¿Cómo informo sobre una vulnerabilidad de seguridad sobre una autoridad de certificación confiable? [duplicar]

Tal afirmación es generalmente bastante seria.

Si bien comunicarse con el proveedor en cuestión es un asunto responsable, debe considerar notificar a los equipos de seguridad de la tienda raíz, ya que son responsables de diseñar, evaluar y aplicar los controles de seguridad para evitarlo, y es probable que lo necesiten. para trabajar directamente con la CA para determinar los problemas.

En términos de divulgación responsable, también debe informar esto inmediatamente a cada uno de los principales operadores de tiendas raíz: Google, Microsoft, Apple, Mozilla. Simplemente busque " <vendor> informe de error de seguridad", y el primer resultado le dirá. Estos son solo algunos de los proveedores afectados, por ejemplo, no solo la CA

Si no está seguro de cómo hacerlo, desea permanecer en el anonimato o necesita ayuda con la coordinación, el equipo de seguridad de Chromium estará encantado de investigar, comunicarse con la AC correspondiente y coordinar con la industria en general. Consulte enlace para obtener más información.

Parece que tu problema es que esta vulnerabilidad es más grande de lo que sabes con qué hacer.

Las reglas de divulgación responsable, como se describe aquí , diga que debe ponerse en contacto con el proveedor y negociar un período de tiempo. - entre 1 semana y 6 meses, dependiendo de la profundidad de los cambios requeridos, en los que pueden implementar un parche, revocar y volver a emitir certificados, publicar boletines de seguridad, etc., antes de hacer públicos sus hallazgos. La intención es que al final del período negociado recibas tu reconocimiento público, pero tu público no puede hacer más daño, si el proveedor ha hecho su trabajo correctamente.

Si descubrir cómo ponerse en contacto con ellos / negociar un período de divulgación responsable, publicar sus resultados al final, etc., es demasiado grande para usted, o no sabe cómo comenzar, entonces le sugiero que se comunique y asociarse con un conocido investigador de seguridad que ya ha establecido canales de publicación. ¡Encuentra un nombre grande que ya haya publicado vulnerabilidades similares y llámalos! Parece que no tendrás ningún problema para llamar su atención.

También felicidades! ¡Espero ver su nombre en un papel en 6 meses!

¡Felicitaciones! Suena como un hallazgo importante.

Primero, genera alguna prueba. El certificado SSL de github.com suena como un gran comienzo. Asegúrese de mantener todos los rastros de red que necesita para mostrar exactamente lo que sucedió.

Debe determinar si infringió alguna ley o T & Cs al hacer esto. Si la CA no tiene una recompensa de errores, es casi seguro que la tuviste. En ese caso, es importante que permanezca en el anonimato. Una de las preocupaciones aquí es que es posible que ya haya revelado su identidad durante las pruebas. Por ejemplo, probablemente tuvo que pagar por ese certificado; como hiciste el pago Si ya ha infringido la ley de forma no anónima, esto prácticamente descarta cualquier táctica de brazo fuerte contra la AC.

Si bien es recomendable que te comuniques con la AC, ten en cuenta que tienes la posibilidad de vender esta vulnerabilidad. Esto potencialmente valdría $ 100,000 de una organización como vupen. Depende de usted cómo se siente al respecto.

Si desea divulgar información, puede hacerlo usted mismo, pero estoy de acuerdo con la recomendación de Mike de contactar a un investigador establecido. Creo que podrías apuntar un poco más alto que un investigador universitario. Una celebridad como Bruce Schnier o Dan Kaminsky estaría interesada en esto. Tendría que confiarles los detalles y utilizar su peso para que el problema se tome en serio.

En lo que respecta a CloudFlare para obtener una vista temprana de HeartBleed, esta es una práctica estándar para las principales vulnerabilidades: los proveedores clave reciben una alerta temprana. Pero eso viene mucho más tarde en el proceso. En el caso de HeartBleed, después de que los parches se hubieran desarrollado (pero no se hubieran lanzado públicamente). No estoy seguro de cómo se aplicaría a esta vulnerabilidad. Parece que cada certificado emitido por la CA ahora es sospechoso.

Lo que elijas hacer, ¡buena suerte!

Cuando no esté seguro, también puede ponerse en contacto con CERT: enlace

Tienen experiencia en tratar incluso con vulnerabilidades de seguridad muy graves, y en general se les considera una parte confiable. Al menos, pueden confirmar que su evaluación de la vulnerabilidad es correcta y documentar su parte para encontrarla.

Aunque CERT generalmente le aconseja que contacte al proveedor, para un caso tan grande como este, estoy seguro de que ofrecerían asistencia.

Ryan Sleevi tiene muy buenos consejos al respecto.

Antes de hacer sonar demasiadas alarmas, me pondría en contacto con el Equipo de seguridad de Chromium como me ha recomendado, solo para asegurarme de que no esté malentendido.

¿Ha comprobado su vulnerabilidad con los Requisitos de referencia del Foro CAB para ver si la ejecución de su vulnerabilidad rompe esas reglas: enlace ?

Por ejemplo, conozco una práctica de emisión que parece coincidir con su resumen, pero AFAIK es totalmente válido y no es una vulnerabilidad a los ojos del Foro CAB. Se puede generar un certificado para un subdominio sin tener control sobre la raíz. Es decir. puede obtener un certificado para test.google.com sin tener que demostrar el control sobre google.com.

Le recomendaría que obtenga documentación y una demostración de la vulnerabilidad, ya que la conoce. Idealmente, si puede hacer que un tercero lo verifique en su totalidad, quien haya leído la situación.

Para evitar problemas de integridad o el rechazo por parte del proveedor de los consejos sobre la vulnerabilidad en su contra, se necesitan pruebas adicionales mediante demostración / ejecución. Ya que estamos tomando un certificado relacionado, capturar una cadena de certificados que demuestre que la falla sería ideal. Por supuesto, cualquier captura de sesión que muestre la vulnerabilidad en acción es útil.

Sin la revelación completa, estoy adivinando qué prueba necesitas de todos modos. Lleve la prueba de la documentación del exploit y colóquela en lugares visibles públicamente como GitHub, Pastebin, listas de correo electrónico. Esto bloquea la incapacidad de repudiar si su evidencia es sólida.

El problema restante es la identidad y la comunicación con el proveedor y el público. No me molestaré en no revelar la revelación de tu identidad personal, depende de ti. Las comunicaciones, si desea estar a la mano y prepararse para arruinar o no actuar con experiencia en el caso, digamos que todo explota o se desvía, puede hacer el contacto.

También puede buscar representación, ya sea de la comunidad, EFF o al menos su abogado. Se recomienda que alguien proteja sus intereses y piense detenidamente antes de aceptar la ayuda de la industria de una empresa en su capacidad comercial. Estoy seguro de que la comunidad aquí puede recomendar algunas opciones de representación si solicita tales consejos.

Se podría escribir un libro completo sobre este conjunto de temas, he tratado de mantenerlo corto y fuera de TLDR; territorio.

También en una nota lateral, gracias por el tiempo que ha pasado descubriendo esta vulnerabilidad potencial. Es muy necesario.

Los proveedores de sistemas operativos y navegadores pueden ser un buen lugar para informar sobre dicha vulnerabilidad, ya que administran las listas de CA raíz. Aquí hay algunos enlaces relevantes:

• www.google.com/about/appsecurity/
• www.mozilla.org/en-US/about/governance/policies/security-group/bugs/
• www.apple.com/support/security/
• technet.microsoft.com/en-us/security/ff852094.aspx