal beskytte jeres kunder, så jeg kontakter et medie med min opdagelse' - så tror jeg ikke at man kan straffes for afpresning.
qw_freak (86) skrev:Jeg læser det ikke som at man via url'en anskaffer sig adgang til beskyttet materiale, det er vel ikke beskyttet hvis man bare har det liggende i åben mappe på sit web-drev som kun kan tilgåes ved at skrive noget lign htttp://www.internetside.dk/superhemmeligmappe/....?
Hvad er forskellen på om du gør det ved hjælp af en url eller en formular?
qw_freak (89) skrev:at bruge en url er IMO at banke på døren og se om der er nogen der lukker op, en formular er at stikke en nøgle i låsen og se om den åbner...
Hvis du erstatter et 1, med 2, så har du en god sag. Erstatter du derimod 5465468 med 4849812, blive det meget svært at forklare i retten, hvorfor du gjorde det. Det ligner et forsøg på at bryde en nøgle.
Det er lige så nemt og ulovligt at gætte passwords i en formular.
Zhadow (90) skrev:Hvis du erstatter et 1, med 2, så har du en god sag. Erstatter du derimod 5465468 med 4849812, blive det meget svært at forklare i retten, hvorfor du gjorde det. Det ligner et forsøg på at bryde en nøgle.
Det er lige så nemt og ulovligt at gætte passwords i en formular.
Hmm, jeg vil stadig mene det er det samme som at prøve at banke på en anden dør, selvom det ser ud til netop den dør er nøje udvalgt, hvilket den vel ogs å er når man manuelt indtaster en url og sender forespørgslen...
qw_freak (91) skrev:Hmm, jeg vil stadig mene det er det samme som at prøve at banke på en anden dør, selvom det ser ud til netop den dør er nøje udvalgt, hvilket den vel ogs å er når man manuelt indtaster en url og sender forespørgslen...
Nej, det er det samme som at tage i håndtaget, for der er ikke nogen yderligere validering før døren åbner.
Zhadow (92) skrev:Nej, det er det samme som at tage i håndtaget, for der er ikke nogen yderligere validering før døren åbner.
Nope det er jeg ikke enig i, men er der nogle retslige afgørelser der kan afgøre det for os, ellers bliver det bare mundhuggeri udfra hver vores anskuelser af hvad indsendelse af en URL betyder i overført forstand...
qw_freak (93) skrev:Nope det er jeg ikke enig i
Hvis du følger en hjemmesides egne links, så er det at banke på.
Men hvordan kan du se det at afprøve URL'er som at handle i god tro? Jeg kan gå med til at du ændrer i søgestrenge, men begynder du at rette i GUID'er og andet, så kan jeg ikke se det som andet end indbrudsforsøg.
Magten (97) skrev:Find en afgørelse eller vent på en.
Jeg tillader mig selv at bestemme hvornår, jeg vil stoppe med at argumentere, tak. Og at der ikke er en afgørelse er ikke ens betydende med at det ikke er ulovligt.
Alrekr (76) skrev:Der findes en lov som siger, at du ikke må lave nedværdigende reklame om en andet selskab. Det er derfor alle butikker siger 'Danmarks bedste' og ikke 'Bedre end [den der anden butik]'. En lov, som Burger King var på kant med (efter min overbevisning) da de lavede reklamen med mågen.
Den paragraf kan du da ikke bare bruge her? Det er jo markedsføringsloven.
Du spurgte, jeg svarede.Zhadow (98) skrev:Jeg tillader mig selv at bestemme hvornår, jeg vil stoppe med at argumentere, tak.
Og nu vil jeg så stoppe her inden det også bliver til en ligegyldig diskussion.
Jeg har ikke påstået andet.Zhadow (98) skrev:Og at der ikke er en afgørelse er ikke ens betydende med at det ikke er ulovligt.
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.