Du må være registrert og logget inn for å kunne legge ut innlegg på freak.no
X
LOGG INN
... eller du kan registrere deg nå
Dette nettstedet er avhengig av annonseinntekter for å holde driften og videre utvikling igang. Vi liker ikke reklame heller, men alternativene er ikke mange. Vær snill å vurder å slå av annonseblokkering, eller å abonnere på en reklamefri utgave av nettstedet.
AbonnerSkjul
Host1.no - Webhotell fra 29,-, virtuell server fra 249,-. 15% rabatt med rabattkode "nFF". Besøk oss på Host1.no!
  13 11299
ggda
ggda's Avatar
Donor
13 4
24. januar 2021
Hei, driver en god del med hacking og exploiting av apper etc men lurer litt på hva lovene rundt white hacker responsible disclosure er i Norge? Har vært ganske heldig so far og ikke kommet i noe trøbbel selv med data osv jeg har anskaffet meg til tider. Hva kan jeg gjøre for å fortsette hobbyen min samt holde meg sikker juridisk? (Har allerede et firma der jeg driver med dette)
random105675
Gjest
n/a 0
24. januar 2021
Spørsmålet ditt er såpass generelt at det er umulig å svare.
Gjelder det:
Åpne eller lukkede apier?
Er det sensitiv data som blir eksponert?
Passiv eller aktiv rekognosering?
Norsk eller utenlandsk mål?
Er det en kjent sårbarhet eller nulldag?
Har du kun dokumentert sikkerhetshullet eller har du også utnyttet hullet?
Vil avsløringen føre til økonomiske tap for den det gjelder?

Dette er et felt hvor lovverket ikke henger helt med i tiden og som er fullt av fallgruver og jeg anbefaler å lese om dommen i vegvesen saken hvor det har blitt etablert rettspraksis rundt bruk og utforsking av APIer som er eksponert mot offentligheten.

Bergen kommune saken er også interessant.

Type data som blir eksponert grunnet et sikkerhetshull vil også ha betydning for hvordan du skal varsle, om du finner et hull som eksponerer helsedata til privatpersoner så vil dataen legge føringer for hvordan du bør gå frem rundt offentliggjøring av hullet.
Dersom du får tilgang til persondata og lagrer dette så må du ha rutiner for å sikre at dette ikke kommer på avveie eller så er det plutselig du som er sikkerhetshullet.

Det vil være enklere å svare dersom du kommer med et konkret eksempel.
Sist endret av random105675; 24. januar 2021 kl. 09:13.
ggda
ggda's Avatar
Trådstarter Donor
13 4
24. januar 2021
Om jeg skal svare på disse

Åpne eller lukkede apier? Begge men de brukes til å finne feil i suppose
Er det sensitiv data som blir eksponert? Det har hendt, da har jeg rapportert (noen tilfeller gått til avisen)
Passiv eller aktiv rekognosering? Aktiv og passiv (lagde egen scanner for det)
Norsk eller utenlandsk mål? Norsk og uteland
Er det en kjent sårbarhet eller nulldag? Diverse sårbarhetet jeg finner som er spesefik til den nettsiden så definerer det som en slags "nulldag"
Har du kun dokumentert sikkerhetshullet eller har du også utnyttet hullet? Dokumenterer og rapporterer (Krever ikke penger)
Vil avsløringen føre til økonomiske tap for den det gjelder? Kan føre til økonomiske tap om feks datatilsynet blir involvert eller siden deres går ned grunnet feilen
random105675
Gjest
n/a 0
24. januar 2021
Sitat av ggda Vis innlegg
Om jeg skal svare på disse

Åpne eller lukkede apier? Begge men de brukes til å finne feil i suppose
Er det sensitiv data som blir eksponert? Det har hendt, da har jeg rapportert (noen tilfeller gått til avisen)
Passiv eller aktiv rekognosering? Aktiv og passiv (lagde egen scanner for det)
Norsk eller utenlandsk mål? Norsk og uteland
Er det en kjent sårbarhet eller nulldag? Diverse sårbarhetet jeg finner som er spesefik til den nettsiden så definerer det som en slags "nulldag"
Har du kun dokumentert sikkerhetshullet eller har du også utnyttet hullet? Dokumenterer og rapporterer (Krever ikke penger)
Vil avsløringen føre til økonomiske tap for den det gjelder? Kan føre til økonomiske tap om feks datatilsynet blir involvert eller siden deres går ned grunnet feilen
Vis hele sitatet...
Jeg merker jo at du ikke jobber med dette, men uansett:
Du kan ikke definere noe til å bli en nulldag når du laster den ned fra nettet slik du viser til.

Ansvarsfull publisering inkluderer både varsling, venting på at feil utbedres og offentlig publisering.

Det er vanskelig å mene noe når du ikke klarer å komme med et konkret eksempel da alle denne type avsløringer er forskjellige. Men aktive skanninger inkluderer jo i praksis innbruddsforsøk, så du kan fort komme i en situasjon hvor du blir beskyldt for forsøk på å bryte deg inn.

Noe sier meg at du spør om selve letingen etter sikkerhetshull er ulovlig og ikke publiseringen?
ggda
ggda's Avatar
Trådstarter Donor
13 4
24. januar 2021
Sitat av Rosander Vis innlegg
Jeg merker jo at du ikke jobber med dette, men uansett:
Du kan ikke definere noe til å bli en nulldag når du laster den ned fra nettet slik du viser til.

Ansvarsfull publisering inkluderer både varsling, venting på at feil utbedres og offentlig publisering.

Det er vanskelig å mene noe når du ikke klarer å komme med et konkret eksempel da alle denne type avsløringer er forskjellige. Men aktive skanninger inkluderer jo i praksis innbruddsforsøk, så du kan fort komme i en situasjon hvor du blir beskyldt for forsøk på å bryte deg inn.

Noe sier meg at du spør om selve letingen etter sikkerhetshull er ulovlig og ikke publiseringen?
Vis hele sitatet...
Det skal også sis jeg har jobbet med dette som hobby i 4 år nå men har startet firma og er litt mere redd juridisk

"Du kan ikke definere noe til å bli en nulldag når du laster den ned fra nettet slik du viser til." - Det jeg mente var at jeg lager de fra scratch ikke at de ligger ute på nett.

Eksempler er, feks en nettside som samler kundedata, jeg rapporterer det er mulig og laste ned kundedata på en måte og viser til hvordan de kan fikse det

De er i bunn og grunn froskjellige da hver app, nettside etc er lagt av egne utviklere med egne apis og endringer i per exploit. Ingen er så og si helt "like"

Spørsmålet er egentlig om jeg gjør dette for å være snill går det da bra juridisk? Har før funnet feil i banker og de har sendt en takk

Et annet eksemple kan være en auth bypass sånn at jeg får tilgang til andre brukere
Sist endret av ggda; 24. januar 2021 kl. 17:42. Grunn: Automatisk sammenslåing med etterfølgende innlegg.
random105675
Gjest
n/a 0
24. januar 2021
Sitat av ggda Vis innlegg
Det skal også sis jeg har jobbet med dette som hobby i 4 år nå men har startet firma og er litt mere redd juridisk

"Du kan ikke definere noe til å bli en nulldag når du laster den ned fra nettet slik du viser til." - Det jeg mente var at jeg lager de fra scratch ikke at de ligger ute på nett.

Eksempler er, feks en nettside som samler kundedata, jeg rapporterer det er mulig og laste ned kundedata på en måte og viser til hvordan de kan fikse det

De er i bunn og grunn froskjellige da hver app, nettside etc er lagt av egne utviklere med egne apis og endringer i per exploit. Ingen er så og si helt "like"

Spørsmålet er egentlig om jeg gjør dette for å være snill går det da bra juridisk? Har før funnet feil i banker og de har sendt en takk

Et annet eksemple kan være en auth bypass sånn at jeg får tilgang til andre brukere
Vis hele sitatet...
Igjen, eksempelet ditt er ikke konkret nok. Det er ikke hva du får tilgang til som avgjør om det er ulovlig men hvordan du fikk tilgang.
Type data kan også ha noe å si.

Om du ser at urlen har et argument som "&user=1" og du endrer denne til "user=2" og får tilgang til en helt annen bruker og varsler om dette så vil det gå fint.

Om du begynner å kjøre burpsuite skannere mot en bank og forsøker å komme forbi xss sperrer så driver du i praksis med et innbruddsforsøk.
Goophy
pls
Goophy's Avatar
4.629 1.276
24. januar 2021
Sitat av ggda Vis innlegg
Spørsmålet er egentlig om jeg gjør dette for å være snill går det da bra juridisk? Har før funnet feil i banker og de har sendt en takk
Vis hele sitatet...
Det kommer helt an på hvem du treffer på.
Ingen lover som sier at dette går greit så lenge du sier ifra etterpå.
Er du uheldig leser feil person i et stort selskap disclosuren din, ringer politiet og Kripos endevender boligen din uka etter. Plutselig er du stuck med en haug dager i retten og dyre advokatutgifter.

Akkurat det skjer oftere enn man skulle tro, de fleste tilfeller havner ikke i media.

Ville holdt meg langt, langt unna aktiv eller målrettet testing mot selskaper som ikke har bug bounties, du kjenner noen langt oppe eller du har konkret avtale med.
Sist endret av Goophy; 24. januar 2021 kl. 18:10.
ggda
ggda's Avatar
Trådstarter Donor
13 4
24. januar 2021
La oss si det er en POST request, der email: "e@email.com" --> Returnerer user exists, POST der email: "e@email.com\n" --> Tokenen din nå gir tilgang til en bruker. En veldig simpel forklaring men ser for meg dette kan ikke sis det er med uhell

Sitat av Goophy Vis innlegg
Det kommer helt an på hvem du treffer på.
Ingen lover som sier at dette går greit så lenge du sier ifra etterpå.
Er du uheldig leser feil person i et stort selskap disclosuren din, ringer politiet og Kripos endevender boligen din uka etter. Plutselig er du stuck med en haug dager i retten og dyre advokatutgifter.

Akkurat det skjer oftere enn man skulle tro, de fleste tilfeller havner ikke i media.

Ville holdt meg langt, langt unna aktiv eller målrettet testing mot selskaper som ikke har bug bounties, du kjenner noen langt oppe eller har konkret avtale med.
Vis hele sitatet...
Har i det siste begynt at firma kontakter meg og jeg jobber med de. Lager selvsagt kontrakter rundt hva jeg kan gjøre så de ikke kan komme etter meg i etterkant. Ser for meg det er lurere og ikke teste "alle" sider men jeg er litt typen nerd til å åpne tools bare jeg skal kjøpe meg noe da min data er på serveren, om jeg kan få den kan hvertfall andre det
Sist endret av ggda; 24. januar 2021 kl. 18:11. Grunn: Automatisk sammenslåing med etterfølgende innlegg.
Deezire
Tastaturkriger
Deezire's Avatar
5.279 2.045
24. januar 2021
Jeg tenker at det veldig fort kan oppfattes som et forsøk på utpressing siden du også jobber med dette profesjonelt. Si du finner en mindre alvorlig feil i et system og rapporterer dette. Du sier du har gode intensjoner, men det kan fort tolkes som at du er var på jakt etter noe større, men ikke fant dette. De relevante paragrafene i straffeloven er spesielt vide, og selv om det kan bevises at du hadde noble intensjoner så er det ingenting i lovteksten som tilsier at du ikke kan straffes.
Dyret
Dyret's Avatar
Donor
1.914 1.750
24. januar 2021
Hvis du ikke har en eksplisitt avtale om scope og behandling av data, så er det ulovlig (i Norge) å holde på som du gjør. Det holder at du får tilgang til et datasystem du ikke skal ha tilgang til, og så har du brutt loven. Definisjonen av datasystem er ekstremt vid, og i prinsippet satt av godt voksne dommere uten dine datakunnskaper. At ofrene kjører gammel programvare, eller har gjort klassiske blundere i utviklingsløpet sitt, gjør det ikke mer lovlig.

Du trenger bare å treffe på feil type person i riktig bedrift, og så blir det mye leven og inndratt datautstyr. Så enkelt er det. Folk har gått lange rettsrunder for langt mindre.

Jeg skulle derimot ønske at flere norske selskaper innså verdien av bug bounties, og lot folk få leke med systemene deres mot at de fulgte visse regler. Det er mye sårbart der ute, men utenlandske aktører har et slags prinsipielt monopol på å utnytte norske systemer, da det ikke er noen lovlig måte for nordmenn å gjøre det samme. (Det er altså ulovlig å bryte seg inn i systemer for utenlandske aktører også, men dette følges ikke opp før det er veldig store saker). Av det jeg har observert, så vil norske bedrifter først feie slike saker under teppet, så fornekte de offentlig, og så legge seg flate til slutt om de får en storm mot seg. Men politianmelde truer de alltid med.
ggda
ggda's Avatar
Trådstarter Donor
13 4
24. januar 2021
Sitat av Dyret Vis innlegg
Hvis du ikke har en eksplisitt avtale om scope og behandling av data, så er det ulovlig (i Norge) å holde på som du gjør. Det holder at du får tilgang til et datasystem du ikke skal ha tilgang til, og så har du brutt loven. Definisjonen av datasystem er ekstremt vid, og i prinsippet satt av godt voksne dommere uten dine datakunnskaper. At ofrene kjører gammel programvare, eller har gjort klassiske blundere i utviklingsløpet sitt, gjør det ikke mer lovlig.

Du trenger bare å treffe på feil type person i riktig bedrift, og så blir det mye leven og inndratt datautstyr. Så enkelt er det. Folk har gått lange rettsrunder for langt mindre.

Jeg skulle derimot ønske at flere norske selskaper innså verdien av bug bounties, og lot folk få leke med systemene deres mot at de fulgte visse regler. Det er mye sårbart der ute, men utenlandske aktører har et slags prinsipielt monopol på å utnytte norske systemer, da det ikke er noen lovlig måte for nordmenn å gjøre det samme. (Det er altså ulovlig å bryte seg inn i systemer for utenlandske aktører også, men dette følges ikke opp før det er veldig store saker). Av det jeg har observert, så vil norske bedrifter først feie slike saker under teppet, så fornekte de offentlig, og så legge seg flate til slutt om de får en storm mot seg. Men politianmelde truer de alltid med.
Vis hele sitatet...
Jeg tror veien etter jeg har lest dette er og kjøre hobby via bugcrowd da jeg har rep der, men kanskje la bedrifter kontakte meg? Har anskaffet masse tilbakemeldinger fra store bedrifter allerede jeg har "risket" meg på og tror jeg har nok til og heller markedsføre mine tjenester istedenfor
Dyret
Dyret's Avatar
Donor
1.914 1.750
25. januar 2021
Sitat av ggda Vis innlegg
Jeg tror veien etter jeg har lest dette er og kjøre hobby via bugcrowd da jeg har rep der, men kanskje la bedrifter kontakte meg? Har anskaffet masse tilbakemeldinger fra store bedrifter allerede jeg har "risket" meg på og tror jeg har nok til og heller markedsføre mine tjenester istedenfor
Vis hele sitatet...
Ja, det er selvfølgelig lov å ta kontakt med bedrifter og høre om dette er noe de ønsker. Du kan også spørre om lov til å grave litt rundt før du eventuelt tar på deg en jobb. Det er ikke som om det å finne sikkerhetsfeil er ulovlig i seg selv. Problemet er at det er vanskelig å få tak i en person som faktisk har myndighet til å gi deg lov, og at denne beskjeden går ut til alle.

Dvs. du kan få lov av CEO i bedriften, men likevel ende opp med trøbbel. Dette f.eks. fordi en arbeider lengre ned på stigen oppdager forsøk på innbrudd, og setter i gang med sine rutiner, og sjefene er ikke klar over hva disse rutinene går ut på - eller får ikke beskjed før det er for sent. Derfor er det veldig viktig å bruke litt tid på å ha det formelle i orden, fremfor å bruke mye tid og penger på å ro deg inn igjen når det først går galt.

Skal nevnes at det finnes en del OSINT-verktøy der ute som faktisk gjør rudimentær scanning av systemer 24/7, og som du kan søke i metadataene til. Hvis du oppdager utdaterte versjoner av software e.l. blant disse dataene, så har du fortsatt en fot i døra for å markedsføre dine tjenester, uten å ha brutt loven selv. Men du må være forberedt på å forklare litt hvor du kom over metadata, og gjøre ditt beste for å ikke virke utpressende mot de. Et dårlig eksempel er om du sender en epost av typen "Jeg har fulgt med på dere en stund nå, og har oppdaget en del sikkerhetsfeil dere må fikse, ellers kan dataene deres komme på avveie. Mine tjenester starter på X kr/timen, og du kan kontakte meg på ...".
▼ ... over en måned senere ... ▼
Faith5
Cybersikkerhetsnerd
Faith5's Avatar
14 2
26. februar 2021
Så lenge du tar kontakt med firmaene, får en kontrakt med ett scope du holder deg innenfor så er du trygg.
Om du gjør ting på egenhånd, så er det veldig risk å ta...