Etique ou pas?
|
23-08-2013, 17h56
Message : #1
|
|
0pc0deFR Non-enregistré |
Etique ou pas?
Je lance un débat sur l'étique en tant que White Hat d'utiliser des sites de ventes de 0-day type https://exploithub.com/ et d'autres. C'est ce que font aussi certaines entreprises comme http://www.vupen.com et d'autres.
|
|
23-08-2013, 18h03
Message : #2
|
|
Yuri
Czech Membre Messages : 53 Sujets : 7 Points: 4 Inscription : Aug 2013 |
RE: Etique ou pas?
Je n'est pas compris tu lance un débat, sur le fait qu'un white hat acheterais des 0-day's ?? sois disant privé ^^ ?
Citation :" Pour apprendre à boxer il suffit d'une nuit. Il faut une vie entière pour apprendre à combattre. " |
|
23-08-2013, 18h04
Message : #3
|
|
0pc0deFR Non-enregistré |
RE: Etique ou pas?
Plutôt la vente de 0-day car l'achat, pour un White Hat, j'en vois pas trop l'intérêt.
|
|
23-08-2013, 18h07
Message : #4
|
|
Yuri
Czech Membre Messages : 53 Sujets : 7 Points: 4 Inscription : Aug 2013 |
RE: Etique ou pas?
Si sa conscience n'est qu'une sauvegarde qu'il puisse supprimer après chaque vente alors son éthique est l'opposer de celle du WHitehat !
Citation :" Pour apprendre à boxer il suffit d'une nuit. Il faut une vie entière pour apprendre à combattre. " |
|
23-08-2013, 18h54
Message : #5
|
|
e2del
Membre actif Messages : 67 Sujets : 1 Points: 17 Inscription : May 2013 |
RE: Etique ou pas?
(23-08-2013, 17h56)0pc0deFR a écrit : Je lance un débat sur l'étique en tant que White Hat d'utiliser des sites de ventes de 0-day type https://exploithub.com/ et d'autres. C'est ce que font aussi certaines entreprises comme http://www.vupen.com et d'autres. Si la vente est précédée par la divulgation de la dite faille à l'éditeur visée, ça permet de vivre (l'argent tombe pas du ciel) et ça peut permettre de mettre la pression à l'éditeur pour qu'il corrige le problème. Après je ne pense pas que ça se déroule dans ce sens. Sinon il faut voir aussi à qui sont vendus ces 0days. |
|
23-08-2013, 22h24
(Modification du message : 23-08-2013, 22h24 par Mazaki.)
Message : #6
|
|
Mazaki
root@Mazaki~# Messages : 88 Sujets : 7 Points: 13 Inscription : May 2013 |
RE: Etique ou pas?
Une 0day n'est plus, si celle ci est mise en ligne, je tiens à le rappeler.
Citation :Dans le domaine de la sécurité informatique, une vulnérabilité zero-day est un exploit qui utilise une faille jusqu'ici méconnue du public " Signature en construction, revenez dans quelques années. "
|
|
23-08-2013, 23h41
Message : #7
|
|
e2del
Membre actif Messages : 67 Sujets : 1 Points: 17 Inscription : May 2013 |
RE: Etique ou pas?
(23-08-2013, 22h24)Mazaki a écrit : Une 0day n'est plus, si celle ci est mise en ligne, je tiens à le rappeler. Si elle est envoyé à l'éditeur, il s'en soucie pas et ne fait rien. Quelques temps après la faille est exploitée ? 0day ou non ? |
|
23-08-2013, 23h48
Message : #8
|
|
Mazaki
root@Mazaki~# Messages : 88 Sujets : 7 Points: 13 Inscription : May 2013 |
RE: Etique ou pas?
(23-08-2013, 23h41)e2del a écrit :(23-08-2013, 22h24)Mazaki a écrit : Une 0day n'est plus, si celle ci est mise en ligne, je tiens à le rappeler. Si "quelques temps après la faille est exploitée" ; ce n'est donc plus une 0day étant donné qu'elle est désormais connue au public. Une 0day est pour moi, une faille que uniquement 1 seul personne (ou 2 voir 3 grand maximum) connaisse(nt). " Signature en construction, revenez dans quelques années. "
|
|
24-08-2013, 01h44
Message : #9
|
|
c4ffein
Membre Messages : 49 Sujets : 2 Points: 5 Inscription : Jul 2013 |
RE: Etique ou pas? |
|
24-08-2013, 08h29
Message : #10
|
|
0pc0deFR Non-enregistré |
RE: Etique ou pas?
oui une 0day c'est un exploit qui n'est pas connu au publique pour moi, c'est pour cela que ce genre de vulnérabilité est vendu car vendre une vulnérabilité que l'on trouve partout... (Le post principal à été créé avec cette définition de 0-day.)
|
|
24-08-2013, 08h46
Message : #11
|
|
e2del
Membre actif Messages : 67 Sujets : 1 Points: 17 Inscription : May 2013 |
RE: Etique ou pas?
Est-ce qu'ils vendent plusieurs fois la 0day ?
|
|
24-08-2013, 09h02
Message : #12
|
|
0pc0deFR Non-enregistré |
RE: Etique ou pas?
Parfois oui, parfois non.
|
|
24-08-2013, 12h50
Message : #13
|
|
b0fh
Membre actif Messages : 210 Sujets : 17 Points: 309 Inscription : Jul 2012 |
RE: Etique ou pas?
Quel débat ?
Vendre une 0day à l'éditeur, en menaçant de publier s'il ne paie pas, c'est de l'extortion. Vendre une 0day à un tiers alors que l'éditeur a déja été averti, c'est de l'escroquerie, parce que ce n'est plus une 0day. Escroquer des criminels, c'est mal quand même, et parfois c'est dangereux pour la santé. Vendre une 0day à un tiers, c'est te rendre complice d'un futur crime informatique. Faut être naif pour penser que l'acheteur aime juste faire la collection. Oui, c'est une manière de gagner de l'argent. Vendre des armes et de la drogue aussi. |
|
24-08-2013, 12h54
Message : #14
|
|
e2del
Membre actif Messages : 67 Sujets : 1 Points: 17 Inscription : May 2013 |
RE: Etique ou pas?
(24-08-2013, 12h50)b0fh a écrit : Vendre une 0day à un tiers, c'est te rendre complice d'un futur crime informatique. Faut être naif pour penser que l'acheteur aime juste faire la collection. Ca peut-être des personnes (entreprise) utilisant le système impacté et qui veulent se prémunir contre l'attaque ou du moins savoir quelle est possible. |
|
24-08-2013, 13h06
Message : #15
|
|
0pc0deFR Non-enregistré |
RE: Etique ou pas?
Je suis aussi de l'avis qu'un White Hat ne devrait pas vendre ces découvertes car la personne qui va acheter la découverte va très certainement l'utiliser à mauvais escient. Mon avis est qu'une entreprise alerté d'un défaut de sécurité qui ne patch pas, c'est tout simplement sont problème. En tant que White Hat, on prévient l'entreprise mais on ne doit pas la "forcer" de quelconque manière à faire quoi que ce soit. Certains vont me dire "oui mais je suis utilisateur du produit et donc ma sécurité est mis en jeu", à ceux ci je répondrais que personne ne vous force à utiliser ce produit plutôt qu'un autre.
J'attends d'autres avis |
|
« Sujet précédent | Sujet suivant »
|
Utilisateur(s) parcourant ce sujet : 4 visiteur(s)