Cosa fare per le aziende che si rifiutano di correggere le vulnerabilità della sicurezza

Naviga le tue risposte
9

Durante la scrittura di software per una piattaforma applicativa sviluppata da una società di terze parti, ho riscontrato una vulnerabilità di sicurezza nel codice del framework che poteva consentire al codice non privilegiato di eseguire l'escalation dei privilegi non autorizzati attraverso una vulnerabilità in una soluzione sandbox.

Ho informato la compagnia del problema di sicurezza e ho persino sviluppato una patch per il problema in meno di una settimana e la società non ha ancora rilasciato un aggiornamento al prodotto per correggere questa vulnerabilità.

Questa azienda ha attualmente venduto oltre 40 milioni di copie di questo prodotto e, dopo diverse settimane, non ha ancora risolto questa vulnerabilità. Cosa devo fare per rendere le persone consapevoli di questa vulnerabilità e cosa possono fare per proteggersi, senza fornire gli strumenti "cattivi" che potrebbero essere utilizzati per attaccare la piattaforma? C'è qualcosa che potrei fare per convincere l'azienda a rilasciare un aggiornamento di sicurezza più veloce?

Quali sono le migliori pratiche nel settore della sicurezza per questo tipo di situazione (nota: sono uno sviluppatore di software, non un esperto di sicurezza IT)?

    
posta IDWMaster 05.12.2012 - 04:26
fonte

4 risposte

8

Onestamente alcune persone hanno bisogno di una chiamata di sveglia prima che si assumano la responsabilità dei propri errori.

Dare all'azienda un tempo prestabilito, ad esempio un mese da oggi per rilasciare una patch. Se non rispettano le informazioni post sulla vulnerabilità nella lista postale completa di divulgazione . Non rendendo pubbliche queste informazioni, rischi che il crimine organizzato scoprirà questo difetto e lo sfrutti a fini di lucro.

(Odio dirlo, ma hai già fornito a un utente malintenzionato informazioni sufficienti per trovare questa vulnerabilità. Non ci sono molte piattaforme con 40 milioni di vendite ... Il tempo stringe.)

    
risposta data 05.12.2012 - 06:31
fonte
4

È possibile creare una cronologia
Prima di tutto, potrebbero lavorare per testare e implementare una correzione. Prima che tu diventi pubblico, potresti voler far sapere loro la cronologia e vedere se rispondono. Potrebbero essere più disposti a comunicare se hanno un incentivo a farlo.

Puoi essere vago Il tuo tipico "cappello nero" non è brillante come lui vuole apparire. Di norma, la maggior parte del mondo anti-sec fa affidamento su un codice proof-of-concept pronto a costruire i propri exploit. Se è abbastanza intelligente da scrivere un exploit da zero, allora probabilmente venderà il codice a un'organizzazione criminale invece di pubblicarlo su un exploit-db. Questo è male in quanto i cattivi veramente hanno il codice, ma sono buoni in quanto il tuo copione-kiddie medio non lo fa.

Pertanto, a volte i ricercatori di sicurezza rilasceranno dettagli sulla vulnerabilità in termini abbastanza vaghi da rendere difficile per un programmatore inesperto costruire un exploit, ma è facile per un programmatore esperto individuare il difetto. In genere questo ti compra un paio di settimane; qualcuno alla fine scriverà il codice POC.

Puoi semplicemente provarci
C'è la visione abbastanza comune che se riesci a metterlo in strumenti di sicurezza white-hat il più rapidamente possibile (ad esempio, crea un plugin nessus, ecc.), Allora stai offrendo la migliore protezione complessiva. Il codice del cappello nero è inevitabile una volta che l'exploit è comunemente compreso. Ma almeno puoi dare ai difensori un vantaggio.

    
risposta data 05.12.2012 - 07:09
fonte
4

Oltre all'eccellente guida di Rook e Tylerl, sei certo di avere il contatto corretto in azienda?

Le grandi aziende possono essere inutili a passare informazioni internamente o anche essere a conoscenza di chi passarle, quindi assicurati di inviare le informazioni alla squadra corretta.

Considera di inviarlo a un pubblico più ampio in quell'azienda - fai la tua ricerca; google per i contatti giusti. Questo potrebbe includere il CIO o il CISO, o anche i direttori marketing ecc.

    
risposta data 05.12.2012 - 10:10
fonte
2

Sto iniziando a diventare molto preoccupato per la divulgazione (dove vivo) perché ci sono sempre più casi d'azione legali presi da ricercatori esperti di sicurezza come noi.

Le opzioni sono:

  1. Divulgazione anonima a uno dei siti web di divulgazione pubblica
  2. Se hai un contatto presso l'organizzazione che conosci e di cui ti fidi (ad esempio un gestore dell'account), spiega loro il problema e chiedi loro di assumere la proprietà del problema. Assicurati di non avere clausole anti-hacking / decostruzione nella tua licenza / contratto (molti dei nostri lo fanno)
  3. Utilizza un sito di divulgazione a pagamento di terze parti come Exodus Intel, Netraguard ecc.
  4. Come sopra @Rory, utilizzalo come punto di contrattazione quando si negozia la quota annuale di servizio / manutenzione per la propria organizzazione. La commissione è solitamente compresa tra il 18% e il 25% del prezzo originale e l'azienda dovrebbe lavorare per guadagnarlo.

Ho smesso di rivelare pubblicamente; in parte perché la legge in Scozia (dove vivo) lo rende un reato penale,

    
risposta data 05.12.2012 - 13:07
fonte

Leggi altre domande sui tag

Come distribuire i certificati client senza esporre la chiave privata? Perché OWASP Top 10 (applicazione web) non è cambiato dal 2013, ma Mobile Top 10 è recente come 2016?