Come segnalare una vulnerabilità di sicurezza che coinvolge più società non collegate?

8

Durante la partecipazione a un programma di bug bug, mi sono imbattuto in un problema che ha portato a una vulnerabilità di sicurezza quando sfruttato con altri problemi su prodotti non correlati.

Tutti questi problemi non sono di per sé vulnerabilità della sicurezza, ma diventano una combinazione quando combinati. Nessuno dei problemi è più critico degli altri.

Vorrei che venisse risolta la vulnerabilità, quindi ho intenzione di segnalarlo ai fornitori.

Seguendo le linee guida sulla divulgazione responsabile, ogni rapporto non dovrebbe contenere informazioni sui problemi degli altri fornitori, ma temo che tutti i fornitori rigetteranno il rapporto, spiegando che il loro problema è il comportamento previsto.

Ogni venditore ha un programma di sicurezza e un team di sicurezza competente. L'unico problema è comunicare l'impatto dei problemi a ciascuno di essi.

Quale sarebbe il modo migliore per gestire questo problema?

    
posta Benoit Esnard 05.03.2018 - 23:45
fonte

2 risposte

4

Comunicazioni intime

Il primo passo qui è contattare i team di sicurezza individualmente. Fai loro sapere che fanno parte di un quadro più ampio, ma che non vuoi pubblicizzare l'elenco delle aziende coinvolte. È importante inserire il maggior numero di dettagli possibile senza nominare le società, in modo da non essere trascurati per essere troppo vaghi.

È anche importante chiarire nei messaggi che se ciascuna azienda fa la sua parte, questo problema sarà completamente risolto. Potrebbe anche valere la pena chiedere all'azienda, a questo punto, se siano o meno felici di essere nominati in un rapporto più dettagliato, in modo che possano collaborare in modo più trasparente.

Raccogli le risposte

Dovrai ora attendere la risposta di ogni squadra e valutare quante risposte "non aggiusterai". Se le aziende sono disposte a rendersi conto l'una dell'altra, dovresti essere in grado di rendere le squadre di sicurezza disponibili a una nuova definizione in base alle nuove informazioni. Altrimenti potrebbe essere necessario produrre qualche sottoinsieme del rapporto per le aziende che sono felici di essere nominate.

In qualsiasi messaggio, puoi affermare che sei stato in grado di ottenere le informazioni richieste per eventuali passaggi mancanti utilizzando altre società che preferirebbero non essere nominate.

A parte

Potresti anche voler vedere come sono stati gestiti gli KRACK Attacks (ad esempio) fornitori per vedere come sono stati gestiti i problemi indipendenti dal venditore in passato.

    
risposta data 06.03.2018 - 02:17
fonte
4

Coinvolgi un party terzo affidabile

Sebbene l'approccio di JonRB possa funzionare, coinvolgere un'altra parte fidata, come un CERT nazionale o transnazionale, può accelerare il processo e portarlo al risultato desiderato.

Abbiamo visto in passato che le grandi aziende non hanno reagito correttamente alle segnalazioni di bug / vulnerabilità principali nei loro prodotti. Le società in questione non hanno reagito affatto, non hanno cercato di sviluppare una soluzione o, a volte, il problema si è perso in un grande labirinto aziendale. Questo alla fine ha portato i ricercatori a pubblicare vulnerabilità da soli per fare pressione sui venditori.

Quando coinvolgi un altro fidato come un CERT, puoi essere relativamente sicuro che le aziende interessate realizzeranno la gravità della questione e gestiranno il problema con una certa attenzione.

Assicurati però che ti fidi della parte che intendi coinvolgere. Se le società coinvolte si trovano in paesi diversi, probabilmente non esiste un'unica entità con autorità su tutte. Fortunatamente la maggior parte dei CERT più grandi del mondo lavorano insieme e sono (in qualche modo) organizzati .

    
risposta data 06.03.2018 - 14:20
fonte

Leggi altre domande sui tag