Come posso segnalare una vulnerabilità di sicurezza relativa a un'autorità di certificazione attendibile?

136

Mi sono imbattuto in un'enorme vulnerabilità di sicurezza in un'autorità di certificazione che è considerata affidabile da tutti i browser e i computer moderni.

In particolare, sono in grado di ottenere un certificato firmato valido per un dominio che non possiedo. Se avessi i mezzi per diventare un uomo nel mezzo, sarei in grado di presentare un certificato ssl perfettamente valido.

Questa vulnerabilità non richiedeva iniezioni o codici SQL da parte mia. In senso figurato mi sono imbattuto in esso.

Qual è il modo corretto per segnalarlo? Voglio essere etico e riferirlo alla CA incriminata, ma non voglio che risolvano semplicemente la vulnerabilità e poi spazzino tutto sotto il tappeto. Sembra che questo problema ci sia stato da un po 'e non sono abbastanza intelligente da essere l'unico in grado di trovarlo.

Sono preoccupato che il solo contatto con la CA causerà il panico da parte loro e, temendo un incidente simile a DigiNotar, farà di tutto per impedire al pubblico di scoprirlo.

Sono autorizzato a contattare anche alcuni dei principali attori, come altre autorità di certificazione o altri siti come CloudFlare o Google? (So che CloudFlare è stato informato su HeartBleed prima che l'annuncio pubblico fosse pubblicato.)

Nota: sto postando con un account psuedonym per (provare a) rimanere anonimo per ora.

Modifica: questa domanda è relativa a un'altra domanda , ma ritengo che questa vulnerabilità non rientri nell'ambito di questa domanda. Ciò potrebbe influire essenzialmente sull'intera internet (cioè tutti i clienti online sono clienti), e la mia domanda afferma esplicitamente che semplicemente contattare lo "sviluppatore" (la risposta accettata per la domanda collegata) non sembra il miglior primo passo per me. / p>

Modifica 2: sono entrato in contatto con alcune persone e mi hanno consigliato di evitare di parlare ulteriormente su questo forum (scusate ragazzi!). Aggiornerò questa domanda più tardi, dopo che la vulnerabilità è stata completamente risolta e tutti i certificati non corretti sono stati revocati.

Modifica 3: i dettagli sono fuori. Ho pubblicato ulteriori informazioni su my sito personale sulle specifiche della vulnerabilità. La storia è ancora in corso e puoi leggere la discussione tra Mozilla , Google e CA WoSign.

Modifica 4: Come promesso, sto aggiornando con un link a un articolo scritto da Ars Technica riguardante questo e altri incidenti che coinvolgono WoSign. Sembra che WoSign e StartCom (ora di proprietà della stessa azienda) potrebbero essere in serio pericolo di revoca della root.

    
posta MotorStoicLathe 10.06.2015 - 15:56
fonte

8 risposte

44

Tale affermazione è generalmente abbastanza seria.

Mentre contattare il fornitore in questione è un problema responsabile, dovresti certamente prendere in considerazione la notifica ai team di sicurezza del root store, dal momento che sono responsabili della progettazione, della valutazione e dell'applicazione dei controlli di sicurezza per prevenire ciò e probabilmente avranno bisogno lavorare direttamente con la CA per accertare i problemi.

In termini di divulgazione responsabile, devi anche segnalarlo immediatamente a ciascuno dei principali operatori di root store: Google, Microsoft, Apple, Mozilla. Cerca solo " <vendor> bug di sicurezza dei report" e il primo risultato lo dirà. Questi sono solo alcuni dei fornitori interessati, ad es. non solo CA.

Se non sei sicuro su come farlo, se desideri rimanere anonimo o se hai bisogno di assistenza per il coordinamento, il team di sicurezza di Chromium è lieto di indagare, contattare la CA appropriata e coordinarti con l'industria più ampia. Vedi link per i dettagli.

    
risposta data 10.06.2015 - 18:00
fonte
70

Sembra che il tuo problema sia che questa vulnerabilità è più grande di quanto tu sappia cosa fare con.

Le regole di divulgazione responsabile, come descritto qui , affermano che è necessario contattare il fornitore e negoziare un periodo di tempo - tra 1 settimana e 6 mesi, a seconda della profondità delle modifiche richieste - in cui possono implementare una patch, revocare e riemettere i certificati, pubblicare bollettini sulla sicurezza, ecc., prima di rendere pubblici i risultati. L'intenzione è che alla fine del periodo negoziato tu ottenga il tuo riconoscimento pubblico, ma il tuo pubblico non può fare più danni - se il venditore ha fatto il proprio lavoro correttamente.

Se capisci come contattarli / negoziare un periodo di divulgazione responsabile, pubblicare i risultati alla fine, ecc., è troppo grande per te, o non sai come iniziare, quindi suggerisco di contattare e collaborando con un noto ricercatore di sicurezza che ha già stabilito canali di pubblicazione. Trova un nome importante che abbia già pubblicato vulnerabilità simili e chiamale! Sembra che non avrai problemi a ottenere la loro attenzione.

Congratulazioni anche a te! Non vedo l'ora di vedere il tuo nome su un documento in 6 mesi!

    
risposta data 10.06.2015 - 16:37
fonte
25

Congratulazioni! Sembra una scoperta importante.

In primo luogo, genera delle prove. Il certificato SSL github.com sembra un ottimo inizio. Assicurati di conservare tutte le tracce di rete necessarie per mostrare esattamente cosa è successo.

Devi determinare se hai violato qualsiasi legge o T & C; C mentre lo fai. Se la CA non ha una taglia del bug, quasi certamente lo hai fatto. In tal caso, è importante rimanere anonimi. Una preoccupazione qui è che potresti aver già rivelato la tua identità durante il test. Ad esempio, probabilmente dovevi pagare per quel certificato; come hai effettuato il pagamento? Se hai già infranto la legge in modo non anonimo, questo praticamente esclude qualsiasi tattica strong contro la CA.

Sebbene sia lodevole che tu voglia raggiungere la CA, tieni presente che hai la possibilità di vendere questa vulnerabilità. Questo varrebbe potenzialmente $ 100.000 da un'organizzazione come vupen. A te come ti senti.

Se vuoi rivelare, puoi farlo da solo, ma sono d'accordo con la raccomandazione di Mike di contattare un ricercatore affermato. Penso che potresti mirare un po 'più in alto di un ricercatore universitario. Una celebrità come Bruce Schnier o Dan Kaminsky sarebbe interessata a questo. Dovresti fidarti di loro con i dettagli e usare il loro peso per far sì che il problema venga preso sul serio.

Per quanto riguarda CloudFlare, avere una visione precoce di HeartBleed, questa è una pratica standard per le principali vulnerabilità: i principali fornitori ricevono un allarme tempestivo. Ma ciò avviene molto più tardi nel processo. Nel caso di HeartBleed, sono state sviluppate patch (ma non pubblicate pubblicamente). Non sono sicuro di come si possa applicare a questa vulnerabilità. Sembra che ogni certificato emesso dalla CA sia ora sospetto.

Qualunque cosa tu scelga di fare, buona fortuna!

    
risposta data 10.06.2015 - 17:00
fonte
18

Se non sei sicuro, puoi anche contattare CERT: link

Hanno esperienza nell'affrontare anche vulnerabilità di sicurezza molto gravi e sono generalmente considerati parte fidata. Almeno possono confermare che la tua valutazione della vulnerabilità è corretta e documentare la tua parte nel trovarla.

Mentre CERT generalmente ti consiglia di contattare il venditore da solo, per un caso di questo tipo sono sicuro che offriranno assistenza.

    
risposta data 11.06.2015 - 07:44
fonte
4

Ryan Sleevi ha ottimi consigli in merito.

Prima di emettere troppi allarmi, vorrei contattare il team di sicurezza di Chromium come consigliato, solo per assicurarti di non fraintendere nulla.

Hai verificato la tua vulnerabilità rispetto ai Requisiti di base del Forum CAB per vedere se l'esecuzione della tua vulnerabilità infrange quelle regole: link ?

Ad esempio, conosco una pratica di emissione che sembra corrispondere al tuo sommario, ma AFAIK è totalmente valida e non è una vulnerabilità agli occhi del CAB Forum. Un certificato può essere generato per un sottodominio senza avere il controllo sulla radice. Cioè puoi ottenere un certificato per test.google.com senza dover dimostrare il controllo su google.com.

    
risposta data 11.06.2015 - 15:43
fonte
1

Raccomanderei di ottenere la documentazione e la dimostrazione della vulnerabilità come se ne rendesse conto. Idealmente se si può avere questo verificato interamente da una terza parte, che è stato letto nella situazione.

Per evitare problemi di integrità o di rifiuto da parte del fornitore della consulenza sulla vulnerabilità nei tuoi confronti, è necessaria una prova aggiuntiva mediante dimostrazione / esecuzione. Dal momento che stiamo prendendo in considerazione un certificato, l'acquisizione di una catena di certificati che dimostri l'errore sarebbe l'ideale. Ovviamente è utile qualsiasi sessione che mostri che il vuln in azione è utile.

Senza una completa rivelazione sto solo indovinando quale prova ti serve comunque. Prendi la prova della documentazione di exploit e delle sementi in posizioni pubblicamente visibili come GitHub, Pastebin, elenchi di e-mail. Questo blocca l'incapacità di ripudiare se la tua prova è strong.

Il problema rimanente è identità e comunicazione con il venditore e il pubblico. Non mi preoccuperò di disertare la rivelazione della tua identità personale, dipende da te. Comunicazioni, se vuoi essere pratico, e preparati a rovinare o non agire con esperienza nel caso affermi che l'intera faccenda esplode o passa di lato, puoi fare il contatto.

In alternativa, cerca la rappresentanza, dalla comunità, dal FEP o almeno dal tuo avvocato. Qualcuno per proteggere i propri interessi è consigliabile e riflettere attentamente prima di accettare l'aiuto del settore da parte di un'azienda nella sua capacità commerciale. Sono sicuro che la comunità qui può raccomandare alcune scelte sulla rappresentazione se solleciti questo consiglio.

Un intero libro potrebbe essere scritto su questo insieme di argomenti, ho cercato di tenerlo corto e fuori da TLDR; territorio.

Inoltre, una nota a margine, grazie per il tempo che hai dedicato a scoprire questa potenziale vulnerabilità. È assolutamente necessario.

    
risposta data 11.06.2015 - 22:46
fonte
0

I fornitori di sistemi operativi e browser potrebbero essere un buon posto per segnalare tale vulnerabilità dal momento che gestiscono gli elenchi delle CA principali. Ecco alcuni link rilevanti:

  • www.google.com/about/appsecurity /
  • www.mozilla.org/en-US/about/governance/policies/security-group/bugs /
  • www.apple.com/support/security /
  • technet.microsoft.com/en-us/security/ff852094.aspx
risposta data 11.06.2015 - 14:30
fonte
-2

Puoi anche segnalarlo a "[email protected]" ma renditi conto che se la CA in questione è un membro del forum CA / B, la vedranno anche. Tuttavia, lo saranno anche tutti gli altri membri della CA e del browser. Un'altra opzione è quella di segnalarlo al CA Security Council, un'organizzazione degli 8 più grandi emittenti SSL pubblici al mondo. Si tratta di un gruppo industriale che ha interesse a mantenere elevati standard per i suoi membri e a promuovere le migliori pratiche tra tutte le CA. Il modulo è qui: link

    
risposta data 10.06.2015 - 22:45
fonte

Leggi altre domande sui tag