Zamykam jedno oko i...
Czasami dostaję pytanie, co robię, gdy znajdę jakąś podatność. Oczywiście mowa o sytuacji, kiedy zdarzy mi się coś znaleźć poza działaniami związanymi z realizacją zleceń. W moim przypadku odpowiedź jest prosta – nic. Po prostu “po pracy” nie szukam podatności, a jak coś mi się rzuca w oczy, to po prostu zamykam jedno oko i udaję, że drugim tego nie widzę. Dlaczego?
Odpowiedź na to pytanie również jest dość prosta i można ją przedstawić prostym akronimem CY(O)A. Jeśli organizacja nie ma jasno określonego programu bug bounty , wolę nie sprawdzać organoleptycznie w jaki sposób potraktuje informację o podatności. Wolę nie być później w sytuacji, w której będę musiał udowodnić, że nie jestem wielbłądem.
Można dyskutować nad różnymi aspektami tego podejścia, w szczególności można zarzucać mi “obojętność” oraz narażanie innych na ryzyko przez to, że podatność nie zostanie usunięta. Cóż, powtarzam – jeśli będzie jasna informacja w jaki sposób zgłaszać takie informacje i jak one będą potraktowane, zmienię swoje podejście. Zwracam uwagę, że nie poruszam tu kwestii ewentualnego wynagrodzenia za taką informację, akurat w przypadku zgłaszania rzeczy “zauważonych przy okazji” ma ona drugorzędne znaczenie. Nie mam natomiast ochoty być traktowany jako potencjalny szantażysta, złodziej, mason i cyklista, a z takim podejściem wciąż można spotkać się zdecydowanie zbyt często.
Tu warto zauważyć, że winne są obie strony, często osoby zgłaszające informacje o błędzie robią to w sposób co najmniej dziwny, niejednokrotnie uzależniając przekazanie informacji o znalezisku od otrzymania “nagrody” (bo media na pewno zapłacą za taką informację). Oczekiwania co do wartości tej nagrody bywają wygórowane i nie mają uzasadnienia w rzeczywistej “wadze” znaleziska. Takie podejście naprawdę trudno traktować w sposób inny, niż szantaż. Można też usłyszeć historie o przypadkach, gdy szczęśliwy “odkrywca” przekazuje informacje na temat swojego znaleziska w postaci filmiku nagranego na płytce, którą przekazuje osobiście w nocy na środku mostu. Folklor.
Pomijam tu również kwestię legalności “niezamówionego testu bezpieczeństwa” oraz tego, czy właściciel testowanej w taki sposób aplikacji powinien być wdzięczny, ewentualnie czy jego “pretensje” są uzasadnione. Moje podejście jest takie, że jeśli nie mam zgody, to nie testuję. Kropka.
Oryginał tego wpisu dostępny jest pod adresem Zamykam jedno oko i...
Autor: Paweł Goleń