¿Cómo anunciar ampliamente una amenaza importante fija en el software de código abierto de uso general?

6

Hace 6 meses, encontré un búfer desbordamiento git que tiene el mismo impacto que esta vulnerabilidad (con la excepción de que permite la ejecución del código del lado del servidor) . Se le asignaron varios cve y se corrigió completamente en sentido ascendente.

Sin embargo, 2 meses después de la solución de flujo ascendente, los detalles del Cve aún no se han publicado y casi ninguna distribución de Linux ha actualizado su rama estable.
Incluso me di cuenta de que wikimedia gerrit y bitbucket.org todavía eran vulnerables la semana pasada (advertí a las personas apropiadas y se resolvió en wikimedia) .

Definitivamente no puedo llevar la información a todos los proveedores. Sé que puede tardar años en ser publicado. Pero definitivamente no da la noticia como cve-2014-9390 .

¿Cómo publicitarlo ampliamente para que las personas y las distribuciones de Linux reparen sus máquinas?

    
pregunta user2284570 14.03.2016 - 16:04
fuente

2 respuestas

4

Lamentablemente, no existen reglas estrictas y rápidas sobre este tipo de problemas y, con el uso tan amplio de bibliotecas y componentes de código abierto, es inevitable que algunas empresas no se actualicen incluso después de un largo período de tiempo (por ejemplo, los servidores de 200.000 aún son vulnerables a Heartbleed un año después del lanzamiento )

En términos de lograr que las personas presten atención y parches, desafortunadamente todavía parece que la única forma es publicar información sobre vulnerabilidades de manera amplia y pública, después de un período de notificación privado adecuado.

Exactamente cuánto tiempo desea tener para ese período es una cuestión de debate, con personas que van desde 0 días hasta muchos meses.

Tal vez una guía decente sería seguir la Política de divulgación responsable del Cert, que se publicará después del 45 días.

Desde la línea de tiempo que describe suena como si ya hubiera pasado ese punto, así que si desea ver a más personas que prestan atención, la mejor manera puede ser escribir una publicación de blog que describa el problema y su posible impacto y que circule. ampliamente.

Si bien puede parecer cínico sugerir esto, en términos de que las personas presten atención, comercializar la vulnerabilidad puede ser la mejor manera de hacerlo. Si te fijas en las vulnerabilidades recientes que reciben publicidad, la mayoría tiene un nombre pegadizo ("Ahogamiento", "Sangrado del corazón", etc.) y los resúmenes explican en términos bastante claros el posible impacto. Entonces es un caso de que sea recogido en las redes sociales (twitter, reddit, etc.) y comience a circular entre la comunidad de InfoSec.

    
respondido por el Rоry McCune 14.03.2016 - 16:19
fuente
-1

Es un cuento de hadas obvio sobre CVE, CERT y demás "equipos / agencias de evaluación de vulnerabilidad". Y si tales preguntas siguen aumentando, siento que debo dividir tus ilusiones en piezas de vidrio muy pequeñas y afiladas ...

Recuerde: hay NO tales como equipos / agencias de evaluación de vulnerabilidad colectiva como CVE, etc. ¿Por qué? Demasiadas agencias gubernamentales están en necesidad vital de las vulnerabilidades de tipo puerta trasera para que existan, para que puedan entrar ilegalmente y sigilosamente . Recuerda muchas historias como las cancelaciones de discurso de BlackHat, demanda contra una persona que encontró una puerta trasera en TODOS Cisco , Edward Snowden simplemente siguió la ley suprema de su país, la Constitución de los EE. UU., Y ahora se encuentra en la lista de "los más buscados". Y estas son las cosas más ruidosas, hay muchas más, simplemente no las menciono aquí, pero puedo agregar alguna información si la solicito.

Incluso siendo atrapado - las agencias gubernamentales están haciendo cumplir y cubriendo a sus compañeros del crimen, como The Hacked Team. Sí, su malware se abrió y se abrió por una fuga. También se detectó un Bundestrojan (er) y se mostró al público. .. ¿Cuántos antivirus están detectando precisamente el malware actual? incluso teniendo en cuenta un lapso de tiempo entre el momento en que realmente se encontraron y se llevaron al público

¡Despierta! La única forma de mostrar que algo está mal es decir lo más fuerte que pueda para llegar a una audiencia más amplia al que pueda llegar. Con todas las pruebas, ejemplos de código e.t.c. Solo entonces no se divulgará de forma silenciosa y algunos pasos reales estarán en orden por Vox populi . Es la única manera en la actualidad, y es con eso con lo que luchan los gobiernos: prepárese, si se atreve;)

    
respondido por el Alexey Vesnin 15.03.2016 - 15:01
fuente

Lea otras preguntas en las etiquetas