Come incoraggiare la divulgazione responsabile (e reagire in modo appropriato in caso contrario)

Naviga le tue risposte
10

Come programmatore coscienzioso, ho posto la sicurezza come uno dei requisiti fondamentali di ogni prodotto che sviluppo. Per prevenire l'introduzione di difetti, promuovo una cultura della consapevolezza (ad esempio, assicurati che i membri del team con cui lavoro conosca i tipi più comuni di vulnerabilità), mantieniti aggiornato leggendo regolarmente siti specializzati (ad esempio The H Security o il blog di Dan Kaminsky ), fai attenzione agli errori più comuni (e discuterli se necessario) durante l'esecuzione delle revisioni del codice.

Tuttavia, sappiamo tutti che, secondo la legge di Murphy, comparirà un bug di sicurezza (prima o poi). Le mie (domande strettamente correlate) sono:

  1. Come posso promuovere la divulgazione responsabile delle vulnerabilità di sicurezza rilevate dai ricercatori ? Cioè, come posso incoraggiarli a collaborare insieme a me, a non rilasciare i dettagli fino a quando non viene preparata una correzione, assicurando allo stesso tempo che si sentano rispettati per il loro duro lavoro e ottengano il merito che meritano?
  2. Nel caso in cui qualcuno utilizzi l'intero percorso di divulgazione, come posso reagire ( essere avvisato della vulnerabilità il prima possibile e quindi adottare misure di mitigazione appropriate ) nel modo più tempestivo ed efficace?

Al momento, ho pensato a:

  • assicurandosi che un contatto di sicurezza sia chiaramente elencato sul mio sito web
  • utilizzando dettagli CVE per ottenere un feed per i miei prodotti se vengono pubblicati lì
  • anche nelle mailing list di sicurezza ( vedi questa risposta alla sicurezza IT )
  • assicurando che le patch vengano preparate rapidamente
  • che comunica costantemente con i reporter di bug, aggiornandoli man mano che si progredisce
  • accreditare pubblicamente il / i ricercatore / i per la sua scoperta
  • consentendo la divulgazione completa qualche tempo dopo la pubblicazione delle patch (per consentire ai client interessati di installarle)

(Io faccio parte di una piccola squadra in una sorta di startup, quindi la mia linea d'azione non è limitata da questioni manageriali.Tuttavia, continuo a pensare che qualsiasi consiglio che fornirai possa essere applicato anche ad altre situazioni .)

    
posta Alessandro Menti 19.06.2013 - 13:18
fonte

1 risposta

7

How can I promote responsible disclosure of security vulnerabilities found by researchers? That is, how can I encourage them to collaborate jointly with me, not releasing details until a fix is prepared, while simultaneously ensuring they feel they are respected for their hard work and they get the credit they deserve?

Penso che tu sia sulla strada giusta finora con questo punto. La cosa più importante è avere un modo semplice per i ricercatori di sicurezza di contattarti in merito a problemi di sicurezza. Mantenerli coinvolti nel processo di correzione del bug è semplicemente educato. Se il bug è abbastanza serio e sei in grado di permettertelo (che potrebbe non essere applicabile a te dato che sei una startup, offri ai ricercatori un bug bounty per i loro sforzi).

La cosa peggiore che puoi fare è essere scortese con i ricercatori e ignorare i loro sforzi per lavorare con te sulla correzione dei bug. Vedi questo caso molto divertente.

In case someone takes the full disclosure route, how can I react (be alerted of the vulnerability as soon as possible and then take appropriate mitigation measures) in the most timely and effective way?

Sei sulla buona strada per questo. Non penso che esista un metodo più efficace per scoprire informazioni complete sulle vulnerabilità del tuo software oltre a monitorare i vari database di vulnerabilità disponibili. Potresti voler iscriverti ai feed che tali database inseriscono e utilizzare un filtro regex per ordinare informazioni irrilevanti.

Se qualcuno fa qualcosa di simile, direi che la cosa più importante da fare è tenere informati i tuoi clienti . Potresti pensare che questo potrebbe avere un impatto negativo sulla tua reputazione, ma credimi, sarebbe molto peggio se i tuoi clienti venissero violati a causa del tuo software.

Tienili aggiornati sullo stato di avanzamento della correzione. Se una correzione tempestiva non è possibile, suggerisci metodi alternativi per mitigare il danno.

    
risposta data 19.06.2013 - 14:28
fonte

Leggi altre domande sui tag

Quali sono gli usi pratici delle grandi chiavi asimmetriche? Come conservare le password in modo sicuro nel mio server?