Esta es una pregunta de varias partes ....
Con respecto a la ASP.NET Padding Oracle, ( enlace de demostración ) fue un ataque de seguridad tratado de manera ética. ¿manera? ¿Qué se podría haber hecho diferente o mejor?
¿Cuáles son los incentivos para manejar un exploit de la manera más ética?
¿Qué puede hacer la industria de InfoSec para incentivar (de manera financiera o no) el manejo adecuado de los problemas de seguridad?
Una pregunta bastante similar ya está aquí: ¿Cómo divulgar una vulnerabilidad de seguridad de manera ética? .
¿Qué pasa con el tema actual y la forma en que se reveló la vulnerabilidad? No está mal, pero aún así, la comunidad de seguridad de TI está en la búsqueda de formas más éticas de divulgación de la vulnerabilidad. Bueno, los investigadores podrían informar (o quizás hayan hecho eso, no saber) al vendedor, esperar algunos días, meses, quizás años cuando se solucione el error. En ese momento la vulnerabilidad podría ser explotada. Además, ¿quién dijo que esta vulnerabilidad no había sido explotada previamente por los sombreros negros? Cuando el error se conoce públicamente, no tiene más valor en el mercado criminal, es más fácil de defender, es más fácil detener los ataques de guiones de niños, en comparación con los expertos en sombreros negros. Hay un sinfín de temas sobre FD y RD, con numerosos pros y contras.
Teniendo en cuenta la forma conocida de respuesta de los proveedores conocidos, no sorprende que los investigadores actúen de esa manera. Recuerda el movimiento "No más errores libres".
Los oráculos de relleno se conocen desde hace años. Esta es una situación de divulgación completa con el mejor esfuerzo, ya que muchas aplicaciones se ven afectadas. MyFaces se habló hace un año, pero ahora las aplicaciones de ASP.NET (por ejemplo, DotNetNuke) están bajo el arma.
Creo que es solo otra iteración del debate de divulgación completa frente a la divulgación de responsabilidad que está ocurriendo dentro de la industria de seguridad de TI desde hace años. Es solo una cuestión de opinión personal, cada lado tiene sus propios puntos fuertes.
Los pros y contras a menudo citados de cada enfoque son:
Divulgación completa:
Pro:
Con:
0-días ponen a todos los usuarios en peligro hasta que se lance el parche
Se puede hacer solo para la fama
Divulgación responsable:
Pro:
A los proveedores les gusta, pueden planificar & asigne sus recursos y pruebe los parches
Ningún usuario está en riesgo (si los sombreros negros no lo descubren)
Hey, responsable es una palabra tan positiva;)
Con:
Los proveedores tienden a ignorar los informes o retrasar los parches
La vulnerabilidad está ahí, sin parches
No hay información para los usuarios sobre cómo mitigar el riesgo
Volviendo al 'ético ASP.NET, la revelación de Oracle fue ética'. En mi opinión, es éticamente correcto divulgar el problema de todos modos, el investigador decidió, ya sea un día con el exploit, un correo electrónico privado al proveedor o una divulgación pública. Sus decisiones generalmente están bien pensadas incluso si no está de acuerdo con ellas.
Solo hay dos enfoques incorrectos : olvídate del problema descubierto (si parece grave) o véndelo en el mercado negro. Aparte de eso, es el único privilegio del investigador decidir.
No estoy seguro de que "ético" esté realmente involucrado cuando se trata de exponer explotaciones. Los exploits son totalmente poco éticos y totalmente antisociales, por lo que me parece aceptable exponerlos a cualquier costo. Incluso una exposición totalmente fallida es menos antiética y menos antisocial que la hazaña.
Para mí es como preguntar: "¿Hay una buena manera de matar a alguien que está tratando de matarme?"
No estoy muy familiarizado con los detalles de la divulgación, pero por lo que sé, se manejó de una manera razonable. No tengo conocimiento de ningún problema ético asociado con la divulgación.
Por ejemplo, creo que fue completamente ético revelar la existencia y la naturaleza del problema. Como se menciona en @atdre, se conocen desde hace años los ataques oracle padding, por lo que los blackhats ya pueden haber conocido este ataque, por lo que sabemos. Dada la gravedad del problema y la amplia escala del problema, era fundamental hacer correr la voz rápidamente. Así que no estoy al tanto de nada que los investigadores hayan hecho mal.
Si cree que hay algo en particular sobre cómo manejaron la divulgación que generó preguntas éticas en su mente, lo aliento a que explique qué fue eso.
Lea otras preguntas en las etiquetas disclosure ethics exploit