Witam,
aktualnie mam styczność z pewnym skryptem, który jest masowo sprzedawany m.in. na Allegro. Przypadkowo w kodzie trafiłem na oznakę, że możliwe byłoby przejęcie praw administracyjnych nad serwisem przez dowolnego użytkownika. Sprawdziłem na testowym serwisie przy którym pracuję - faktycznie

Moje pytanie: kogo mam o tym fakcie powiadomić? Z jednej strony mógłbym firmę X, która napisała system. Z drugiej strony - mogę powiadamiać bezpośrednio serwisy, które stoją na tym skrypcie. Jak wygląda to od strony prawnej? Czy mogę żądać wynagrodzenia za udostępnienie informacji o błędzie (autorowi skryptu) lub naprawę dziury (serwisom)?

Pozdrawiam,
pion

PS: Kojarzy mi się, że był już podobny wątek, ale wyszukiwarka odmawia posłuszeństwa.

Jeśli to poważne firmy, oferuj usługę audytu bezpieczeństwa, oczywiście nic nie mówiąc o już znanych lukach

Sądząc po kodzie to raczej nie są to zawodowcy Poza tym sądzę, że ot tak na audyt nie będą wydawać kasy będąc przekonanymi, że skrypt jest bezpieczny.

Cześć.

To jest trochę gra na loterii. Zależy na kogo trafisz.

Raz znalazłem kilka błędów u pewnego usługodawcy hostingowego (hosting, VPS, dedyki). Napisałem do nich, że ich systemy są dziurawe i że w związku z tym, że jestem audytorem, mogę wykonać pełen audyt bezpieczeństwa dla ich serwisu poza znalezionymi błędami (te załączyłem za darmo w raporcie). Zaczęli mnie straszyć sądem i policją pod zarzutem próby wyłudzenia pieniędzy i szantażu (EDIT: oraz nieautoryzowanego dostępu do poufnych informacji).

Czasami też bywało tak, że podsyłając za free błędy właścicielom niektórych serwisów oni potem sami proponowali mi współpracę przy zabezpieczaniu i rozwijaniu ich serwisów.

Także tak jak wspomniałem - trochę loteria, zależy na kogo trafisz .

Pozdrawiam.

Jeśli nie jest to skrypt marki gimnazjumPRO, to wypadałoby pierw powiadomić producenta z zapytaniem o ewentualną współpracę.
W innym wypadku omiń go i wyślij informację do innych użytkowników tego skryptu.

Prawnie to chyba nie ma nic do rzeczy, bo przecież nie udostępniasz ich danych, jak i informacji o luce publicznie.

I jak sie sprawa skończyła?

W jakieś audyty tego skryptu nie mam czasu/ochoty się bawić, nie liczyłbym też na propozycję współpracy. Spróbuję dowiedzieć się czegoś na forum prawniczym.

Pytanie, czy jak ktoś sprzedaje lub kupuje skrypt za parę złotych na Allegro, to będzie się chciał bawić w audyt i jeszcze za niego płacić?

Skrypt nie kosztuje kilku zł, a nieco więcej, nie chcę oferować audytów a jedynie "łatkę" zabezpieczającą. Myślę, że dostając informację o tym, że każdy może dostać się do panelu admina niewiele osób zignoruje tą wiadomość. W przeciągu kilku minut (kwestia szybkości kliknięć) jestem w stanie pousuwać wszystkie dane z każdego serwisu opartego na tym skrypcie.

Czy to nie ten słynny skrypt co opisywał nospor?

Ogółem polecam przeczytać artykuł na niebezpieczniku:
http://niebezpiecznik.pl/post/zatrzymala-g...-wojewodzkiego/
I myślę że ten cytat ze wskazanego linku tłumaczy wszystko:

Ja bym sobie odpuścił, bo możesz mieć z tego tylko więcej problemów niż korzyści.

Między mną, a przypadkiem opisanym pod podanym linkiem jest ta zasadnicza różnica, że ja nigdzie się nie włamywałem. Zgłosił się do mnie klient z prośbą o sprawdzenie kilku rzeczy w zakupionym sofcie. W trakcie przeglądania kodu natrafiłem na omawianą lukę. Temu klientowi od razu zabezpieczyłem to miejsce.

Planuję skontaktować się z właścicielami serwisów postawionych na tym skrypcie pisząc: korzystacie ze skryptu X, prawdopodobnie macie krytyczny błąd bezpieczeństwa, jeśli chcecie dokonam próbnego ataku i jeśli dziura faktycznie będzie to będę mógł ją wyeliminować za kwotę X. Tak więc żadnego ataku bez wiedzy właściciela by nie było.

Jedyne co chciałbym wiedzieć to czy w pierwszej kolejności nie jestem zobowiązany powiadomić o luce autora skryptu, czy w ogóle jestem zobowiązany do powiadomienia go.

Jeśli by mi ktoś taką wiadomość napisał to bym uznał, że mnie szantażuje i nie pisał do Ciebie, a do autora skryptu, bądź osoby od której go kupiłem, żeby naprawił ową lukę za darmo, bo w końcu zapłaciłem autorowi nie po to, żeby jeszcze płacić jakiemuś szantażyście. A w przypadku, gdyby ktokolwiek ową lukę wykorzystał to pierwsze podejrzenie padłoby na Ciebie.

Dlaczego szantażyście? Nikogo przecież nie zmuszę do skorzystania z mojej pomocy. Ktoś będzie chciał to napisze do autora skryptu, który może stworzy łatkę i roześle aktualizację. O ile oczywiście znajdzie to trefne miejsce w swoim kodzie. Z tego co wiem to w przypadku tej firmy (jak i pewnie większości tego typu) kontakt urywa się po zakupie softu. Doprosić się o jakiekolwiek zmiany to cud.

Co wg Ciebie powinienem zrobić? Za free łatać ludziom dziurawy skrypt czy może naprowadzić autora na miejsce luki? Jeśli stworzył dziurawy soft to niech teraz odbiera skargi od klientów. Gdybym skontaktował się bezpośrednio z nim to pewnie tak by sprawę załatwił, że o dziurze nikt by się nie dowiedział (np. "łatka poprawiająca wydajność").

Co do wykorzystania luki: najpierw chyba musieliby mi udowodnić, że to faktycznie ja. Nie mam zamiaru bawić się we włamania do serwisów, nie kręci mnie to.

@phpion - to już jest taka narodowa mentalność, jeśli chodzi o jakiekolwiek standardy, w PL jesteśmy na szarym końcu. Większości trudno jest nawet zrozumieć co to jest audyt i dlaczego jest potrzebny, a jak zgłaszasz wybite okno, to pewnie jesteś złodziejem.

No wiesz, chodzi mi o to, że od razu proponujesz, że naprawisz ww. lukę po uiszczeniu X zł. A tu trzeba bardziej delikatnie, dyplomatycznie. Np.

Pragnę Państwa poinformować, ze wasz serwis - www.xyz.pl postawiony na sofcie firmy X posiada lukę w bezpieczeństwie, na którą natrafiłem przy pracy z wymienionym. W razie zainteresowania problemem, mogę przesłać szczegóły, jak i naprawić ww. lukę. Lub proszę skontaktować się z firmą X.

I dopiero jak ktoś się odezwie to mówić o pieniądzach, bo tak to brzmi jak wyłudzenie. Zwłaszcza jak krzykniesz jakąś sumę z kosmosu. A skoro sam pisałeś, że soft do najdroższych nie należy to wątpię by ktoś chciał jeszcze dokładać, raczej się wkurzy, że taki badziew kupił i z problemami wystartuje do sprzedawcy.

Swoją drogą, być może jest to jakiś sposób na zarabianie "na lewo". Pozostawiasz dziurę w swoim sofcie (albo raczej backdoora) i udając dobrego samarytanina oferujesz naprawę za opłatą. Tylko jest to dla kogoś komu nie zależy na dobrej opinii o jego sofcie. Bo ja osobiście czegoś takiego bym nie zrobił.

Zgadza się. Kiedyś mama znalazła portfel, w środku były dokumenty (pieniędzy nie było) więc poszła oddać go właścicielowi. Została potraktowana tak, jakby to ona ten portfel ukradła i oczyściła z gotówki.


Wydaje mi się, że "sposób" opisany przeze mnie jest generalnie taki sam, tylko że od razu stawiam sprawę jasno odnośnie wynagrodzenia. Przecież każdy rozgarnięty domyśli się, że może uderzać do osoby, od której kupił skrypt. Cena nie byłaby z kosmosu - 1 godzina pracy liczona po stawce godzinowej.


Do najtańszych też nie należy, nie jest to kilkadziesiąt złotych. A że badziew kupił - ja to wiem A że wystartuje do sprzedawcy? Moim zdaniem słusznie.


No tylko, że możesz mieć smród jeśli ktoś będzie Cię "ścigał" za tego backdoora (jako wykonawcę).

No to jak uważasz, tyle że zapewne klient owej firmy sprzedającej soft najpierw do nich uderzy, jak oni nie będą wiedzieć o co chodzi i jak to naprawić to wtedy być może zgłosi się do Ciebie. Tak jak mówiłem, kiedy coś kupujesz to chcesz by było wysokiej jakości i pozbawione wad. A jak coś nie tak, to lecisz najpierw do sprzedawcy, że Ci bubel wcisnął i jeszcze oszukał.

Jak dopiero zaczynałem przygodę z www, z 10 lat temu lub więcej, to mi kiedyś jakiś cwaniaczek bez żadnego ostrzeżenia całe forum (dosyć już wtedy dobrze prosperujące) wykasował, a stało na wydawać by się mogło dobrze zrobionym phpBB. A że nie robiłem backupów to wszystko szlag trafił i nie chciało mi się już od nowa zaczynać. A wtedy moja stronka o Heroes 3 była dosyć popularna, a forum było jej integralną częścią.

Autorowi skryptu również zaproponuję informację o błędzie i/lub naniesienie poprawek, ale już za nieco inną kwotę (na razie namierzyłem 20 serwisów opartych na tym skrypcie).

A możesz zdradzić tak ogólnie do czego ten skrypt służy? No i ciekaw jestem jakiego rzędu są kwoty, którą za niego trzeba zapłacić? Pomiędzy 100-200 zł czy nieco więcej?

Jak skończysz, podaj info jaki to skrypt i jaka to luka (w zależności jak załatwisz sprawę)

Z różnych powodów wolałbym nie zdradzać co to za soft. Jego cena to więcej niż podane przez Ciebie kwoty, można powiedzieć, że kilka razy więcej.

// Edit:
Nie podam do publicznej wiadomości co to za skrypt i na czym polega luka.

Nie zdziwiłbym się jakby chodziło o jakiś serwis ogłoszeniowy

Pewnie chodzi o to http://allegro.pl/portal-internetowy-najwy...3319239362.html
dziurawe jak sito na makaron, mojej babci

Faktycznie, po jednej minucie spędzonej u nich na demo widać, że osoby to piszące w php siedzące może max od miesiąca :/

To kto chętny zgłaszać ten portal? Na chwilę obecną mamy tam XSS i SQLInjection a więcej przez przypadek znalezionych rzeczy nie chce mi się szukać

Zwłaszcza grafika tych stron wydaje się taka toporna, brzydka i robiona w paincie (może tylko ja mam takie wrażenie?). Ale jak dla mnie to już zeszła epoka. Zarówno na ich stronie, jak na stronach wcześniej wykonywanych przez nich. Całość oparta na forum phpBB, za dużo się nie napracował, a kasy woła jak za w pełni przez siebie wykonane dzieło.

edit:
no właśnie, a jak prawnie wyglądałaby sprawa gdyby ktoś na swojej stronie napisał, że taki a taki portal/skrypt jest dziurawy jak ser szwajcarski, że jest podatny na taki czy owaki atak? Oczywiście nie ma tu mowy o żadnym włamie, a o prostym stwierdzeniu, że taki portal na dane ataki jest podatny

@nospor:
Najlepiej zapytać na forum prawniczym. Niestety z tego co zauważyłem (zadałem tam kilka pytań) to nie bardzo kwapią się do odpowiedzi :/ Pozostałaby wizyta u prawnika, ale to znowu koszty.

Mogę się brata spytać jak wrócę z pracy, prawnikiem jest.

EDIT:
Tutaj napisz te pytania lub na PW to przekażę.

@bartek
moje pytanie:
no właśnie, a jak prawnie wyglądałaby sprawa gdyby ktoś na swojej stronie napisał, że taki a taki portal/skrypt jest dziurawy jak ser szwajcarski, że jest podatny na taki czy owaki atak? Oczywiście nie ma tu mowy o żadnym włamie, a o prostym stwierdzeniu, że taki portal na dane ataki jest podatny

Drugie pytanie:
A co w przypadku gdy kupiliśmy na takiej aukcji ich skrypt, czyli defacto mamy jego kod źródłowy legalnie i na podstawie tego kody wykryliśmy x błędów bezpieczeństwa i je opublikowaliśmy.

Cześć,

Odkryte błędy możesz normalnie publikować. Koledzy po fachu robią to na co dzień, ALE jak byś przy okazji do opisu błędu załączył sporą część kodu, który normalnie nie jest publiczny (trzeba go kupić / jest to wewnętrzny system / itp.) to mogliby oskarżyć Cię o piractwo czy coś w tym stylu. Same exploity możesz normalnie publikować.

@pyro jeśli dobrze Cię zrozumiałem to mogę legalnie i bezkarnie napisać:
Skrypt X firmy Y jest podatny na atak SQLInjection. Na potwierdzenie moich słów proszę wejść na stronę Z i tu i tu wpisać taki ciąg znaków.

Dobrze zrozumiałem?
I nawet jeśli każdy w tym momencie będzie mógł pobrać praktycznie dowolne dane z bazy, na której stoi skrypt, to nadal ja za to nie beknę? Jakoś nie chce mi się w to wierzyć, musiałem Cię źle zrozumieć

Tego na czerwono nie możesz napisać. Namawiasz ludzi do ataku na cudzą stronę

Zajrzyj na exploit-db.com i zobacz jak ludzie piszą. Przykładowo:

Czyli mogę jedynie napisać:
Skrypt X firmy Y jest podatny na atak SQLInjection.

i tylko tyle? Zaraz mnie oskarżą o fałszywe składanie zeznań

Jeżeli nie skłamałeś i luka istnieje to w jaki sposób mają Cię oskarżyć o fałszywe składanie zeznań?

No zaraz napiszą, że to nie prawda, że kłamca a ja mam związane ręcę i nie mogę tego udowodnić.

Ale może też być zupełnie na odwrót: a skad wiesz, grzebałeś w naszym systemie? Lecimy do sądu.

@nospor, nie rozumiem o jakim przypadku teraz mówisz. Masz ten kod skryptu czy nie? Znalazłeś go na stronie czy gdzie? O jakim dokładnie przypadku mówisz?

Co najwyżej o pomówienie lub działanie na szkodę. Bo żadnych zeznań składać na policji nie będziesz, to sprawa cywilna. Chyba, że przed sądem zeznasz nieprawdę to wtedy licz się z tym, że możesz pójść na odsiadkę do lat 2-ch.

@nospor - to zawsze wygląda tak samo.

1. odkrycie luki
2. kontakt z producentem
- gdy ten Cie olewa, kontakt z jego klientami
- gdy oni Cie olewają, powtarzasz punkt 2gi
3. ujawnienie błędu na blogasku, wpis do CV link jest opcjonalny, byleby prowadził do Twojego serwisu, a nie kogoś z zewnątrz
4. jak jesteś dobrym człowiekiem pokazujesz sposób jak to załatać

I tyle. O ile do klientów czy producenta nie pisałeś "siema ku***a, albo zapłacisz 20k zł do jutra, albo wyj*** ci baze a emaile do klientów upublicznimy" to wszytko jest w porządku (nie licząc postawy producenta).

edycja:

Już nie wspominając o fakcie ze ostrzegasz kolejnych potencjalnych klientów tego skryptu, żeby go nie kupowali. Działanie na szkodę producenta raczej nie przejdzie, bo luka nie jest wyssana z palca i można to udowodnić.

A co byście zrobili z sytuacją gdzie po kontakcie z jakąś agencją robiącą strony, gdzie informuję że większość ich stron jest podatna na różne ataki, ci odpowiadają że uwzględnią to w kolejnych poprawkach swojego cms'a. Jednak starych klientów u których zlokalizowaliście luki, olewają. Kontaktować się z klientami tych stron, czy jeszcze raz rozpocząć rozmowę z agencją, czy mają zamiar zaktualizować strony klientów?


Dodam że agencja nie sprzedaje pudełkowych rozwiązań, a ja nie mam ich kodu. Tak coś z nudów macałem ich portfolio i znalazłem masę dziur.

W zasadzie to wszystko zależy od tego na kogo trafisz, bo ingerencja w kod źródłowy oprogramowania, które nie zostało upublicznione na licencji upoważniającej Cie do jego rozpowszechniania i dokonywania zmian, jest naruszeniem prawa autorskiego. Tego typu działanie ma nawet własna nazwę http://pl.wikipedia.org/wiki/Cracking (http://pl.wikipedia.org/wiki/Cracker). Wiec jedynie dobrą wolą autora jest chęć współpracy z tobą i ale nie zwalnia to Cię z odpowiedzialności karnej... Ponieważ nawet zakup takowego oprogramowania nie daje Ci praw do jego modyfikacji, bo jedynie stajesz się posiadaczem licencji na to oprogramowanie, a właścicielem nadal jest podmiot który jest autorem dzieła.

#edit
Spawnm

Odpowiadając na twoje pytanie odpowiedź nie będzie jednoznaczna, bo z jednej strony widać zgodzili się na współpracę, to dobrze, jednakże w zasadzie to w ich kwestii powinno leżeć, aby wprowadzić tego typy poprawki na serwerach klienckich, jednakże skoro tego nie zrobili to można by się pokusić o to żeby samemu im zgłosić, ale tak jak wspomniałem wszelkie tego typu zmiany dokonywane przez osoby trzecie, są na granicy prawa... Dlatego trzeba by się zastanowić czy gra warta świeczki...

No właśnie dwa serwisy są bardzo syte jeśli chodzi o markę i bardzo chętnie bym je przytulił, tylko pytanie co mi grozi jeśli na maila o dziurach z propozycją audytu/nowej strony postanowią zrobić aferę? Czy jeśli nie doszło do dewastacji to można w ogóle coś mi zrobić? Miewałem przypadki gdzie nawet po wyprowadzeniu danych z serwera(na dowód istnienia dziury) zgłaszałem luki i mi za to dziękowano, jednak nigdy nie robiłem tego w celach zarobkowych. A od dłuższego czasu przyglądam się tym stronką i mam na nie ochotę ;]

@b4rt3kk - jak taki przypadek widzi twój brat?

Zasada jest prosta, jak uzyskałeś dostęp do czegoś czego nie powinieneś to złamałeś prawo, niezależnie od Twojego celu.
Jak powiesz właścicielowi "hej, macie dziurę taką, że mogę wejść" a on chce zrobić "aferę", to jedyne co możesz w sądzie zrobić to próbować udowodnić, że wykryłeś dziurę bez jej wykorzystywania (jak masz kod źródłowy to nie ma problemu). Na przykład "zauważyłem, że nie używacie tego i tego jak oglądałem wynik zapytania do serwera, to może oznaczać, że jeśli spreparowałbym zapytanie to mógłbym... ". Ale jak to w sądzie, nie wiadomo.

Jakiś przykład strony gdzie mogę poćwiczyć

W pierwszym wypadku jeśli opiszesz to zbyt szczegółowo to może być pomocnictwo i możesz wtedy odpowiadać karnie za to. Jeśli napiszesz że jest dziurawy to OK, ale jeśli napiszesz jak to wykorzystać to tak jak mówię możesz zostać pociągnięty do odpowiedzialności. W drugim przypadku to sprowadza się do tego samego. Umożliwiasz komuś dokonanie przestępstwa - włamanie na stronę i odpowiadasz za współudział. Brat przytoczył przykład to tak jakby strażnik bankowy sprzedał plany banku i na tej podstawie ktoś dokonał napadu.




Jeśli odezwiesz się do klienta i powiesz że jego serwis jest dziurawy i że możesz to naprawić za pieniądze to jest to legalne (skoro autor skryptu się nie interesuje). Ale włamanie się i przedstawienie danych z ich własnej strony jest nielegalne i każdy rodzaj włamania, nieautoryzowanego dostępu jest przestępstwem i jest karalne, nawet w celu udowodnienia klientowi dziur systemu.

Art. 267 KK reguluje te kwestie:

No tak, masz rację.
Jeśli mam kod pozyskany w legalny sposób to faktycznie sytuacja wygląda inaczej niż gdy lukę znajdziesz korzystając ze strony.

Jeśli już miałbym przyrównywać to bardziej jako strażnik banku napisałbym na kartce, które drzwi mają zepsuty zamek, a nie że podaję plany banku

Podsumowując: jak ktoś jest ryzykantem to niech ogłasza światu luki, a jak ktoś woli spokojnie spać to lepiej niech siedzi cicho.

Wykrycie luki SQLINjection nie jest żadną ingerencją w kod źródłowy. Taką lukę można spokojnie wykryć nie widząc nigdy w życiu kodu źródłowego

Ta definicja mnie zawsze zastanawia

Jak można złamać coś, czego nie ma....

Tak pół tematem: Kiedyś ktoś w kodzie chyba że tak delikatnie ujmę nie znał się na tworzeniu aplikacji i chyba nie widział różnicy między komentarzami PHP a HTML i w kodzie strony widniało coś w stylu:

<!-- host:111.111.111.111:3306 login: xxx hasło: yyy -->

Po numerze portu chyba nietrudno się domyśleć do czego to dane. Oczywiście z niedowierzaniem w tak olbrzymią cudzą głupotę musiałem to sprawdzić i się zalogować... zadziałało. Czyli poza podaniem danych serwer miał jeszcze zezwolone logowanie z nielokalnych hostów. A był to sklep internetowy

// EDIT

Oczywiście jak powiadomiłem o tym administrację od razu zaczęli im grozić policją, że mają moje IP w logach (przy logowaniu do mysql) itp / itd

@pyro i jak to się skończyło? Jak ktoś grozi policją to trzeba umieć z kimś takim rozmawiać, zabawne staje się ich tłumaczenie gdy usłyszą o kontroli GIODO czy innych urzędach. Jeśli już jesteśmy przy takich sprawach, tu nawet nie chodzi o serwisy internetowe, bo to chyba skrajne przypadki... Większy problem widzę w sieciach osiedlowych i udostępnianiu dysków w windows na zewnątrz... Głupia sprawa jak duża hurtownia udostępnia dane od księgowej, klientach i pokazuje swoje rachunki na dysku...

Pozdrowieniami z mojej strony i życzeniem sukcesów w sądzie ;)