Come incoraggiare il mio ISP a utilizzare una sicurezza migliore

1. Informa il tuo ISP in merito al problema. È improbabile che tu faccia qualcosa, ma dovresti farlo per ragioni etiche prima di fare i passi successivi.

2. Dopo che ti hanno ignorato per alcune settimane, segnala il problema a tutti i siti Web di notizie orientati alla tecnologia che sono popolari nella tua posizione in modo che possano vergognarli.

3. Se i siti web non sono interessati a pubblicare la storia, o se l'ISP non ritiene che valga la pena di farlo anche dopo che si sono fatti vergognare pubblicamente, cerca un ISP diverso.

La domanda chiave è se possiedi legalmente il router. Se non lo fai, allora stai violando la legge nel Regno Unito cambiando la sua configurazione per bloccare l'ISP. È una situazione / legge assurda e un ISP è improbabile che spinga denuncia, ma è una strada che davvero non vuoi andare giù. Se il router non è tuo, ci sono modi più sicuri per comportarsi con l'ISP.

Informa l'ISP del problema. È improbabile che qualcuno possa contattare il proprio call center per capire cosa stai dicendo loro, quindi fallo per iscritto, richiedendo una risposta scritta. Se non si ottiene una risposta soddisfacente, è possibile rivolgersi al difensore civico per le telecomunicazioni. A questo punto, più persone che non capiscono la tecnologia cercheranno di risolvere le questioni. Una linea d'azione più efficace in questa fase sarebbe quella di nominare e vergognare l'ISP.

Supponiamo che tu arrivi al tuo ISP e ti danno l'ora del giorno per spiegare la situazione.

Supponiamo anche che non solo comprendano i punti tecnici, ma concordino anche con te sul fatto che qualcosa dovrebbe essere fatto.

Le probabilità sono - non stai parlando con la persona che arriva a fare la chiamata finale a quell'ISP. E prova come potresti fare tu e il tuo nuovo amico dell'ISP, molto probabilmente incontrerai resistenza a tutto ciò che costa tempo e denaro per le aziende, a meno che non abbia una ragione verificabile e convincente per fare ciò che è supportato da prove ed esempi in un modo non tecnico.

Puntali verso conseguenze di ciò che potrebbe accadere se non prendono seriamente questa vulnerabilità. Eviterei di mandargli qualcosa di troppo tecnico, comunque. Non si può presumere che la persona che arriva a effettuare la chiamata sia tecnica. Tuttavia, si potrebbe argomentare in modo convincente che sarebbe un male per le imprese vedere il nome del proprio ISP intonacato su Internet come risultato dell'aiuto al successivo massiccio sciame di botnet.

Una cosa da tenere a mente è che il tuo ISP non è univoco nel non utilizzare HTTPS:

... tests performed by Tal and his colleagues revealed that around 80 percent of real-world deployments don’t use encrypted connections. Even when HTTPS is used, in some cases there are certificate validation issues, with the customer equipment accepting self-signed certificates presented by an ACS. This allows a man-in-the-middle attacker to impersonate the ACS server.

Devi convincerli a essere uno dei pochi a fare la cosa giusta, piuttosto che essere tra le masse che fanno la cosa sbagliata.