Qué hacer con las compañías que se niegan a arreglar sus vulnerabilidades de seguridad

9

Mientras escribía software para una plataforma de aplicaciones desarrollada por una compañía de terceros, encontré una vulnerabilidad de seguridad en el código del marco que podría permitir que un código sin privilegios realice una escalada de privilegios no autorizada a través de una vulnerabilidad en una solución de espacio aislado.

He notificado a la compañía el problema de seguridad e incluso he desarrollado un parche para el problema en menos de una semana y la compañía aún no ha publicado una actualización del producto para corregir esta vulnerabilidad.

Esta compañía ha vendido actualmente más de 40 millones de copias de este producto, y después de varias semanas, todavía no se ha solucionado esta vulnerabilidad. ¿Qué debo hacer para que las personas tomen conciencia de esta vulnerabilidad y qué pueden hacer para protegerse sin darles a los "tipos malos" las herramientas que podrían usarse para atacar la plataforma? ¿Hay algo que pueda hacer para convencer a la compañía de lanzar una actualización de seguridad más rápido?

¿Cuáles son las mejores prácticas en la industria de la seguridad para este tipo de situación (nota: soy un desarrollador de software, no un experto en seguridad de TI)?

    
pregunta IDWMaster 05.12.2012 - 04:26
fuente

4 respuestas

7

Honestamente, algunas personas necesitan una llamada de atención antes de asumir la responsabilidad de sus errores.

Dale a la compañía un tiempo establecido, como un mes a partir de hoy para lanzar un parche. Si no cumplen, publique información sobre la vulnerabilidad en la Lista de correo de divulgación completa . Al no hacer pública esta información, se arriesga a que el crimen organizado descubra esta falla y la explote con fines de lucro.

(Odio decirlo, pero ya le ha dado a un atacante suficiente información para encontrar esta vulnerabilidad. No hay muchas plataformas con 40 millones de ventas ... El reloj no se detiene).

    
respondido por el rook 05.12.2012 - 06:31
fuente
4

Puedes hacer una línea de tiempo
En primer lugar, pueden estar trabajando en la prueba y en la implementación de una solución. Antes de hacerlo público, es posible que desee hacerles saber su línea de tiempo y ver si responden. Es posible que estén más dispuestos a comunicarse si tienen un incentivo para hacerlo.

Puedes ser vago
Su típico "sombrero negro" no es tan brillante como él quiere que aparezca. Como regla general, la mayor parte del mundo anti-seg se basa en un código de prueba de concepto ya hecho para construir sus exploits. Si es lo suficientemente inteligente como para escribir un exploit desde cero, entonces probablemente venderá el código a una organización criminal en lugar de publicarlo en un exploit-db. Eso es malo en que los realmente los malos tienen el código, pero bueno en que su promedio de script-kiddie no lo tiene.

Como tal, a veces los investigadores de seguridad publicarán detalles de vulnerabilidad en términos tan vagos como para dificultar que un programador no calificado cree un exploit, pero fácil para un programador experto detectar el error. Típicamente esto te compra unas pocas semanas; alguien va a escribir un código POC eventualmente.

Puedes hacerlo
Existe la opinión bastante común de que si puede integrarse en herramientas de seguridad de sombrero blanco lo más rápido posible (por ejemplo, crear un complemento de nessus, etc.), entonces está ofreciendo la mejor protección en general. El código de sombrero negro es inevitable una vez que el exploit es comúnmente entendido. Pero al menos puedes darle ventaja a los defensores.

    
respondido por el tylerl 05.12.2012 - 07:09
fuente
4

Además de la excelente guía de Rook y tylerl, ¿está seguro de que tiene el contacto correcto en la empresa?

Las grandes empresas pueden ser inútiles para pasar información internamente, o incluso saber a quién pasarla, así que asegúrese de enviar la información al equipo correcto.

Considere enviarlo a una audiencia más amplia en esa compañía: haga su investigación; google para los contactos adecuados. Esto podría incluir el CIO o CISO, o incluso los directores de marketing, etc.

    
respondido por el Rory Alsop 05.12.2012 - 10:10
fuente
2

Estoy empezando a preocuparme mucho por la divulgación (donde vivo) porque hay más y más casos de acción legal que están siendo llevados a cabo por investigadores de seguridad calificados con espíritu público como nosotros.

Las opciones son:

  1. Divulgue de forma anónima a uno de los sitios web de divulgación pública
  2. Si tiene un contacto en la organización que conoce y en el que confía (por ejemplo, un administrador de cuentas), explíquele el problema y pídale que se haga cargo del problema. Asegúrese de que no tenga cláusulas de anti-piratería / deconstrucción en su licencia / contrato (muchos de los nuestros sí)
  3. Utilice un sitio de divulgación pagado de terceros como Exodus Intel, Netraguard, etc.
  4. Como @Rory anterior, utilícelo como punto de negociación cuando negocie la tarifa anual de servicio / mantenimiento para su organización. La tarifa suele ser entre el 18% y el 25% del precio original y la empresa debería estar trabajando para ganarlo.

He dejado de revelar públicamente; en parte porque la ley en Escocia (donde vivo) lo convierte en un delito penal,

    
respondido por el Callum Wilson 05.12.2012 - 13:07
fuente

Lea otras preguntas en las etiquetas