Cómo alentar a mi ISP a usar una mejor seguridad

0

Un día, estaba jugando con la configuración de mi enrutador. Como resultado pude ver la configuración del TR-069. Pude ver que el servidor de actualizaciones estaba usando el protocolo HTTP, en lugar de HTTPS. Esto me hizo preocuparme por la seguridad de mi enrutador. Desde Defcon 22 ( enlace ) Sé que TR-069 debe usarse junto con el protocolo HTTPS, para minimizar el riesgo de ataques. He deshabilitado mi TR-069 en mi enrutador para no ser vulnerable.

Sin embargo, hoy recibí un correo electrónico de mi ISP, que me pide que formatee mi enrutador con el botón de reinicio en la parte posterior. Si bien el correo electrónico no explica por qué es necesario, espero que se deba a que TR-069 está deshabilitado. Por ahora ignoré el correo electrónico, sin embargo, si mi ISP requiere que tenga habilitado el TR-069, al menos quiero estar seguro de que esas cosas no pueden poner en riesgo mi seguridad.

Mi pregunta es ¿cómo puedo alentar a mi ISP a usar una mejor seguridad?

Como nota al margen, me gustaría señalar que vivo en el Reino Unido y no me gustaría tener ningún problema.

    
pregunta vakus 15.12.2016 - 22:29
fuente

3 respuestas

3
  1. Dígale a su ISP sobre el problema. Es poco probable que haga algo, pero debe hacerlo por razones éticas antes de dar los siguientes pasos.

  2. Después de que te hayan ignorado durante unas semanas, informa el problema a cualquier sitio web de noticias orientado a la tecnología que sea popular en tu ubicación para que puedan avergonzarlo.

  3. Si los sitios web no están interesados en publicar la historia, o si el ISP no considera que valga la pena, incluso después de que se avergonzaron públicamente, busque un ISP diferente.

respondido por el Philipp 15.12.2016 - 22:50
fuente
1

La pregunta clave es si usted posee legalmente el enrutador. Si no lo hace, entonces está infringiendo la ley en el Reino Unido al cambiar su configuración para bloquear el ISP. Es una situación / ley absurda y es poco probable que un ISP presente cargos, pero es un camino que realmente no quieres seguir. Si el enrutador no es tuyo, hay formas más seguras de que el ISP se comporte.

Dígale al ISP sobre el problema. Es poco probable que consiga que alguien en su centro de llamadas entienda lo que les está diciendo, así que hágalo por escrito y solicite una respuesta por escrito. Si no obtiene una respuesta satisfactoria, puede remitir el asunto al ombudsman de telecomunicaciones. En este punto, más personas que no entienden de tecnología intentarán resolver los problemas. Un curso de acción más efectivo en esta etapa sería nombrar y avergonzar al ISP.

    
respondido por el symcbean 15.12.2016 - 23:10
fuente
1

Supongamos que te comunicas con tu ISP y te dan la hora del día para explicarte la situación.

Supongamos también que no solo entienden los puntos técnicos, sino que también están de acuerdo con usted en que se debe hacer algo.

Es probable que no esté hablando con la persona que puede hacer la llamada final en ese ISP. Y, por mucho que lo intente usted y su nuevo compañero de ISP, es probable que encuentre resistencia a cualquier cosa que cueste tiempo y dinero por parte de las empresas, a menos que tenga una razón verificable y convincente para hacerlo que esté respaldada por evidencia y ejemplos en una forma no técnica.

Diríjalos hacia consecuencias de lo que podría suceder si no toman en serio esta vulnerabilidad. Sin embargo, evitaría enviarles algo demasiado técnico. No se puede asumir que la persona que llega a hacer la llamada es técnica en absoluto. Sin embargo, podría presentar un argumento convincente de que sería malo para los negocios ver el nombre de su ISP en Internet como resultado de ayudar al próximo enjambre masivo de botnets.

Una cosa a tener en cuenta es que su ISP no es único en no usar HTTPS:

  

... las pruebas realizadas por Tal y sus colegas revelaron que alrededor del 80 por ciento de las implementaciones en el mundo real no utilizan conexiones cifradas. Incluso cuando se usa HTTPS, en algunos casos hay problemas de validación de certificados, y el equipo del cliente acepta certificados autofirmados presentados por un ACS. Esto le permite a un atacante "man-in-the-middle" hacerse pasar por el servidor ACS.

Debes convencerlos de que sean unos de los pocos que deben hacer lo correcto, en lugar de estar entre las masas haciendo lo incorrecto.

    
respondido por el R. Murray 16.12.2016 - 01:41
fuente

Lea otras preguntas en las etiquetas