În ultimul timp lucrez la un nou proiect personal pe tema securităţii mobile. Proiectul este pe la final şi, cel mai probabil, urmează să-l prezint în Noiembrie la o conferinţă internaţională.
Am învăţat câte lucruri importante din prima prezentare şi, chiar dacă am avut şi am în continuare cele mai bune intenţii, nu ai cum să anunţi pe toţi de problema descoperită. Câteva din lucrurile pe care le-am învăţat sau le ştiam deja:
- dacă sunteţi din România, încercaţi pe cât posibil să nu testaţi vulnerabilitatea unor companii ce sunt localizate chiar în România
- niciodată să nu vă jucaţi cu instituţii ale statului, chiar şi în glumă (excepţie: dacă aveţi un acord scris în acest sens, nu e nicio problemă)
- nu afectaţi funcţionarea sistemului informatic, nici măcar printr-o simplă scanare intensă ce poate dura totuşi câteva ore
- nu afectaţi alţi utilizatori – faceţi testele doar asupra propriei persoane (vedeţi mai jos video) şi doar asupra serviciilor la care aveţi acces
- lăsaţi pe cât posibil entuziasmul la o parte şi nu vă grăbiţi să faceţi public totul – uneori este nevoie de a aştepta chiar şi 2 luni sau mai mult până când veţi primi un răspuns
- încercaţi să contactaţi persoane direct răspunzătoare de partea de securitate a companiei; ca exemplu, în fiecare zi căutam vreo 30 min pe LinkedIn şi în publicaţiile din afară astfel de persoane. Din păcate, de cele mai multe ori, dacă veţi încerca un contact pe o adresa generala de genul clients@company.com fie veţi primi un răspuns foarte întârziat, fie vi se va spune că nu e legal ce faceţi
- dacă nu sunteţi siguri asupra legalităţii, documentaţi-vă
- după ce aţi luat primul contact cu o persoana direct implicată, nu vă aruncaţi cu capul înainte, nu vă lăudaţi pe voi înşişi
- nu cereţi niciodată beneficii în schimbul furnizării tuturor informaţiilor – puteţi cere eventual, după ce vedeţi cum decurg lucrurile, o recunoaştere oficială a problemei semnalate
- dacă vreţi să testaţi în mai amănunt problema şi aveţi o oarecare presimţire că depăşeşte sfera legală (sau gri), cereţi acordul persoanei cu care aţi comunicat
- sunt 3 tipuri de cercetare asupra securităţii: for fun (hobbi, pasiune etc), for profit, ambele. Atenţie în care sferă vă încadraţi
- fiţi dispuşi în a face mai multe teste pentru reverificări, în cazul în care vă sunt cerute
- nu blamaţi compania pentru problema de securitate; e foarte posibil ca şi voi să folosiţi acest produs şi să fiţi voi înşivă afectaţi
- fiţi deschişi, arătaţi că nu aveţi de ce vă ascunde
- folosiţi date reale când raportaţi problema
- altfel se discută lucrurile când sunt mai multe sucursale afectate, din diferite ţări, ale aceleiaşi companii-mamă: spre exemplu, veţi avea mai multe şanse de succes dacă managerul IT din compania mamă vă pune în legătură cu cineva din altă ţară (în special România) decât dacă raportaţi direct fiecărei ţări în parte
- limitaţi-vă testele la ţări din zona Euro
Acestea fiind spuse, în raportarea problemei am luat contact cu Threat Intelligence Manager al companiei, care s-a demonstrat a fi un tip extraordinar şi care m-a pus în contact cu diferite persoane din alte ţări ce erau afectate. Totodată mi-a garantat faptul că nu vor exista probleme de ordin legal întrucât totul a fost transparent şi cu cât mai multe detalii oferite.
Evident, nu pot spune numele companiei. Ei bine, la aproximativ 3 săptămâni de la primul contact, astăzi m-am trezit la uşă cu curierul ce mi-a adus asta:
Bineînţeles, supriza a fost pe măsură. Şi ce putea fi mai frumos ca, pe lângă acest cadou, să primesc mail cu
Hi Bogdan,
you have helped us a lot, you deserve recognition for that!
Mi-ar face plăcere să dau de acum încolo peste astfel de companii, care recunosc meritul celor care au ajutat la îmbunătăţirea securităţii reţelei (indiferent dacă asta înseamnă o scrisoare de mulţumire sau un cadou).
Abia aştept să mă joc cu telefonul 😀
No Comments » 
