fredag 11 februari 2011

Håll tyst eller bli polisanmäld

Jag har sagt det förut och kommer fortsätta säga det: hittar du någon säkerhetsbrist på en sajt så gör du klokt i att hålla tyst om det.

Nu senast handlar det om eHarmony.com, en dejtingsajt som fick höra från en man som kallar sig "Russo", att de haft en sårbarhet på sin sajt. Och i nästa menings gavs ett "konsulterbjudande" om att få det åtgärdat. Reaktion från eHarmony:
“Russo’s fraudulent efforts to obtain money from us are most disturbing,” Essas said. “As such, we are exploring our legal rights and remedies as well."
Två sidor med helt olika verkligheter möts.

För att förstå lite bättre hur eHarmony känner sig kan du tänka dig in i situationen att en man i motorcykelkläder kommer till din butik, förklarar för dig hur lätt olyckor kan hända, men också erbjuder försäkring mot dessa olyckor. "Helt utan självrisk ser vi till att alla dina prylar kommer tillbaka och den skyldige betalar dina skador, om någon olycka skulle hända. Allt du behöver göra är att betala en premie på 5% av din omsättning."


Yeah, that's right. Du riskerar att bli polisanmäld för utpressning. Eller om vi återgår till vår verklighet med IT-säkerhet, så kan du bli polisanmäld för dataintrång. Sådant har hänt i Sverige, med både fällande och friande utfall. Normalt länkar jag till mer info, men av respekt för de drabbade vill jag inte uppmärksamma några enskilda fall.

Vad som är viktigt att komma ihåg är:

  1. Gör inga säkerhetstester utan tillåtelse. Ägaren kan omöjligt veta om dina intentioner är goda eller onda. Du riskerar polisanmälan.
  2. Snubblar du över något har du tre val:
    1. Håll tyst om det
    2. Rapportera det genom tredje part
    3. Rapportera det direkt
För egen del så brukar jag som privatperson hamna på att hålla tyst om det, men det har förekommit ett par gånger att jag rapporterat det direkt då jag varit säker på att ingenting har kunnat misstolkas (ren rapportering efter normalt användande, inte ett ord om åtgärder).

I min yrkesroll är det regelmässigt att jag rapporterar till uppdragsgivaren, men inte någon annan såvida inte uppdragsgivaren betalar för det. Det finns inget intresse för min arbetsgivare att min betalda tid istället ska bli obetald och användas till att stångas med någon leverantör som inte vill åtgärda. Tråkigt, men så fungerar det. Hur min uppdragsgivare sedan använder resultaten från de testerna? Säg det... jag bedömer NYTimes uppgifter om att Stuxnet kom till delvis genom resultat från en helt annan övning, som fullt möjliga.
Upplagd av kl.

Inga kommentarer:

Skicka en kommentar

Prenumerera på: Kommentarer till inlägget (Atom)