Cómo fomentar la divulgación responsable (y reaccionar adecuadamente de lo contrario)

Navega tus respuestas
10

Como un programador concienzudo, pongo la seguridad como uno de los requisitos básicos de cada producto que desarrollo. Para evitar la introducción de fallas, promuevo una cultura de concientización (p. Ej., Me aseguro de que los miembros del equipo con los que trabajo conozcan los tipos de vulnerabilidad comunes), me actualizo leyendo regularmente sitios especializados (p. Ej. The H Security o blog de Dan Kaminsky ), tenga cuidado con los errores comunes (y discútalos si es necesario) mientras realiza revisiones de código.

Sin embargo, todos sabemos que, según la Ley de Murphy, aparecerá un error de seguridad (tarde o temprano). Mis (preguntas estrechamente relacionadas) son:

  1. ¿Cómo puedo promover la divulgación responsable de las vulnerabilidades de seguridad encontradas por los investigadores ? Es decir, ¿cómo puedo animarlos a colaborar conjuntamente conmigo, no divulgar detalles hasta que se prepare una solución, y al mismo tiempo garantizar que se sientan respetados por su arduo trabajo y obtengan el crédito que merecen?
  2. En caso de que alguien tome la ruta de divulgación completa, ¿cómo puedo reaccionar? ( recibir una alerta de la vulnerabilidad tan pronto como sea posible y luego tomar las medidas de mitigación adecuadas ) de la manera más oportuna y efectiva?

En este momento, he pensado en:

  • asegurándose de que un contacto de seguridad esté claramente listado en mi sitio web
  • utilizando Detalles de CVE para obtener un feed para mis productos si se publican allí
  • también siguiendo las listas de correo de seguridad ( vea esta respuesta de Seguridad de TI )
  • garantizando que los parches se preparen rápidamente
  • se está comunicando constantemente con el (los) informador (es) de errores, actualizándolos a medida que avanza el progreso
  • acreditar públicamente a la investigadora (s) por su descubrimiento
  • permitir la divulgación completa algún tiempo después de la publicación de los parches (para permitir que los clientes afectados los instalen)

(Soy parte de un pequeño equipo en una especie de startup, por lo tanto, mi curso de acción no está limitado por problemas de gestión. Sin embargo, todavía creo que cualquier consejo que proporcione puede aplicarse a otras situaciones también .)

    
pregunta Alessandro Menti 19.06.2013 - 13:18
fuente

1 respuesta

7
  

¿Cómo puedo promover la divulgación responsable de las vulnerabilidades de seguridad encontradas por los investigadores? Es decir, ¿cómo puedo animarles a colaborar conjuntamente conmigo, no divulgar detalles hasta que se prepare una solución, y al mismo tiempo garantizar que se sientan respetados por su arduo trabajo y obtengan el crédito que merecen?

Creo que estás en el camino correcto hasta ahora con este punto. Lo más importante es tener una forma fácil para que los investigadores de seguridad se comuniquen con usted sobre fallas de seguridad. Mantenerlos involucrados en el proceso de corregir el error es simplemente ser educado. Si el error es lo suficientemente grave y puede permitírselo (lo que podría no aplicarse a usted ya que es una empresa nueva, ofrezca a los investigadores un error generosidad por sus esfuerzos).

Lo peor que puedes hacer es ser grosero con los investigadores e ignorar sus esfuerzos para trabajar contigo para solucionar los errores. Consulte este caso muy hilarante.

  

En caso de que alguien tome la ruta de divulgación completa, ¿cómo puedo reaccionar (ser alertado de la vulnerabilidad lo antes posible y luego tomar las medidas de mitigación adecuadas) de la manera más oportuna y efectiva?

También estás en el camino correcto para esto. No creo que exista un método más eficaz para descubrir revelaciones completas sobre las vulnerabilidades de su software, además de monitorear las diversas bases de datos de vulnerabilidades disponibles. Es posible que desee ver cómo suscribirse a las fuentes que dichas bases de datos eliminan y usar un filtro de expresiones regulares para ordenar información irrelevante.

Si alguien hace algo como esto, diría que lo más importante que debe hacer es mantener informados a sus clientes . Puede sentir que esto afectaría negativamente su reputación, pero confíe en mí, sería mucho peor si sus clientes son pirateados como resultado de su software.

Manténgalos actualizados sobre el progreso de la solución. Si no es posible una solución oportuna, sugiera métodos alternativos para mitigar el daño.

    
respondido por el Ayrx 19.06.2013 - 14:28
fuente

Lea otras preguntas en las etiquetas

¿Cómo almacenar las contraseñas de forma segura en mi servidor? ¿Cuáles son los usos prácticos de las claves asimétricas grandes?