martes, 7 de agosto de 2018

¿Cómo reportar fallos de seguridad?

Con todo el lío mediático que se montó tras un fallo de URL Manipulation en Movistar el pasado 16 de julio, creo que es necesario aclarar unas cuantas cosillas sobre cómo reportar fallos de seguridad a las empresas. Decir que "cada maestrillo tiene su librillo" y cada investigador lo hace de una forma distinta. Yo os voy a comentar la mía, que no es la mejor pero sí es la que suelo utilizar.


Cada empresa es un mundo y cada una se lo toma de una manera. Muchas veces, sino queréis correr riesgos, lo mejor es reportarlo a OSI o haciendo lo que OSI os cuenta en este post, que entre una de las muchas cosas que dicen, es reportarlo a los cuerpos de seguridad del estado.

Otras empresas son "Hacking friendly" y tienen plataformas para reportar bugs, pero esto depende de la empresa. Pero vamos por pasos.

Encuentras una vuln ¿Qué hacer ahora?

Imaginemos que encuentro una vulnerabilidad X en la empresa Y. Lo que podría hacer es irme a mi blog y publicar el fallo con todos los detalles. Esta es una opción. No obstante, nunca he hecho esto. El motivo es fácil, y es que la empresa en cuestión no tiene por qué leer mi blog y yo reportar una vulnerabilidad sin informar antes a la empresa, me parece ser muy rastrero.

Yo lo que suelo hacer es contactar con la empresa y le comento el procedimiento llevado a cabo, lo que he obtenido y algunas cosillas que se podrían hacer para solucionar el error-si es que sé cómo solucionarlo-. A partir de ese momento en el que lo reporto, empiezo a contar.

¿Cuánto tiempo? En mi caso es variable, ya que me paro a analizar varias cuestiones:

  1. ¿Cómo de grave es el fallo? Si es un fallo muy grave y que puede afectar a muchas otras empresas, trato de reportarlo lo antes posible. Como poco, suelo esperar 48 horas siempre y cuando no lo reporte un viernes por la tarde. Si reporto el fallo un viernes por la tarde, espero 48 horas más el fin de semana (es decir, reporto el martes por la tarde).
  2. ¿Cuánto tiempo se tardaría en solucionar el error? También tengo en cuenta si la solución del fallo es fácil o no. Si veo que puede ser algo complejo, algunas veces pido que me mantengan informados para que cuando lo solucionen, me avisen y pueda publicar los detalles en mi blog. Si no me informan (algo que entiendo) depende del tiempo que se tarde y de la gravedad del asunto. A veces espero 30 días y en otros casos si el fallo es muy grande y de difícil solución espero 90 días. Si es un fallo de nivel medio y fácil solución, doy una semana como mínimo.
Estos son los 2 puntos principales que me paro a analizar. Es más, os puedo decir que ahora mismo, estoy llevo esperando 17 días a que me den una respuesta para publicar una solución que he dado a la Universidad de Córdoba. Y eso que es una solución que se tarda en aplicarla 2 horas como mucho.

Otro ejemplo es que cuando la web de la Universidad de Córdoba sufrió de un DoS el día de Selectividad por el propio tráfico de gente, esperé 9 días a publicarlo en el blog, y 10 días para publicar el por qué pudo fallar cuando tenían una posiblie solución al fallo 18 días antes de que sufriesen esa DoS. Esto lo digo para los que dicen que voy contra la Uni por hate puro. Además yo he estado de prácticas en la UCO y sobre esto ya les dije algo a los profesores de allí para ver si aplicaban la solución que proponía o no. También he dejado 3 meses para que esto lo solucionen el día de las pruebas de Selectividad en septiembre. 3 meses para la prueba más el tiempo que tarden en publicar las notas.

Más casos. Para comentar lo ocurrido con las "filtraciones de la Universidad de Extremadura" , esperé 9 días desde que salió la noticia, y 10 días desde que-en teoría- aplicaron la solución para decir que aún se podía acceder a más exámenes. Para este caso particular, antes de publicar los posts, reporté que aún se podían acceder a los exámenes y di 48 horas, ya que la solución era sencilla. Lo publiqué el sábado, por lo que lo reporté en esa semana el miércoles por la mañana (ya que escribí el post el viernes por la noche y tenían que pasar los 2 días).

Es por esta razón, que lo que hizo FACUA, me parece de no tener vegüenza, ya que lo reportó un domingo por la noche cuando no había nadie en la oficina y ya el lunes por la mañana estaban publicando los detalles. Afortunadamente Telefónica lo solucionó a tiempo, pero eso es un ejemplo de cómo no hacer los reportes ya que aquí estamos para y por los usuarios y reportar ese fallo sin dar tiempo a que actúen (y aún así Telefónica actuó a tiempo) es un despropósito que podría haber acabado mucho peor.

¿Hackeamos el Mundo?




No hay comentarios:

Publicar un comentario

Related Posts Plugin for WordPress, Blogger...

Entrada destacada

El server me sabe a poco.

Soy un fanático del Rock y de Debian . (Creo que voy a inventar Rockbian, que suena bien y todo xD) Llevaba tiempo queriendo unir estos 2 c...