Ho presentato anonimamente una vulnerabilità di sicurezza, ma non è stata risolta. E adesso?

Naviga le tue risposte
9

Questa è più o meno una continuazione della mia domanda precedente: Come studente, come faccio in modo sicuro e responsabile rivelare un serio problema di sicurezza in un ambiente scolastico?

Più di quattro mesi dopo aver inviato la mia lettera anonima che illustrava questo problema di sicurezza, ho controllato attentamente se la vulnerabilità che ho segnalato esistesse ancora, e lo fa ancora nella sua interezza. Sono state apportate alcune modifiche IT non correlate, ma queste sono state rivolte principalmente al personale (come l'introduzione di BitLocker).

Tra il momento in cui l'ho segnalato e ora, ho sentito da un amico intimo (che proveniva da una scuola diversa nella stessa zona di me) che aveva segnalato un diverso problema di sicurezza e che aveva cercato di segnalarlo al suo computer insegnante di scienze, che a sua volta lo ha segnalato al dipartimento IT. Piuttosto che rispettare l'anonimato dello studente, tuttavia, il responsabile IT ha minacciato l'insegnante con il suo lavoro (non si sa come avrebbe fatto a svolgere questa minaccia) se non avesse divulgato l'identità dello studente che ha trovato l'exploit di sicurezza, e stava anche minacciando lo studente con azione disciplinare o arresto. Indipendentemente dall'accuratezza della storia, ho sentito di aver fatto la cosa giusta riportandola tramite una lettera anonima e indipendente.

Tuttavia, il problema non è stato risolto affatto. La lettera è stata inviata a due diversi dipartimenti al fine di garantire che il problema fosse sentito strong e chiaro e che sarebbe stato fatto un piano per risolverlo. Ma niente di tutto questo è successo. In effetti, era come se una persona leggesse la lettera e convinse l'altra a buttarla via.

L'exploit rimane pericoloso, ea questo punto sono quasi sicuro di non essere l'unico a saperlo.

Potrei inviare un'altra lettera anonima, spiegando ulteriormente le implicazioni di lasciare questo exploit allo scoperto. Ma sarebbe difficile fare qualsiasi altra cosa in quanto sarebbe una minaccia per loro di agire "o altro". Mi trasformerei in un cappello grigio (er).

Non posso sottolineare abbastanza l'importanza di risolvere questo problema di sicurezza prima che accada qualcosa di grosso. Ma non posso minacciarli di fare nulla, perché ciò implicherebbe la mia volontà di fare qualcosa di sbagliato. Quali sono le mie opzioni?

    
posta oldmud0 16.04.2016 - 05:03
fonte

4 risposte

4

Questo dipende interamente dal fatto che tu abbia violato o meno una legge o regole scolastiche quando sei incappato nel problema.

Se lo hai trovato senza violare le regole

Se non hai violato alcuna regola (ad esempio questo è un semplice problema di enumerazione con un'app Web e hai appena inserito yourID+1 e ottenuto dati di altri studenti) non ci dovrebbero essere problemi con la divulgazione di questo non anonimo.

Ricorda che in particolare le scuole ricevono un sacco di minacce anonime che sono per lo più - e correttamente - non prese sul serio.

Pertanto, la tua divulgazione potrebbe avere maggiore credibilità con il tuo nome su di esso e, poiché non hai infranto alcuna regola, non dovrebbe esserci un problema.

Se ancora non funziona, leggi oltre e ignora le osservazioni sull'anonimato.

Se non sei sicuro di aver infranto le regole

Se c'è il dubbio che questo potrebbe portare a problemi legali per te, ci sono alcune opzioni, vorrei difendere per una divulgazione responsabile .

Dopo aver concesso un periodo di prova (che dovrebbe essere incluso nel rapporto per assicurarti che le conseguenze di non risolvere questo problema siano chiari a tutte le parti), puoi procedere pubblicando il problema pubblicamente.

Ci sono diversi modi per farlo; ci sono siti Web che accettano segnalazioni di vulnerabilità e li pubblicano in modo anonimo. Ma nel tuo caso, poiché si tratta di una vulnerabilità piuttosto localizzata, potresti essere più adatto ad avvicinarti alla stampa.

Poiché la sicurezza delle informazioni globali sta regolarmente nei media, troverai almeno un giornale locale che sarebbe felice di pubblicare il problema generale e mettere un po 'di vergogna sulle persone che in precedenza non avevano risposto affatto.

Il pubblico vergogna è un modo piuttosto crudele, medio ma efficace per convincere le persone a intraprendere un'azione che in precedenza non avrebbero avuto.

Nella maggior parte delle giurisdizioni, la stampa ha regole speciali che consentono loro di garantire l'anonimato della fonte di informazione.

    
risposta data 16.04.2016 - 12:04
fonte
2

Se l'amministratore non ha affrontato l'errore di sicurezza, anche dopo che un'anima gentile li ha informati, questo è il loro buco, non il tuo, signore. Hai fatto il meglio che potevi, più della maggior parte. Ho mandato email agli amministratori, quelli buoni dicono grazie, quelli cattivi ignorano. Non c'è bisogno di preoccuparsi, stai cercando di aiutare è tutto.

Ricorda che vengono pagati, non lo sei, è un buon lavoro hai detto qualcosa!

    
risposta data 16.04.2016 - 22:22
fonte
1

Secondo google, raccomandano da 90 a 120 giorni di patch dopo aver rivelato la vulnerabilità. Farei attenzione se non hai il permesso di "giocare" sulla rete in quanto ciò potrebbe essere illegale. Sembra qualcosa su cui ti sei imbattuto senza sondare le vulnerabilità. Se non ricevi alcuna risposta, lasciala in pace in quanto potresti dover affrontare problemi legali

    
risposta data 16.04.2016 - 06:41
fonte
0

In che modo anonimamente hai segnalato la vulnerabilità? Se non hanno modo di contattarti (ad esempio un'e-mail casuale su un provider gratuito o su un sistema come mailinator), forse ci sono alcuni motivi per cui non l'hanno ancora affrontato, ma non hanno modo di dirlo si .

O forse hanno provato a riprodurlo ma hanno fallito (alcune istruzioni sono ambigue, si verificano solo quando si utilizzano determinati computer ...) e non sono stati in grado di chiederti ulteriori informazioni.

Purtroppo, è relativamente frequente che i rapporti di sicurezza richiedano numerosi follow-up da parte del reporter fino a quando non vengono risolti (forse non è colpa della tua scuola, potrebbero aver sollevato il problema con il loro fornitore e stanno aspettando per loro per risolverlo, ci sono spesso diversi livelli di segnalazione coinvolti.

    
risposta data 01.07.2016 - 02:52
fonte

Leggi altre domande sui tag

Costruire un elenco di vulnerabilità che dovrebbero essere verificate durante il pentest Come risolvere un account gmail ripetutamente compromesso (dove 2FA è abilitato e le password sono cambiate)?