Ética y publicación de investigaciones sin una solución viable [duplicar]

Bueno, hay un par de aspectos a considerar aquí, como se ha dicho, no hay una respuesta clara.

Por un lado, has identificado correctamente los riesgos de la divulgación pública sin una solución fácil, que es que los atacantes pueden aprovechar el problema.

Sin embargo, también existen riesgos si no se libera públicamente. Por ejemplo, es totalmente posible que otras entidades ya hayan descubierto y estén explotando el problema que ha encontrado. Al publicar, entonces estaría nivelando el campo de juego permitiendo a los defensores idear soluciones y mitigaciones, algo que probablemente no puedan hacer sin detalles sobre el tema.

Además, aunque puede que no haya una solución, hablando en términos generales, existen otras mitigaciones que se pueden aplicar a la mayoría de los problemas técnicos de seguridad una vez que se conocen (por ejemplo, monitoreo adicional de hosts, bloqueo de sistemas de ataque), etc.

Lo que podría querer hacer es ponerse en contacto con una agencia para discutir el problema y ver cómo involucrar a la industria / técnicos apropiados para analizar la divulgación coordinada. Si nos fijamos en algunos de los problemas de impacto más importantes que han surgido en los últimos años, este es generalmente el mejor enfoque.

En cuanto a con quién contactar, una opción sería hablar con alguien como CERT que está acostumbrado a coordinar la divulgación de cuestiones.

Éticamente, debes guiarte por el camino que cause el menor daño. Lo más probable es que signifique que debe divulgar la información de manera responsable . Solo en un mundo en el que eres más inteligente que todos los demás es probable que el silencio limite los daños.

Mi opinión es que la divulgación de la información hace el menor daño porque:

1. No puede asumir que es la única persona lo suficientemente inteligente como para encontrar este problema. Además, es razonable suponer que las probabilidades de que alguien más lo descubra y sea malicioso son mayores de lo que no son malintencionados.
2. Del mismo modo, usted dice que es difícil o imposible parchear, pero exponer el problema a un número mayor de ojos aumenta la posibilidad de que alguien diseñe un parche o un control de compensación que reduzca razonablemente el riesgo.

La divulgación responsable generalmente significa ponerse en contacto con el propietario primero y pasar a un anuncio público si no está dispuesto o no puede abordar el problema dentro de un período de tiempo razonable.

A pesar de que nunca publiqué ninguna investigación de tal importancia, de vez en cuando pongo algunos pensamientos sobre este tema en particular. Esta es mi opinión sobre las cosas:

Primero que nada: no hay solución / respuesta correcta a esta pregunta. Por la naturaleza de la ética, se opone.

Siempre se producen errores y fugas de seguridad. Los desarrolladores de software hacen todo lo posible por evitarlo, pero el error humano siempre aumenta. Saber sobre un tema es mejor que lo contrario. Si la gente conoce la falla de seguridad que encontró, puede dejar de usar la tecnología afectada y pasar a una alternativa (que posiblemente sea más segura de usar). Si la gente no lo supiera y alguien con intenciones maliciosas descubre la falla, el daño será mucho mayor que si las personas pueden realizar percusiones.

Si estuviera en tu posición, lo liberaría.