Domnul.Do Posted September 2, 2016 Report Posted September 2, 2016 In anul 2011, in Olanda 2 incidente de securitate majore au devenit publice: cazul DigiNotar(1) si o vulnerabilitate in cardul lor pentru transportul public(2). The National Cyber Security Centre (NCSC) din Olanda a colaborat cu sectoare importante, precum sectorul telecomunicatiilor si sectorul financiar pentru a crea un ghid de tip "Responsible disclosure". Succesul acestui ghid se poate observa si prin participarea unor banci olandeze in aceste programe precum: SNS Bank, ING, NN si Regio Bank. In general exista o problema universala cu un astfel de ghid: nu sunt specificate reguli exacte pentru metodologia de raportare. Acest lucru este evidentiat in articolul "Instagram's Million Dollar Bug"(3), mai exact prin acest citat: "There is no rule which states what to do when a vulnerability is discovered". Doresc sa creez un ghid specific aplicatiilor web (care include si domeniu embedded devices) transparent si dinamic in colaborare cu sectorul public, privat si cel civic. Pentru a intelege mai exact, voi oferi un exemplu: Daca exista un SQL injection intr-o aplicatie web, pentru demonstratia conceptului se va trimite doar @@version . Un acord comun legal pentru a valida conceptul si pentru a pastra integritatea database-ului. Doresc prin acest ghid urmatoarele: -capacitatea societati de a se apara in domeniul digital, -stimularea securitati cibernetice in Romania, -parteneriate pe plan international (CERT-*, NCSC-NL), -angajarea mai usoara a persoanelor care sunt in domeniu sau unui internediar, La acest ghid voi atasa o platforma in care voi prezenta printre altele: -cerintelor pentru a sustine un asemenea program, -standarde precum ISO 30111 sau ISO 29147, Totodata prin acesta platforma, voi comercializa persoanele din Romania care au contribuit la securitatea cibernetic internationala (Bogdan Alecu(4), Dragos Gaftoneanu(5)) cat si celor care sunt implicati activi in acest domeniu (Daniel Bugarin(6)). Am decis sa postez public proiectul meu deoarece imi doresc transparenta si prin aceasta metoda puteti observa feedback-ul comunitati. Referinte: (1) - https://threatpost.com/final-report-diginotar-hack-shows-total-compromise-ca-servers-103112/77170/ (2) - http://www.proxmark.org/files/Documents/13.56%20MHz%20-%20MIFARE%20Classic/Reverse_engineering_the_memory_layout_of_the_OV-Chipkaart.pdf (3) - http://www.exfiltrated.com/research-Instagram-RCE.php (4) - http://www.pcworld.com/article/246528/remote_sms_attack_can_force_mobile_phones_to_send_premiumrate_text_messages.html (5) - http://news.softpedia.com/news/Anti-Keylogger-Application-KeyScrambler-Is-Ineffective-Expert-Says-327441.shtml (6) - "Locul 6 in Lume" - http://www.wechall.net/ranking Va multumesc pentru atentia acordata! 2 Quote