¿Qué hacer cuando encuentro una posible vulnerabilidad de seguridad de interés público? [duplicar]

26

Digamos que encontré una posible vulnerabilidad en un sistema de seguridad. El sistema ha sido considerado universalmente como un sonido por años y hoy en día se usa en todo el mundo.

No soy un experto en seguridad, pero hay cosas que me preocupan:

  • Usar un sistema de seguridad creyendo que es seguro es peor que no usarlo, ya que confío completamente en su seguridad por cualquier razón;
  • El sistema se implementa en diferentes países, por lo tanto, revelar detalles sobre por qué no es seguro puede comprometer a aquellos que no actualizan sus sistemas de inmediato;
  • Me gustaría tomar crédito por mi trabajo / descubrimiento, pero al mismo tiempo el descubrimiento puede ser demasiado grande para mí;
  • Actualmente no existe una alternativa real a este sistema de seguridad, ya que ha sido considerado como el mejor durante años y nadie gastó tiempo y recursos para encontrar uno mejor;
  • Revelar problemas sin aportar una solución parece decirle a la comunidad científica "Oye, todo lo que consideraste seguro no es, apresúrate y encuentra una mejor solución".

Por todas las razones anteriores, me pregunto qué debería hacer alguien en una situación tan torpe.

Perdona mi vaguedad, pero creo que entiendes la razón.

    
pregunta Jacob 30.06.2016 - 00:24
fuente

4 respuestas

43

Sería una cuestión de opinión sobre cómo debe proceder. Ya tenemos una pregunta explicando Diferentes formas éticas para reportar una vulnerabilidad.

En primer lugar, para algo tan grande, personalmente recomendaría que permanezcas en el anonimato al principio, mientras dejas una forma de demostrar más tarde que fuiste tú quien descubrió la vulnerabilidad. Cree una nueva clave PGP (no vinculada a su identidad), firme sus mensajes con ella y publíquelos de forma anónima (sobre Tor, por ejemplo). Si luego se siente seguro de que todo está bien y no hay cientos de abogados sedientos de sangre que lo persiguen, puede usar esa clave para firmar un mensaje que indique que era usted (con su nombre completo).

Recomiendo el enfoque de divulgación responsable: se pone en contacto con los desarrolladores de dicho sistema de seguridad y les deja algún tiempo para implementar un parche.

Si no obtiene respuesta, una respuesta estúpida o incluso hordas de abogados enojados que te están ladrando, solo usa tu anonimato para hacerlo público y deja que todos sepan cómo la compañía trata las fallas de seguridad.

No estoy de acuerdo con el hecho de que revelar una falla mientras no ofrezco una alternativa es una mala idea. Esa falla ya puede ser conocida por los malos y es mejor que todos lo sepan (y al menos pueden saber que no es seguro) en lugar de dejar que los malos disfruten del uso de esa información. Además, incluso si no hay una alternativa ahora, este descubrimiento puede motivar a alguien a hacer una alternativa segura.

Finalmente, aunque no sé de qué tipo de "sistema de seguridad" estamos hablando, la seguridad debe hacerse en capas y cualquier corporación que confíe en ese sistema como su única defensa merece ser derrotada, al igual que aquellos que no se moleste en actualizar una vez que una solución esté disponible.

    
respondido por el André Borie 30.06.2016 - 01:10
fuente
8

Querrá verificar que se trata de una vulnerabilidad actual , generalmente mediante la creación de una Prueba de concepto. A partir de ahí, podrías:

  • Póngase en contacto con el proveedor del software en privado, explique sus hallazgos y los problemas asociados con él y adjunte el PoC para que lo analicen.
  • Libere la vulnerabilidad al público, con la esperanza de que la atención adicional persuadirá al proveedor para que libere una solución.
  • Guarda silencio al respecto, esperando que los negros no lo encuentren.

La primera opción es probablemente la mejor. No necesita revelar su identidad personal para divulgar información. He usado varios manejadores y cuentas desechables para dichas comunicaciones en circunstancias similares.

La segunda opción es arriesgada. Se arriesga a una reacción negativa del público ("¿Por qué darían una vulnerabilidad abierta a las personas que lo abusarían?") Y se coloca a usted y al proveedor en un lugar negativo. Si bien algunas personas pueden aplaudir sus esfuerzos, otras lo verán como un problema.

La tercera opción es aún más arriesgada. Si tiene la capacidad de crear un PoC, también lo hacen las personas con intenciones maliciosas. La única diferencia aquí es que su probado y verdadero Seguridad a través de la oscuridad también conocido como una muy mala tiempo .

Tu mejor apuesta es comenzar con la primera opción, y volver a la segunda si te ignoran por completo. He visto historias de personas que contactaron con los proveedores durante meses, finalmente liberaron la vulnerabilidad al público y luego vieron un parche que abordaba el problema. En un mundo ideal, el proveedor tomará esto en serio y resolverá el problema una vez que se comunique con ellos. A menos que sean negligentes con el tema o encuentren que no se trata de un problema, serán los mejores para abordarlo. Si no lo abordan, corren el riesgo real de convertirse en el siguiente Java o Flash , también conocido como completamente inseguro para el público.

Eso suele ser malo para los negocios.

    
respondido por el Thebluefish 30.06.2016 - 00:59
fuente
5

¿Quieres tomar crédito pero no quieres ser conocido? Eso simplemente no funcionará.
Decida qué es más importante: crédito, o dar a conocer la vulnerabilidad de forma anónima.

Si darlo a conocer es más importante, veo que tienes una cuenta nueva, etc., eso es bueno. (Si es realmente tan grande, espero que tenga un sistema operativo nuevo en un dispositivo nuevo, no tenga un perfil de navegador, y Tor también. Si no, comenzar ahora es demasiado tarde). Como paso siguiente, si ni siquiera está seguro de si es una vulnerabilidad, simplemente decirnos que la situación aquí es un comienzo.

Sobre la parte "no decir porque es explotable": Bueno, si te preocupa eso, y tu identidad, no veo forma de decírselo a nadie. En este caso ... solo olvídalo?

    
respondido por el deviantfan 30.06.2016 - 00:48
fuente
2

Thebluefish omitió mencionar "Divulgación responsable" donde un tercero de confianza proporciona un servicio de custodia por un período de tiempo limitado, lo que permite al proveedor corregir el error y garantizar que se acredite al descubridor. CERT patrocina este enfoque.

Pero según la respuesta anterior, necesita una prueba de concepto. Lamentablemente, los productos de "seguridad" con más frecuencia presentan vulnerabilidades de lo que la mayoría de los profesionales esperan.

    
respondido por el symcbean 30.06.2016 - 01:11
fuente

Lea otras preguntas en las etiquetas