Взаимовыгодный пентест — придумаем историю успеха?

Тут недавно тоже школьник отписывался на тему - шел мол по школе и нашол 100 баксов. И всем про это рассказал и обещал поделится. А потом нашолся хозяин 100 баксов.

И началась драма.

Так вот это я к чему : ты спроси у того школьника - ему много годных советов в треде надавали.

тут ссылка на то как случайно получили админку от stackowerflow но я ее не помню

вашими дальнейшими действиями стало бы...

забухал бы с руководством (в крайнем случае с каким нибудь старшим айтишником), попутно рассказав о их проблеме

кочать! кочать фоточки/видео! ну а дальшейшие действия зависят от самой организации.

Тут недавно тоже школьник отписывался
тоже школьник

Ах, если бы!..

Фоточки — сканы паспортов!

Предположим, что незвано сунувшись в чужую сеть

Неправдоподобно. Сколько тебе лет?

сканы паспортов

а зачем? лениво, мне не надо, а тем кому надо - есть доступ к более полным данным.

вот что-то типа видео корпоратива - вот это уже интереснее.

Однажды мы нашли у Ростелекома петлю в маршрутизации, которая вела в их локалку и там внезапно наткнулись на циску без пароля. Как-то сообщить о находке в Ростелеком оказалось невообразимо трудно. По телефонам объяснить и замотивировать людей не получалось, мэйл из хуиза регистрировавшего пулл (откуда петля шла внутрь) был эталонно мёртв. Даже в соцсетях людей искали. В общем, после трёх часов розысков хоть кого-то, кто бы понял и отфорвардил дальше по цепочке к ответственным людям было решено забить и забыть.

http://habrahabr.ru/post/158417/

Подправил бы настройки. Сразу бы нашёлся нужный человек =)

Просто сообщить — не проблема — после распечатки на разшаренном в сеть их МФУ отфотошопленных фоток с паспортов и/или месячной отчётности, думаю зашевелятся.

Да ну на... Потом из-за такой ерунды сидеть. Тогда было какое-то повальное увлечение в органах — ксакепов ловить. Хотя обычно покупали газетку с объявлениями и приглашали какого-нибудь полуголодного студентика на «контрольную закупку»: винду с офисом и 1С устанавливать. А если ещё поверх и саблей заполировать получалось, то сразу +1 к звёздочкам на погонах.

Это уже НСД. Подставляться самим не хотелось.

Забавно, как судя по последним тредам, школьники начинают постигать суть налогообложения :)

Есть такая мысль, но боязно протрезветь уже в мусарке :)

Так это я о дальнейших действиях SWIM-а. Если алчность боязнь не превозможет, SWIM просто распечатает им послание.

я бы в хомяк положил pwned.txt с текстом «ребзя, у вас тут дырка, залатайте». Копию бы отправил по доступному для связи email саппорта.

вероятность такого исхода равна почти нулю, если ты не редкостный нудила.

оцениваешь масштаб компании, решаешь с кем общаться - одним из руководителей (а еще лучше владельцев), если компания мелкая, или с каким нибудь айтишником из старших.

звонишь ему, говоришь что есть серьезный разговор, который сугубо в его интересах. назначаешь встречу, за рюмкой чая объясняешь суть (ведя себя дружелюбно, разумеется) - в итоге вы корешитесь и все кончается хорошо.

иногда после такого садятся в турму

а я не собираюсь в enterprise-сетках шастать

оказалось невообразимо трудно.
после трёх часов розысков

facepalm

иногда хватает и частной сети

а иногда не нужно вообще никакой сети: от тюрьмы да сумы сам знаешь… :)

не разводи балабольства, а?
если серьезно, то положенный в хомяк pwned.txt может вполне себе стать составом преступления

А беседа, с рассказом о дыре, разве нет?

Знаешь, каково это прорываться через тупую девочку на ресепшене, у которой в голове три заученных фразы из корпоративной должностной инструкции? Мелкие замы всевозможных мастей в этом смысле ничуть не лучше. Но, на телефонные разговоры было потрачено только минут сорок. Потом ещё часа два было потрачено на почту по разным найденным адресам, с тщетным ожиданием ответов. Потом тупо начали искать по фамилиям и мэйлам в соцсетях и бомбить там.

если серьезно, то положенный в хомяк pwned.txt может вполне себе стать составом преступления

состав преступления наступает с момента засвета IP в логах, если уж на то пошло. Остальное — лишь смягчающие|отягчающие обстоятельства

А беседа, с рассказом о дыре, разве нет?

ну вот следователю и расскажет

Знаешь, каково это прорываться через тупую девочку на ресепшене

ага, поэтому и стучишься сразу на следующую линию. но вообще я тебя понимаю вполне. надо было на какой нибудь популярный ресурс типа хабра запостить, наверное.

именно

Всегда сразу сообщал. Было уже пару раз. «Но всем пофиг» © и дыры остаются незакрытыми.

http://www.youjizz.com/.svn/entries
я как поклонник этого ресурса, отписал им о дырке (или это ханипот?) еще в прошлом году, но видимо пофиг

так какая тогда разница, положу я текстуху в ~ или нет? :) IP уже засвечен, за мной выехали, лапки вверх!

отягчающие обстоятельства

Не, ну сама беседа-то — не преступление, но в ней свим не скажет же, что дырка приснилась ему... Как бы признаться придётся...

pwned.txt или вариант с сообщением на ихнем принтере безопасней намного.

Сообщил бы что обнаружил уязвимость и попросил бы денег за устранение.

Собственно об этом тема, чтоб взаимовыгодно было, но вот как?

Поговорить с кем-то из айтишников, предложить провести им небольшую демонстрацию возможностей, строго придерживаясь оговоренных рамок. После этого поговорить о цене.

денег просить нет смысла.
много не заработаешь, но есть риск пойти под следствие за шантаж и вымогательство

вот так Взаимовыгодный пентест — придумаем историю успеха? (комментарий)
если начнешь денег просить настойчиво - тебя пошлют подальше, это как минимум

Ещё пришла мысль конкурентам инфу слить. Сфера с довольно жёсткой конкуренцией. Возможности полить говном конкурента за наплевательское отнощение к перс. данным кто-то да будет рад наверняка. И безопаснее. Но зло. Но нищета же.

Какое вымогательство? Договор подряда и пара сотен за 15 минут работы. Валюта этих пары сотен зависит от того насколько критична уязвимость.

Какое вымогательство?

хакнул чужой сервер, а теперь требуешь денег за устранение уязвимости.

Ещё пришла мысль конкурентам инфу слить.

готовь одно место для паяльника.

Но нищета же.

с такими идеями - неудивительно, что ты нищий.

с такими идеями - неудивительно, что ты нищий.

Всегда казалось, что всё наоборот.

я уже давно заметил, что у нищих людей очень часто появляются странные идеи, как получить денег.
вместо простой работы, хотя бы.

Поскольку из-за тупых руководителей есть большие шансы получить проблемы при раскрытии уязвимости из добрых побуждений, то можно просто сдампить данные, проверить наличие себя (заодно и друзей при желании), если ничего нет — выкладывать в i2p/Tor/Пиратскую Бухту.

Взаимовыгодный пентест

Не взлетит, слишком много μудаков