[port139ml:02863] Re: how and where to report possible security holes/bugs?

[Masaki Katayama <katayama@xxxxxxxxxx>]

片山％調査対象のサーバが沈黙しました　です。

On Sun, 30 Mar 2003 19:42:42 +0900
Kenji Yamamoto <yamaken@xxxxxxxxxx> wrote:

> 山本です。
> 
> オペレーションを通常通りサーバ及びクライアント上で実施し、あるい
> は業務上のペネトレーションを実施した際に発見した問題のレポートは、
> 皆様通常どのような流れでおこなっていらっしゃいますか？

私の場合は、公式な連絡先が見つからない場合は、まず政治的な
配慮が出来る方に第１のコンタクト取るようにしてます。

その上で、インシデント対応可能な技術者もしくはそれに類する
方の紹介を待ちます。が、こちらの意図する事を理解しないもし
くは誤解するおそれが有る場合は、電話連絡およびその他の手段
を用いて、再度連絡するようにします。

その際には、こちらが「脅迫行為、金銭目的等では無いこと」を
明らかにした上で、放置した場合の危険性およびその会社にとっ
ての損害額を想定できる範疇で想定し、それを含めた形で連絡を
行います。

ですが、放置されることが非常に多いですね。

放置された場合は、、、よほど重大な問題では無い限り、連絡を
待ち続けるおよび、定期的に連絡を入れる程度になります。
重大なインシデントの場合は、その会社の事をよくご存じの方、
そして、ある程度知名度のある方を経由して、経営層に話をして
頂くこともあります。（ネット銀行の穴とか、ネット証券の穴等）

＃あらぬ誤解を受け、身につけた方法です。
　ソーシャルで見つけた穴は、、、どうしましょうかねぇ・・・。