Re: [討論] 如何最大化工作成果?

看板Soft_Job (軟體人)作者seanwu (winesap)時間1年前 (2022/10/09 00:16)推噓14(14推 0噓 1→)

留言15則, 15人參與討論串2/2 (看更多)

※ 引述《Voltaire3756 (Voltaire_young)》之銘言： : 各位大大好 : 小弟是名懷抱著資安夢的韌體仔 : 最近在工作中發現一個目前尚未被揭露的系統底層資安漏洞 : 因希望有朝一日能轉換跑道至資安領域 : 希望能將此次發現轉化成小弟在資安領域的敲門磚 : 故發文詢問各位大大意見 : 感謝各位大大，感激不盡 : 小弟對於資安的理解，對某些大大而言非常外行 : 如果以下內容有任何錯誤或令您啼笑皆非的想法 : 希望大大手下留情，別鞭得太重QQ 因為資安領域的範圍滿廣的，各種工作的差異性不小不過原PO看起來應該是對漏洞研究這塊有興趣，我應該還是可以提供一些個人經驗和主觀看法XD : =====資安漏洞===== : 模組A 先前被通報存在漏洞a (CVSS 7.5) : 模組B 是為了解決漏洞a : 模組B 的原理是存取特定資料前，必須先輸入密碼以解鎖存取保護 : 小弟發現模組B 存在漏洞b : 利用漏洞b，可以繞過密碼驗證，強行解鎖並直接竄改管理者密碼 : =====影響層面===== : 因為小弟成為韌體仔還不到半年 : 只知道好像很多底層參數需要管理者權限才能動 : 但具體可以達到什麼程度，小弟還沒概念 : 目前實驗發現可以開關某些 I/O port 跟亂改參數導致系統 shut down : 好像還可以偷塞東西進記憶體，然後引導系統去執行（還在研究怎麼弄）除了漏洞本身可做到哪些事 (DoS、CE、Leakage...) 它的嚴重程度也會跟攻擊者需要多接近目標有關，通常來說可以遠程攻擊的話會是比較嚴重的，但如果需要在本地執行甚至物理上接觸目標那影響就比較小，這點也可以從 Zerodium 給的bounty看出來 https://zerodium.com/program.html 原PO描述的漏洞至少能DoS，而且看起來有機會做到Code Excution，如果這個管理介面是可以從遠端碰到的，比方說router在WAN端的登入介面，那就算是比較嚴重的RCE漏洞了，一般的漏洞回報平台應該都會收 : =====疑問===== : Q1. 該如何最大限度的確保自己的Credit? : 以小弟對資安事件揭露機制的認識 : 好像不會紀錄發現者或第一個揭露者的資訊 : 雖然小弟的發現跟去年熱門的"log4j"相比，明顯微不足道 : 小弟想好好抓住此次機會，希望能作為進入資安領域的契機 : 目前還沒有人揭露相關漏洞，擔心拖太久會被人搶先一步發現漏洞後，一般會希望能拿到一個CVE編號，雖然CVE ID本身不會揭露投稿人的資訊，但可以附references連結，這裡就可以連結到跟你有關的資訊要申請CVE ID，最簡單的情況那個軟體或設備的廠商自己有漏洞回報機制 https://www.cve.org/PartnerInformation/ListofPartners 有些還會有自己的Bounty Program，鼓勵研究人員回報漏洞，也是有靠獎金就可以養活自己或發大財的傢伙，是誰我就不說了如果廠商自己沒有的話，還是可以回報給廠商不過如果想避免各種可能的"麻煩"，那可以直接回報給漏洞回報平台，他們再設法回報。像是趨勢的ZDI，基本上各類型的漏洞都會收，雖然不高但也會有少量的獎金通過的話，我印象中ZDI會直接幫你送CVE，不用自己填另外如果標的是在國內的話，可以回報給HITCON Zeroday，一些範圍比較特定的，像某某學校SQL injection之類的，就可以丟這兩個平台都可以在官網上查到credit，你可以附在CV裡 : Q2. 該如何在面試時，呈現此次成果呢？ : 主要有兩大顧慮：可信度 & 被告 : 首先是"可信度"問題 : 如果僅以上述"資安漏洞"的內容來描述小弟的發現 : 依照好友反饋，感覺很像是自己瞎掰的 : 再來是"被告"問題如果廠商有自己的回報機制，只要不違反它的規定 (通常會限制不可以打正在跑的服務) 一般來說不會有問題。沒有的話還是丟平台好了，他們會有完善組織和流程負責被告 :) 有聽說電話來不是要問漏洞細節而是要告人的也有一些講的很開放，但EULA寫說不可以逆向分析，不知道想表達什麼的這種就說做夢夢到PoC，到底哪裡出bug給他們自己煩惱就好 : 為了避免讓人覺得小弟在瞎掰的印象 : 勢必得透漏部分細節 : 透漏得越多，被告的可能性越高 : 目前小弟打算錄一小段實機演示影片 : 把過程中跟演示內容無關的部分上馬賽克 : 希望大大們提點需要注意的部分除非你是Project Zero，家大業大不怕有人來告漏洞不修? 給你三個月不然強制公開，大家一起來開party 一般做法就是回報 -> 等它修掉 -> (你)公開細節，然後可以發blog、投conference 如果CVE申請是自己填的，也可以附加上去，這樣大家就都知道這是你幹的 : Q3. 如何避免面試官對小弟"誠信度"的疑慮? : 具規模的公司，通常都會將"誠信度"納入選才評分中 : (還是這只是小弟的偏見?) : 為了展示此次成果，無可避免地需要揭露一些外人難以得知的資訊 : 然而某某公司內部機密洩漏的新聞時有所聞 : 小弟擔心在展示過程中沒拿捏好尺度 : 會讓面試官心生疑慮 : 這樣就陷入了一個微妙的 trade off : 說得詳細具體，雖然可信度上升，但會導致個人誠信度下降 : 說得模糊籠統，讓人感覺在瞎掰，直接出局 : (讓人感覺在瞎掰好像也會降低誠信度) 像面試這種場合私底下講講你的發現，我是覺得沒什麼關係，不然無從討論起，太高調亂搞、弄到上新聞的那種才會黑掉。漏洞的細節是你的底牌，正常做漏洞研究的人不會沒事去翻它，反過來想免費釣你情報的公司還是別去吧你可以分享怎麼發現這個漏洞的、用什麼工具、怎麼去分析，有經驗的聽了就知道是不是在唬爛 : Q4. 小弟與面試官的認知差距 : 人最害怕的莫過於不自知與自我感覺良好 : 小弟擔心前述所有的擔憂只是自己的一廂情願 : 說不定對面試官而言，小弟的成果微不足道，加不了多少分 : 可能面試官更看重的是近期版上熱門的"刷題" : 小弟想向有經驗的大大請教 : 如果想進入資安領域，一般面試官最重視的項目有哪些？以研究員來說，會看你會不會使用分析工具和分析手法有時候可能給你一個情境問你會怎麼做，做這個看的是你「解決問題」的能力當然對一般漏洞有哪些型式、利用的方法，還是要有基本的了解雖然很吃經驗，但不見得一定要有豐功偉業才代表你很厲害，很多強者都是很低調的 CVE、CTF 經驗、投稿這些當然是加分項，不過沒有的話也沒關係這些只是最容易評估你的能力的一個方式除了口頭面試，也有可能給個作業回去做刷題的話... 如果你有 Codeforces、Topcoder、UVa 帳號，或 Code Jam、Hacker Cup 得名的話就附吧XDDD 畢竟 ACMer 轉 CTFer 都是非常強的，做研究應該也不會弱到哪不然就去刷一下 pwnable.tw 看看，不要因為受到打擊放棄走這條路就好...實務上的情況沒那麼難 : 想憑一個小發現來證明自己的對資安領域的嚮往或能力，是否太異想天開了？資安領域範圍很廣，甚至不見得需要會寫code 我待的公司也有威脅情資分析師是外文系畢業的雖然比起學生時代會少一些資源能用 (像AIS3這種培訓計畫) 但要轉職也不算晚，個人覺得有興趣就可以嘗試看看原PO是做韌體相關的工作，想必系統底層、組語之類的都很熟悉吧，要轉漏洞研究領域，滿多經驗應該都用得上對了，我不看你拿幾張資安證照那對漏洞研究一點意義都沒有 :p -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 125.229.71.95 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/Soft_Job/M.1665245768.A.64F.html ※ 編輯: seanwu (125.229.71.95 臺灣), 10/09/2022 00:18:32