¿Qué hacer cuando encuentro una posible vulnerabilidad de seguridad de interés público? [duplicar]

Sería una cuestión de opinión sobre cómo debe proceder. Ya tenemos una pregunta explicando Diferentes formas éticas para reportar una vulnerabilidad.

En primer lugar, para algo tan grande, personalmente recomendaría que permanezcas en el anonimato al principio, mientras dejas una forma de demostrar más tarde que fuiste tú quien descubrió la vulnerabilidad. Cree una nueva clave PGP (no vinculada a su identidad), firme sus mensajes con ella y publíquelos de forma anónima (sobre Tor, por ejemplo). Si luego se siente seguro de que todo está bien y no hay cientos de abogados sedientos de sangre que lo persiguen, puede usar esa clave para firmar un mensaje que indique que era usted (con su nombre completo).

Recomiendo el enfoque de divulgación responsable: se pone en contacto con los desarrolladores de dicho sistema de seguridad y les deja algún tiempo para implementar un parche.

Si no obtiene respuesta, una respuesta estúpida o incluso hordas de abogados enojados que te están ladrando, solo usa tu anonimato para hacerlo público y deja que todos sepan cómo la compañía trata las fallas de seguridad.

No estoy de acuerdo con el hecho de que revelar una falla mientras no ofrezco una alternativa es una mala idea. Esa falla ya puede ser conocida por los malos y es mejor que todos lo sepan (y al menos pueden saber que no es seguro) en lugar de dejar que los malos disfruten del uso de esa información. Además, incluso si no hay una alternativa ahora, este descubrimiento puede motivar a alguien a hacer una alternativa segura.

Finalmente, aunque no sé de qué tipo de "sistema de seguridad" estamos hablando, la seguridad debe hacerse en capas y cualquier corporación que confíe en ese sistema como su única defensa merece ser derrotada, al igual que aquellos que no se moleste en actualizar una vez que una solución esté disponible.

Querrá verificar que se trata de una vulnerabilidad actual , generalmente mediante la creación de una Prueba de concepto. A partir de ahí, podrías:

• Póngase en contacto con el proveedor del software en privado, explique sus hallazgos y los problemas asociados con él y adjunte el PoC para que lo analicen.
• Libere la vulnerabilidad al público, con la esperanza de que la atención adicional persuadirá al proveedor para que libere una solución.
• Guarda silencio al respecto, esperando que los negros no lo encuentren.

La primera opción es probablemente la mejor. No necesita revelar su identidad personal para divulgar información. He usado varios manejadores y cuentas desechables para dichas comunicaciones en circunstancias similares.

La segunda opción es arriesgada. Se arriesga a una reacción negativa del público ("¿Por qué darían una vulnerabilidad abierta a las personas que lo abusarían?") Y se coloca a usted y al proveedor en un lugar negativo. Si bien algunas personas pueden aplaudir sus esfuerzos, otras lo verán como un problema.

La tercera opción es aún más arriesgada. Si tiene la capacidad de crear un PoC, también lo hacen las personas con intenciones maliciosas. La única diferencia aquí es que su probado y verdadero Seguridad a través de la oscuridad también conocido como una muy mala tiempo .

Tu mejor apuesta es comenzar con la primera opción, y volver a la segunda si te ignoran por completo. He visto historias de personas que contactaron con los proveedores durante meses, finalmente liberaron la vulnerabilidad al público y luego vieron un parche que abordaba el problema. En un mundo ideal, el proveedor tomará esto en serio y resolverá el problema una vez que se comunique con ellos. A menos que sean negligentes con el tema o encuentren que no se trata de un problema, serán los mejores para abordarlo. Si no lo abordan, corren el riesgo real de convertirse en el siguiente Java o Flash , también conocido como completamente inseguro para el público.

Eso suele ser malo para los negocios.

¿Quieres tomar crédito pero no quieres ser conocido? Eso simplemente no funcionará.
Decida qué es más importante: crédito, o dar a conocer la vulnerabilidad de forma anónima.

Si darlo a conocer es más importante, veo que tienes una cuenta nueva, etc., eso es bueno. (Si es realmente tan grande, espero que tenga un sistema operativo nuevo en un dispositivo nuevo, no tenga un perfil de navegador, y Tor también. Si no, comenzar ahora es demasiado tarde). Como paso siguiente, si ni siquiera está seguro de si es una vulnerabilidad, simplemente decirnos que la situación aquí es un comienzo.

Sobre la parte "no decir porque es explotable": Bueno, si te preocupa eso, y tu identidad, no veo forma de decírselo a nadie. En este caso ... solo olvídalo?

Thebluefish omitió mencionar "Divulgación responsable" donde un tercero de confianza proporciona un servicio de custodia por un período de tiempo limitado, lo que permite al proveedor corregir el error y garantizar que se acredite al descubridor. CERT patrocina este enfoque.

Pero según la respuesta anterior, necesita una prueba de concepto. Lamentablemente, los productos de "seguridad" con más frecuencia presentan vulnerabilidades de lo que la mayoría de los profesionales esperan.