¿Cómo informar una vulnerabilidad de seguridad que involucra a varias empresas no relacionadas?

8

Mientras participaba en un programa de recompensas de errores, me topé con un problema que provocaba una vulnerabilidad de seguridad cuando se explotaba con otros problemas en productos no relacionados.

Todos esos problemas no son vulnerabilidades de seguridad per se, pero se convierten en una sola cuando se combinan. Ninguno de los problemas es más crítico que los demás.

Me gustaría que se corrigiera esa vulnerabilidad, por lo que planeo informarla a los proveedores.

Siguiendo las pautas de divulgación responsable, cada informe no debe contener información sobre los problemas de los otros proveedores, pero me temo que todos los proveedores rechazarán el informe, explicando que su problema es el comportamiento esperado.

Cada proveedor tiene un programa de seguridad y un equipo de seguridad competente. El único problema es comunicar el impacto de los problemas a cada uno de ellos.

¿Cuál sería la mejor manera de manejar este problema?

    
pregunta Benoit Esnard 05.03.2018 - 23:45
fuente

2 respuestas

4

Comunicaciones iniciales

El primer paso aquí es contactar a los equipos de seguridad individualmente. Hágales saber que son parte de un panorama más amplio, pero que no quiere dar a conocer la lista de compañías involucradas. Es importante que pongas todos los detalles que puedas sin nombrar a las empresas, por lo que no debes dejar de ser demasiado vago.

También es importante dejar claro en su mensaje que si cada empresa hace su parte, este problema se resolverá por completo. También puede valer la pena preguntar a la compañía en esta etapa si están o no felices de que se les nombre en un informe más detallado, para que puedan trabajar entre sí de manera más transparente.

Reúne respuestas

Ahora tendrá que esperar la respuesta de cada equipo y evaluar cuántas respuestas "no solucionará" que obtiene. Si las compañías están dispuestas a ser informadas una de la otra, debe poder estar seguro de que los equipos de seguridad estén dispuestos a realizar una nueva asignación de prioridades según la nueva información. De lo contrario, es posible que tenga que generar algún subconjunto del informe para las compañías que están felices de ser nombradas.

En cualquiera de sus mensajes, puede indicar que ha podido obtener la información requerida para los pasos faltantes utilizando otras compañías que preferirían no ser nombradas.

Aside

También puede querer ver la forma en que se manejaron los KRACK Attacks (por ejemplo) con proveedores para ver cómo los problemas independientes del proveedor se han manejado en el pasado.

    
respondido por el JonRB 06.03.2018 - 02:17
fuente
4

Involucre a un tercero de n-th th confiable.

Si bien el enfoque de JonRB puede funcionar, involucrar a otra parte confiable, como un CERT nacional o transnacional, puede acelerar el proceso y llevarlo al resultado deseado.

Hemos visto en el pasado, que las grandes empresas no reaccionaron adecuadamente a los informes de errores / vulnerabilidades importantes en sus productos. Las empresas en cuestión tampoco reaccionaron en absoluto, no intentaron desarrollar una solución o, a veces, el problema se perdió en un gran laberinto corporativo. En última instancia, esto llevó a los investigadores a publicar vulnerabilidades por su cuenta para presionar a los proveedores.

Cuando involucra a otro de confianza como un CERT, puede estar relativamente seguro de que las compañías afectadas se darán cuenta de la gravedad del asunto y manejarán el problema con cierta atención.

Sin embargo, asegúrese de confiar en la parte que planea involucrar. Si las compañías involucradas están basadas en diferentes países, probablemente no haya una sola entidad con autoridad sobre todos ellos. Afortunadamente, la mayoría de los CERT más grandes del mundo trabajan juntos y están (algo) organizados .

    
respondido por el Tom K. 06.03.2018 - 14:20
fuente

Lea otras preguntas en las etiquetas