• STATISTIQUES
  • Il y a eu un total de 0 membres et 43240 visiteurs sur le site dans les dernières 24h pour un total de 43 240 personnes!
    Membres: 2 605
    Discussions: 3 579
    Messages: 32 816
    Tutoriels: 78
    Téléchargements: 38
    Sites dans l'annuaire: 58


  • ANNUAIRE
  • [EN] CS Tutoring Center
    Site de challenge spécialisé dans les challenges de programmation C++ et java cependant, d'autres langages pe...
    Challenges
    [FR] Newbie Contest
    Crackme: 35, Cryptographie: 49, Hacking: 27, Javascript/Java: 17, Logique: 31, Programmation: 23, Stéganographie: 53
    Challenges
    [FR] WeChall
    Audio: 3, Coding: 11, Cracking: 9, Crypto: 18, Encoding: 11, Exploit: 44, Forensics: 1, Fun: 6, HTTP: 6, Image: 8, Java:...
    Challenges
    [EN] Rankk
    Site de challenge construit sur le principe d'une pyramide à 9 level. Level 1: 60,Level 2: 72,Level 3: 68,Lev...
    Challenges
    [EN] Listbrain Version 3
    Site proposant 66 challenges présentés dans une liste mélangée.
    Challenges
    [FR] Forum-Webmaster
    Une communauté webmaster pour apporter / recevoir de l'aide en création de site internet. Webmaster...
    Webmaster
    [FR] Comment ca marche
     Gratuit et accessible à tous, ce site de communauté permet de se dépanner, se faire aider ...
    Webmaster

  • DONATION
  • Si vous avez trouvé ce site internet utile, nous vous invitons à nous faire un don du montant de votre choix via Paypal. Ce don servira à financer notre hébergement.

    MERCI!




Note de ce sujet :
  • Moyenne : 0 (0 vote(s))
  • 1
  • 2
  • 3
  • 4
  • 5
Etique ou pas?
23-08-2013, 17h56
Message : #1
0pc0deFR
Non-enregistré



 
Etique ou pas?
Je lance un débat sur l'étique en tant que White Hat d'utiliser des sites de ventes de 0-day type https://exploithub.com/ et d'autres. C'est ce que font aussi certaines entreprises comme http://www.vupen.com et d'autres.
positive (0) negative (0) Répondre
23-08-2013, 18h03
Message : #2
Yuri Hors ligne
Czech Membre
*



Messages : 53
Sujets : 7
Points: 4
Inscription : Aug 2013
RE: Etique ou pas?
Je n'est pas compris tu lance un débat, sur le fait qu'un white hat acheterais des 0-day's ?? sois disant privé ^^ ?
Citation :" Pour apprendre à boxer il suffit d'une nuit. Il faut une vie entière pour apprendre à combattre. "
+1 (0) -1 (0) Répondre
23-08-2013, 18h04
Message : #3
0pc0deFR
Non-enregistré



 
RE: Etique ou pas?
Plutôt la vente de 0-day car l'achat, pour un White Hat, j'en vois pas trop l'intérêt.
positive (0) negative (0) Répondre
23-08-2013, 18h07
Message : #4
Yuri Hors ligne
Czech Membre
*



Messages : 53
Sujets : 7
Points: 4
Inscription : Aug 2013
RE: Etique ou pas?
Si sa conscience n'est qu'une sauvegarde qu'il puisse supprimer après chaque vente alors son éthique est l'opposer de celle du WHitehat !
Citation :" Pour apprendre à boxer il suffit d'une nuit. Il faut une vie entière pour apprendre à combattre. "
+1 (0) -1 (0) Répondre
23-08-2013, 18h54
Message : #5
e2del Hors ligne
Membre actif
*



Messages : 67
Sujets : 1
Points: 17
Inscription : May 2013
RE: Etique ou pas?
(23-08-2013, 17h56)0pc0deFR a écrit : Je lance un débat sur l'étique en tant que White Hat d'utiliser des sites de ventes de 0-day type https://exploithub.com/ et d'autres. C'est ce que font aussi certaines entreprises comme http://www.vupen.com et d'autres.

Si la vente est précédée par la divulgation de la dite faille à l'éditeur visée, ça permet de vivre (l'argent tombe pas du ciel) et ça peut permettre de mettre la pression à l'éditeur pour qu'il corrige le problème.
Après je ne pense pas que ça se déroule dans ce sens.
Sinon il faut voir aussi à qui sont vendus ces 0days.
+1 (1) -1 (0) Répondre
23-08-2013, 22h24 (Modification du message : 23-08-2013, 22h24 par Mazaki.)
Message : #6
Mazaki Hors ligne
root@Mazaki~#
*



Messages : 88
Sujets : 7
Points: 13
Inscription : May 2013
RE: Etique ou pas?
Une 0day n'est plus, si celle ci est mise en ligne, je tiens à le rappeler.

Citation :Dans le domaine de la sécurité informatique, une vulnérabilité zero-day est un exploit qui utilise une faille jusqu'ici méconnue du public
" Signature en construction, revenez dans quelques années. "

+1 (0) -1 (0) Répondre
23-08-2013, 23h41
Message : #7
e2del Hors ligne
Membre actif
*



Messages : 67
Sujets : 1
Points: 17
Inscription : May 2013
RE: Etique ou pas?
(23-08-2013, 22h24)Mazaki a écrit : Une 0day n'est plus, si celle ci est mise en ligne, je tiens à le rappeler.

Citation :Dans le domaine de la sécurité informatique, une vulnérabilité zero-day est un exploit qui utilise une faille jusqu'ici méconnue du public

Si elle est envoyé à l'éditeur, il s'en soucie pas et ne fait rien.
Quelques temps après la faille est exploitée ?
0day ou non ?
+1 (0) -1 (0) Répondre
23-08-2013, 23h48
Message : #8
Mazaki Hors ligne
root@Mazaki~#
*



Messages : 88
Sujets : 7
Points: 13
Inscription : May 2013
RE: Etique ou pas?
(23-08-2013, 23h41)e2del a écrit :
(23-08-2013, 22h24)Mazaki a écrit : Une 0day n'est plus, si celle ci est mise en ligne, je tiens à le rappeler.

Citation :Dans le domaine de la sécurité informatique, une vulnérabilité zero-day est un exploit qui utilise une faille jusqu'ici méconnue du public

Si elle est envoyé à l'éditeur, il s'en soucie pas et ne fait rien.
Quelques temps après la faille est exploitée ?
0day ou non ?

Si "quelques temps après la faille est exploitée" ; ce n'est donc plus une 0day étant donné qu'elle est désormais connue au public.

Une 0day est pour moi, une faille que uniquement 1 seul personne (ou 2 voir 3 grand maximum) connaisse(nt).
" Signature en construction, revenez dans quelques années. "

+1 (0) -1 (0) Répondre
24-08-2013, 01h44
Message : #9
c4ffein Hors ligne
Membre
*



Messages : 49
Sujets : 2
Points: 5
Inscription : Jul 2013
RE: Etique ou pas?
(23-08-2013, 23h48)Mazaki a écrit : Une 0day est pour moi, une faille que uniquement 1 seul personne (ou 2 voir 3 grand maximum) connaisse(nt).

0day = 0 jours apres la release, ca se dit pas que pour les failles.
+1 (0) -1 (0) Répondre
24-08-2013, 08h29
Message : #10
0pc0deFR
Non-enregistré



 
RE: Etique ou pas?
oui une 0day c'est un exploit qui n'est pas connu au publique pour moi, c'est pour cela que ce genre de vulnérabilité est vendu car vendre une vulnérabilité que l'on trouve partout... (Le post principal à été créé avec cette définition de 0-day.)
positive (0) negative (0) Répondre
24-08-2013, 08h46
Message : #11
e2del Hors ligne
Membre actif
*



Messages : 67
Sujets : 1
Points: 17
Inscription : May 2013
RE: Etique ou pas?
Est-ce qu'ils vendent plusieurs fois la 0day ?
+1 (0) -1 (0) Répondre
24-08-2013, 09h02
Message : #12
0pc0deFR
Non-enregistré



 
RE: Etique ou pas?
Parfois oui, parfois non.
positive (0) negative (0) Répondre
24-08-2013, 12h50
Message : #13
b0fh Hors ligne
Membre actif
*



Messages : 210
Sujets : 17
Points: 309
Inscription : Jul 2012
RE: Etique ou pas?
Quel débat ?

Vendre une 0day à l'éditeur, en menaçant de publier s'il ne paie pas, c'est de l'extortion.

Vendre une 0day à un tiers alors que l'éditeur a déja été averti, c'est de l'escroquerie, parce que ce n'est plus une 0day. Escroquer des criminels, c'est mal quand même, et parfois c'est dangereux pour la santé.

Vendre une 0day à un tiers, c'est te rendre complice d'un futur crime informatique. Faut être naif pour penser que l'acheteur aime juste faire la collection.

Oui, c'est une manière de gagner de l'argent. Vendre des armes et de la drogue aussi.
+1 (6) -1 (0) Répondre
24-08-2013, 12h54
Message : #14
e2del Hors ligne
Membre actif
*



Messages : 67
Sujets : 1
Points: 17
Inscription : May 2013
RE: Etique ou pas?
(24-08-2013, 12h50)b0fh a écrit : Vendre une 0day à un tiers, c'est te rendre complice d'un futur crime informatique. Faut être naif pour penser que l'acheteur aime juste faire la collection.

Ca peut-être des personnes (entreprise) utilisant le système impacté et qui veulent se prémunir contre l'attaque ou du moins savoir quelle est possible.
+1 (0) -1 (0) Répondre
24-08-2013, 13h06
Message : #15
0pc0deFR
Non-enregistré



 
RE: Etique ou pas?
Je suis aussi de l'avis qu'un White Hat ne devrait pas vendre ces découvertes car la personne qui va acheter la découverte va très certainement l'utiliser à mauvais escient. Mon avis est qu'une entreprise alerté d'un défaut de sécurité qui ne patch pas, c'est tout simplement sont problème. En tant que White Hat, on prévient l'entreprise mais on ne doit pas la "forcer" de quelconque manière à faire quoi que ce soit. Certains vont me dire "oui mais je suis utilisateur du produit et donc ma sécurité est mis en jeu", à ceux ci je répondrais que personne ne vous force à utiliser ce produit plutôt qu'un autre.

J'attends d'autres avis Smile
positive (0) negative (0) Répondre


Atteindre :


Utilisateur(s) parcourant ce sujet : 3 visiteur(s)
N-PN
Accueil | Challenges | Tutoriels | Téléchargements | Forum | Retourner en haut