Come pubblicizzare ampiamente una minaccia importante e fissa in un software open source ampiamente utilizzato?

6

6 mesi fa, ho trovato un buffer overflow in git che ha lo stesso impatto di questa vulnerabilità (con l'esecuzione che consente l'esecuzione del codice lato server) . Ci sono stati assegnati diversi cv ed è stato completamente riparato a monte.

Tuttavia, 2 mesi dopo la correzione upstream, i dettagli cve non sono ancora stati pubblicati e quasi nessuna distribuzione Linux ha aggiornato il loro ramo stabile.
Ho anche notato che wikimedia gerrit e bitbucket.org erano ancora vulnerabili la scorsa settimana (ho avvertito le persone appropriate e si è risolto su wikimedia) .

Non posso assolutamente portare le informazioni a tutti i provider. So che potrebbero volerci anni perché un cve sia pubblicato. Ma sicuramente non infrange le notizie come cve-2014-9390 .

Come pubblicizzare ampiamente le persone e le distribuzioni Linux per riparare le loro macchine?

    
posta user2284570 14.03.2016 - 16:04
fonte

2 risposte

4

Sfortunatamente non ci sono regole rigide su questo tipo di problema e con l'uso molto ampio di componenti e librerie open source è inevitabile che alcune aziende non si aggiornino anche dopo molto tempo (ad esempio server 200k ancora vulnerabili a Heartbleed un anno dopo il rilascio )

Per far sì che le persone prestino attenzione e patch, purtroppo sembra ancora che l'unico modo sia di pubblicare le informazioni sulle vulnerabilità in modo ampio e pubblico, dopo un appropriato periodo di notifica privato.

Esattamente quanto tempo vuoi avere per quel periodo è una questione di discussione, con persone che vanno da 0 giorni fino a molti mesi.

Forse una linea guida decente sarebbe quella di seguire la politica di divulgazione responsabile di Cert che verrà rilasciata dopo il 45 giorni.

Dalla timeline che descrivi sembra che tu abbia già superato quel punto, quindi davvero se vuoi vedere più persone prestare attenzione il modo migliore potrebbe essere scrivere un post sul blog che descriva il problema e il potenziale impatto e che circoli ampiamente.

Anche se può sembrare cinico suggerire questo, in termini di convincere la gente a prestare attenzione, il marketing della vulnerabilità potrebbe essere il modo migliore per farlo. Se guardi i recenti libri che ricevono pubblicità, la maggior parte ha un nome accattivante ("Drown", "Heartbleed" ecc.) E le annotazioni spiegano in termini chiari il probabile impatto. Quindi è un caso che venga rilevato nei social media (twitter, reddit, ecc.) E che inizi a circolare tra la community di InfoSec.

    
risposta data 14.03.2016 - 16:19
fonte
-1

È un'evidente favola sul CVE, sul CERT e così via "team / agenzie per la valutazione della vulnerabilità". E se tali domande continuano a crescere, sento che devo rompere le tue illusioni in una lastra di vetro molto piccola e affilata ....

Ricorda: ci sono NO cose del genere, come team / agenzie di valutazione della vulnerabilità collettiva come CVE, ecc. Perché? Troppe agenzie governative sono in necessità vitale delle vulnerabilità backdoor-like di essere in esistenza, per renderle capaci di irrompere illegalmente e furtive . Ricorda molte storie come cancellazioni di parole di BlackHat, causa contro una persona che ha trovato una backdoor in TUTTI Cisco , Edward Snowden proprio ha seguito la legge suprema del suo paese - la Costituzione degli Stati Uniti - ed è ora nella lista dei "più ricercati". E queste sono le cose a voce più alta, ce ne sono molte di più - non le ho menzionate qui, ma posso aggiungere alcune informazioni se richiesto.

Pur essendo scoperti, le agenzie governative stanno facendo rispettare e coprendo i loro compagni di crimine, come The Hacked Team. Sì, il loro malware è stato aperto e aperto da una perdita. Anche un Bundestrojan (er) è stato rilevato e mostrato al pubblico. .. Quanti antivirus stanno rilevando esattamente quel malware oggigiorno? anche tenendo conto di un intervallo di tempo tra il momento in cui sono stati effettivamente trovati e portati al pubblico

Sveglia! Il modo solo per dimostrare che qualcosa non va è quello di dirlo più strong che puoi a un pubblico più ampio che puoi raggiungere. Con tutte le prove, esempi di codice e.t.c. Solo allora non verrà rivelato silenziosamente e alcuni passaggi effettivi saranno in ordine da Vox populi . È l'unico modo oggi, e questa è la cosa con cui i governi stanno combattendo - quindi sii preparato, se osi;)

    
risposta data 15.03.2016 - 15:01
fonte

Leggi altre domande sui tag