Come incoraggiare il mio ISP a utilizzare una sicurezza migliore

0

Un giorno, stavo giocando con la mia configurazione del router. Come risultato, sono stato in grado di visualizzare la configurazione TR-069. Sono stato in grado di vedere che il server degli aggiornamenti utilizzava il protocollo HTTP, invece di HTTPS. Questo mi ha fatto preoccupare per la sicurezza del mio router. Da Defcon 22 ( link ) So che TR-069 dovrebbe essere usato insieme al protocollo HTTPS, per minimizzare il rischio di attacchi. Ho disabilitato il mio TR-069 sul mio router per non essere vulnerabile.

Oggi tuttavia ho ricevuto un'e-mail dal mio ISP, chiedendomi di formattare il mio router utilizzando il pulsante di ripristino sul retro. Mentre l'e-mail non spiega perché è necessario, mi aspetto che ciò avvenga a causa del TR-069 disabilitato. Per ora ho ignorato l'e-mail, tuttavia se il mio ISP richiede che il TR-069 sia abilitato, voglio almeno essere sicuro che tali cose non possano mettere a rischio la mia sicurezza.

La mia domanda è: come posso incoraggiare il mio ISP a utilizzare una sicurezza migliore?

Come nota a margine vorrei sottolineare che vivo nel Regno Unito e non vorrei avere problemi.

    
posta vakus 15.12.2016 - 22:29
fonte

3 risposte

3
  1. Informa il tuo ISP in merito al problema. È improbabile che tu faccia qualcosa, ma dovresti farlo per ragioni etiche prima di fare i passi successivi.

  2. Dopo che ti hanno ignorato per alcune settimane, segnala il problema a tutti i siti Web di notizie orientati alla tecnologia che sono popolari nella tua posizione in modo che possano vergognarli.

  3. Se i siti web non sono interessati a pubblicare la storia, o se l'ISP non ritiene che valga la pena di farlo anche dopo che si sono fatti vergognare pubblicamente, cerca un ISP diverso.

risposta data 15.12.2016 - 22:50
fonte
1

La domanda chiave è se possiedi legalmente il router. Se non lo fai, allora stai violando la legge nel Regno Unito cambiando la sua configurazione per bloccare l'ISP. È una situazione / legge assurda e un ISP è improbabile che spinga denuncia, ma è una strada che davvero non vuoi andare giù. Se il router non è tuo, ci sono modi più sicuri per comportarsi con l'ISP.

Informa l'ISP del problema. È improbabile che qualcuno possa contattare il proprio call center per capire cosa stai dicendo loro, quindi fallo per iscritto, richiedendo una risposta scritta. Se non si ottiene una risposta soddisfacente, è possibile rivolgersi al difensore civico per le telecomunicazioni. A questo punto, più persone che non capiscono la tecnologia cercheranno di risolvere le questioni. Una linea d'azione più efficace in questa fase sarebbe quella di nominare e vergognare l'ISP.

    
risposta data 15.12.2016 - 23:10
fonte
1

Supponiamo che tu arrivi al tuo ISP e ti danno l'ora del giorno per spiegare la situazione.

Supponiamo anche che non solo comprendano i punti tecnici, ma concordino anche con te sul fatto che qualcosa dovrebbe essere fatto.

Le probabilità sono - non stai parlando con la persona che arriva a fare la chiamata finale a quell'ISP. E prova come potresti fare tu e il tuo nuovo amico dell'ISP, molto probabilmente incontrerai resistenza a tutto ciò che costa tempo e denaro per le aziende, a meno che non abbia una ragione verificabile e convincente per fare ciò che è supportato da prove ed esempi in un modo non tecnico.

Puntali verso conseguenze di ciò che potrebbe accadere se non prendono seriamente questa vulnerabilità. Eviterei di mandargli qualcosa di troppo tecnico, comunque. Non si può presumere che la persona che arriva a effettuare la chiamata sia tecnica. Tuttavia, si potrebbe argomentare in modo convincente che sarebbe un male per le imprese vedere il nome del proprio ISP intonacato su Internet come risultato dell'aiuto al successivo massiccio sciame di botnet.

Una cosa da tenere a mente è che il tuo ISP non è univoco nel non utilizzare HTTPS:

... tests performed by Tal and his colleagues revealed that around 80 percent of real-world deployments don’t use encrypted connections. Even when HTTPS is used, in some cases there are certificate validation issues, with the customer equipment accepting self-signed certificates presented by an ACS. This allows a man-in-the-middle attacker to impersonate the ACS server.

Devi convincerli a essere uno dei pochi a fare la cosa giusta, piuttosto che essere tra le masse che fanno la cosa sbagliata.

    
risposta data 16.12.2016 - 01:41
fonte

Leggi altre domande sui tag