Envié anónimamente una vulnerabilidad de seguridad, pero no se resolvió. ¿Ahora que?

9

Esto es más o menos una continuación de mi pregunta anterior: Como estudiante, ¿cómo puedo hacerlo de manera segura y responsable? ¿Revelar un problema de seguridad grave en un entorno escolar?

Más de cuatro meses después de que envié mi carta anónima describiendo este problema de seguridad, verifiqué cuidadosamente si la vulnerabilidad que informé aún existía, y aún existe en su totalidad. Se realizaron algunos cambios de TI no relacionados, pero se han dirigido principalmente al personal (como la introducción de BitLocker).

Entre el momento en que lo reporté y ahora, escuché a un amigo cercano (que venía de una escuela diferente en el mismo distrito que yo) que había reportado un problema de seguridad diferente y que había tratado de reportarlo a su computadora Profesor de ciencias, quien a su vez lo informó al departamento de TI. Sin embargo, en lugar de respetar el anonimato del estudiante, el jefe de informática amenazó al maestro con su trabajo (no se sabe cómo podría llevar a cabo esta amenaza) si no revelaba la identidad del estudiante que encontró la vulnerabilidad de la seguridad y también amenazaba El alumno con acción disciplinaria o arresto. Independientemente de la exactitud de la historia, sentí que hice lo correcto al informar esto a través de una carta escrita de forma anónima e independiente.

Sin embargo, el problema no se ha solucionado en absoluto. La carta se envió a dos departamentos diferentes para garantizar que el problema se escuchara alto y claro y que se realizaría un plan para resolverlo. Pero nada de esto sucedió. De hecho, fue como si una persona leyera la carta y convenciera a la otra para que la tirara.

El exploit sigue siendo peligroso, y en este punto estoy casi seguro de que no soy el único que lo sabe.

Podría enviar otra carta anónima, explicando con más detalle las implicaciones de dejar este exploit a la vista. Pero sería difícil hacer cualquier otra cosa, ya que los amenazaría a tomar medidas "o de lo contrario". Me convertiría en un sombrero gris (er).

No puedo enfatizar lo suficiente la importancia de resolver este problema de seguridad antes de que suceda algo grande. Pero no puedo amenazarlos para que hagan nada, porque eso implicaría mi disposición a cometer delitos. ¿Cuáles son mis opciones?

    
pregunta oldmud0 16.04.2016 - 05:03
fuente

4 respuestas

4

Esto depende completamente de si violaste o no alguna ley o las reglas de la escuela cuando te topaste con el problema.

Si lo encontraste sin violar las reglas

Si no violó ninguna regla (por ejemplo, este es un simple problema de enumeración con una aplicación web y acaba de poner yourID+1 y obtuvo los datos de otros estudiantes) no debería haber ningún problema al revelar esto de forma no anónima.

Tenga en cuenta que especialmente las escuelas reciben muchas amenazas anónimas que, en su mayoría, no son tomadas en serio.

Por lo tanto, su divulgación podría tener una mejor credibilidad con su nombre, y como no rompió ninguna regla, no debería haber ningún problema.

Si esto todavía no funciona, sigue leyendo e ignora las observaciones sobre el anonimato.

Si no está seguro de haber infringido alguna regla

Si hay dudas sobre si esto podría llevar a problemas legales para usted, hay algunas opciones, recomendaría una divulgación responsable .

Después de permitir un período de gracia (que debería incluirse en el informe para asegurarse de que las consecuencias de no solucionarlo sean claras para todas las partes), puede proceder a la divulgación pública del problema.

Hay varios medios para hacerlo; Hay sitios web que aceptan informes de vulnerabilidad y los publican de forma anónima. Pero en su caso, como se trata de una vulnerabilidad más bien localizada, es mejor que se acerque a la prensa.

Con la seguridad de la información global en los medios de comunicación con regularidad, encontrará al menos un periódico local que estaría encantado de publicar el problema general y avergonzar a las personas que antes no respondían en absoluto.

La vergüenza pública es una forma, bastante cruel, media pero eficaz, de convencer a las personas de que tomen una acción que antes no podrían tener.

En la mayoría de las jurisdicciones, la prensa tiene reglas especiales que les permiten garantizar el anonimato de la fuente de información.

    
respondido por el Tobi Nary 16.04.2016 - 12:04
fuente
2

Si el administrador no abordó la falla de seguridad, incluso después de que un alma amable les informara: este es su agujero, no el suyo, señor. Hiciste lo mejor que pudiste, más que la mayoría. He enviado correos electrónicos a los administradores, los buenos dicen gracias, los malos ignoran. No hay que preocuparse, estás tratando de ayudar, eso es todo.

Recuerda, se están pagando, tú no, ¡es un buen trabajo que dijiste algo!

    
respondido por el XeniaAnatop 16.04.2016 - 22:22
fuente
1

Según Google, recomiendan un parche de 90 a 120 días después de revelar la vulnerabilidad. Tendría cuidado si no tiene permiso para "jugar" en la red, ya que esto puede ser ilegal. Suena como algo con lo que te topaste sin buscar vulnerabilidades. Si no recibe respuesta, no la conteste, ya que puede enfrentar problemas legales

    
respondido por el user107699 16.04.2016 - 06:41
fuente
0

¿Qué tan anónimamente reportó la vulnerabilidad? Si no pueden comunicarse con usted de nuevo (por ejemplo, un correo electrónico aleatorio en un proveedor gratuito o en un sistema como mailinator), es posible que haya algunas razones por las que aún no lo hayan abordado, pero no tiene forma de saberlo. usted .

O quizás intentaron reproducirlo pero fallaron (algunas instrucciones fueron ambiguas, solo ocurre cuando se usan ciertas computadoras ...) y no pudieron pedirle más información.

Lamentablemente, es relativamente frecuente que los informes de seguridad requieran numerosos seguimientos por parte del reportero hasta que finalmente se resuelvan (tal vez no sea culpa de su escuela, pueden haber planteado el problema a su proveedor y están esperando para ellos para solucionarlo, a menudo hay varias capas de informes involucradas).

    
respondido por el Ángel 01.07.2016 - 02:52
fuente

Lea otras preguntas en las etiquetas