web-dev-qa-db-ja.com

実際の情報源から(匿名の)パスワードリストを公開することの倫理性

私は現在、デフォルトまたはよく知られた「秘密」をアプリケーションに使用することの危険性について、セキュリティ調査を行っています。

これが実際にどれほど大きな問題であるかをテストするために、「大きな」スタック交換Webサイトのローカルコピーをダウンロードして、特定のパターンに一致する文字列を抽出するためのデータを処理するスクリプトをいくつか作成しました。

これにより、約15kの可能な一意のシークレットがこれまでに得られました(執筆時点ではまだ実行中ですが、最強のコンピューターがないため、これも実行しましたGitHubに数千のファイルがあり、さらに多くの結果が得られます)。これは私に次の質問を残します:

このようなリストをインターネット上で公開することと、アプリケーションがこのような攻撃を受けやすいかどうかをローカルでテストするためのツールを上記のワードリストを使用して公開することはどの程度倫理的ですか?

オンラインで多くのワードリストが公開されているのを見てきましたが、専用の GitHubリポジトリ もあります。ワードリストを公開したとしても、個人情報は添付されていませんが、それがどれほど倫理的であるかは完全にはわかりません。

3
Paradoxis

既知の危険にさらされた秘密のリストは、システムをより安全にしようとしている人々にとって、特にパスワードやパスワードと同等の資格情報のようなものにとって非常に貴重です。 Troy Huntの優れた "Pwned Passwords" ページを検討してください。このページは、侵害されたパスワードの膨大なコーパスを使用して構築されています(必要に応じてダウンロードすることもできます。また、パスワードチェックをセットアップするソフトウェアをダウンロードすることもできます)第三者に情報を一切送信しないサービス)。

ユーザーが自分の秘密をテストするのを助けることに加えて、このようなシステムは、安全な認証システムを確立したい人にとって価値があります。そのようなシステムは、他の場所で使用されたことがわかっている資格情報を拒否する必要があるためです(特に公開されていることがわかっている場合)。 。最新のNISTガイドラインは実際に 特に、侵害されていることがわかっているものに対して候補のシークレットをチェックすることをお勧めします なので、侵害されたシークレットのそのようなリストを持つことは、ガイドラインに従うために不可欠です!

4
CBHacking

すばらしい質問です。これは間違いなく灰色の領域です。シークレットにユーザー名や他のPIIが関連付けられていない場合は、おそらく問題ありません。

通常、サイト(または特定のアカウント/ユーザー)にデータ漏洩を通知する必要があります。次に、使用する倫理的開示システムに応じて、修正に一定の時間(通常6週間)がかかります。その時間が経過すると、ユーザー名/ PIIなしでシークレットをリリースすることはおそらく許容されます。

とは言っても、巨大なハッキング(yahoo、Linkedin、Ashley madison)でのアカウントの盗難が原因で、これらの資格情報が「ダークウェブ」の周りに非常に長い間浮かんでいるため、このような利用可能なもの(rockyou.txtなど)はたくさんあります。ある時点でほぼ公開されていると見なされます。また、シークレットまたはパスワードをgithubにハードコード化し、それが削られた場合...それはおそらくDEVにありますが、Sec Proとして信じたいのですが、私たちはそれらに通知しようとします。それは私がその物流との闘いを理解していると述べました。

だから私が言ったようにこれは灰色の領域です。最も重要なこと:悪意のある俳優が誰かのアカウントを直接侵害する可能性のあるものをリリースしないでください。現在の主な攻撃の1つは横方向です-1つのサイトからハッキングされたアカウントを使用して、より重要なサイトにアクセスしようとします(linkininに違反し、それを使用して、たとえばBank of Americaに同じ信用があるかどうかを確認します)。

DHS US-Certと呼ばれる)のサブグループにある米国の倫理開示サイトの詳細はこちら https://ics-cert.us-cert.gov/ICS-CERT -Vulnerability-Disclosure-Policy

1
bashCypher

秘密を確認しましたか?スクリプトが、ほとんどノイズの可能性がある情報を引き出すことについて話しているため(テストデータ-質問固有のデータ)

特定のサイト(ソリューション)へのリンクがない場合、これは公開データであるため、問題はありません。しかし、あなた自身の質問では、データをリンクしてソースを提供し、データを絞り込めるようにしました-それはまだ公開されています。データソースについて言及するまでは問題ありませんでした。

0
McMatty