¿Existe alguna forma práctica de identificar las vulnerabilidades de seguridad que se publicaron siguiendo una política de divulgación completa?

Question

¿Existe alguna forma práctica de identificar las vulnerabilidades de seguridad que se publicaron siguiendo una política de divulgación completa?

#1 de munkeyoto (4 votos)
#2 de Signus (1 votos)

1

Estoy realizando un estudio sobre las diferentes políticas de divulgación de vulnerabilidades en un esfuerzo por determinar cuánto tiempo le toma a un proveedor determinado emitir un arreglo / parche, dependiendo de cómo se reveló una vulnerabilidad determinada. El problema es que me cuesta mucho identificar las vulnerabilidades "totalmente reveladas" (el proveedor no fue notificado antes de la divulgación pública). Parece que la divulgación responsable es la norma hoy en día, hasta el punto de que cuando un investigador de seguridad no notifica al proveedor y revela una vulnerabilidad por completo, la gente se vuelve loca al respecto (esto tweet y todos los artículos que siguen). Tenga en cuenta que no soy un defensor de ninguna de las políticas, simplemente estoy realizando una investigación lo más objetivamente posible.

¿Alguien sabe si es posible recuperar todas las vulnerabilidades que se publicaron siguiendo una política de divulgación completa? Tal vez alguien ha hecho este trabajo aparentemente tedioso y está dispuesto a compartirlo :) O hay un sitio web / herramienta que no conozco que hace eso precisamente.

Si no, supongo que tendría que mirar cada entrada de vulnerabilidad (para un proveedor determinado, por supuesto), analizar el cronograma de divulgación (si corresponde), averiguar cuándo se emitió el parche, y si la divulgación de vulnerabilidad y el parche la publicación resulta ser el mismo día - > divulgación responsable, y si el lanzamiento del parche está en una fecha posterior - > divulgación completa (o el proveedor superó el plazo de 45 días del CERT, por ejemplo). ¿Pérdida de tiempo? Seguro. ¿Realista? Probablemente no. Pero, ¿serían los resultados precisos en su opinión?

Gracias!

vulnerability disclosure zero-day cve vulnerability-markets

pregunta AleVe 27.06.2016 - 19:42

fuente

2 respuestas

Lea otras preguntas en las etiquetas vulnerability disclosure zero-day cve vulnerability-markets

¿Qué es exactamente una clave en la criptografía? ¿Cómo funcionan las claves SSH? [duplicar]

score 4 · Answer 1

Uno de los métodos que puede usar para crear una línea de base sería ir a sitios como PacketStorm encuentre las últimas 50 vulnerabilidades / vulnerabilidades reveladas , luego averigüe si tienen CVEs emitidos en Mitre . Una línea de base le dará justamente eso, un promedio de línea de base. Hay algunas cosas a tener en cuenta:

No todos los explotadores / vulnerabilidades siempre son revelados por los investigadores o vendedores
No todas las vulnerabilidades / vulnerabilidades terminan teniendo un CVE

En lo que respecta al # 1, tengo CVE emitidos para vulnerabilidades que, aunque el proveedor ha realizado parches, no vi la necesidad de comenzar a escribir revelaciones de vulnerabilidades para enviar a la divulgación completa, bugtraq u otros sitios similares. Esto suele ser por algunas razones 1) Estoy demasiado ocupado para que me molesten 2) No hay una solución y, por lo tanto, no es necesario aumentar el nivel de los ataques (si alguien más lo encuentra) 3) los vendedores pueden ser "difíciles" ' lidiar con. Una vez informé sobre una vulnerabilidad a un fabricante de equipos de redes, y les tomó 2 años arreglarlo. Esto consistió en semanas y horas en las que se me dio tiempo libre para explicar las cosas, volver a probarlas, etc.

En cuanto a sus otros comentarios: "El parche del mismo día" no existe. Cualquier empresa dispuesta a poner un parche en un día lo haría de manera imprudente. Los programadores deben asegurarse de que las aplicaciones heredadas aún puedan funcionar, y las cosas no se rompen con un parche / actualización / corrección. Este es un proceso que consume tiempo, y cualquier empresa de desarrollo de aplicaciones tiene procesos y políticas implementados que siguen rigurosas pruebas / correcciones. En cuanto a la divulgación de '45 días ', esto no está escrito en piedra:

P: ¿Se divulgarán todas las vulnerabilidades dentro de los 45 días? R: No. Allí a menudo pueden ser circunstancias que nos harán ajustar nuestro calendario de publicaciones. Amenazas que son especialmente graves o para las que Tenemos evidencia de explotación probablemente nos hará acortar nuestra calendario de lanzamientos Amenazas que requieren cambios "duros" (cambios a estándares, cambios a los componentes centrales del sistema operativo) nos causarán Para ampliar nuestro calendario de publicaciones. No podemos publicar cada Vulnerabilidad que se nos reporta. enlace

Buena suerte con tu investigación, en el mejor de los casos puedo verte solo obteniendo una línea de base. Hay demasiadas variables, y la salida puede estar contaminada. Por ejemplo: Microsoft, Cisco y otros proveedores de grandes nombres pueden ser considerados "estelares" o "poco atractivos", pero ¿con qué los están comparando? myjoomlasoftware.v1, o myhomebackedGitHubProject2.0? Código abierto, código cerrado, gran proveedor, pequeño proveedor, petprojects, githhub? Estas son cosas a tener en cuenta, cualquiera de las cuales puede sesgar sus datos enormemente.

score 1 · Answer 2

Honestamente realmente depende de la compañía. Cada compañía maneja sus vulnerabilidades de manera diferente, incluso algunos investigadores que siguen el proceso se vuelven locos, como este persona que presentó una error para Instagram .

Para aquellos ingresados a través del programa de recompensas de errores (si tienen uno), generalmente publicarán la información en su sitio o correo electrónico a la cadena de usuarios suscritos al programa. De lo contrario, tendrá que seguir rigurosamente a muchas empresas para obtener esta información.

También puede intentar enviar un correo electrónico a sus equipos para ver si le proporcionan una lista como investigador, dependiendo del nivel de información que necesite, algunos equipos lo harán si está en su cultura, pero muchos lo verán. como Ingeniería Social, y puede negar su solicitud.

También echaría un vistazo a BugCrowd , que proporciona una lista de compañías con programas de recompensas de errores y los enlaces directamente a las páginas correspondientes.

Si alguien ha hecho este trabajo, sería genial, ¡pero es mucha información para considerar tan buena suerte!