Resultados 1 al 2 de 2

Reportar vulnerabilidades de forma segura

  1. #1 Reportar vulnerabilidades de forma segura 
    HH Administrator Avatar de LUK
    Fecha de ingreso
    Oct 2001
    Ubicación
    SpaÑa
    Mensajes
    5.284
    Descargas
    223
    Uploads
    250
    En la seguridad informática es normal que dada la inquietud que provoca la profesión, investigando nos encontremos con algún fallo de seguridad en alguna página web o un fallo a nivel de infraestructura, Sistema operativo, servicios como DNS, LDAP, Active Directory.

    Si encontramos una vulnerabilidad podemos estar ante varias situaciones:

    Que el fabricante o propietario de la página web tenga un servicio de Bug Bounty.
    Que en el sitio de la vulnerabilidad haya una sección de dedicada a reportar fallos de seguridad, mediante el envío de un correo electrónico por ejemplo
    Que no haya nada, ni servicio de Bug Bounty ni sección dedicada a la seguridad.

    La normativa de delitos telemáticos es distinta en cada región. Explicaremos la forma de hacerlo en España; si alguien puede añadir al hilo la forma de hacerlo en otros países será de gran ayuda.

    Reporte de la vulnerabilidad contactando al propietario del Whois.
    Si encontramos una vulnerabilidad en un dominio el cual no tiene sección para reportar la vulnerabilidad, una de las opciones es mirar los contactos del Whois. Por ejemplo buscando información del dueño de el dominio en www.whois.net ; nos dará un contacto, o contacto técnico; así como su email.
    Aquí le podríamos enviar un correo a la cuenta indicada.

    Quiero destacar en este punto que: El hecho de reportar una vulnerabilidad al contacto del dominio no significa que sea legal y que, el propietario del dominio haga algo por solucionarlo, y no nos denuncie por que podríamos haberle dejado sin servicios dependiendo del fallo que se quería explotar.

    Contacto con las FCSE (Fuerzas y cuerpos de seguridad del estado)
    No tengo constancia como funciona en otros países, pero si que tengo claro a donde he acudido yo cuando he tenido que enfrentarme a un problema de este tipo.
    La Unidad de delitos telemáticos de la Guardia Civil tiene una sección para ocuparse de estos menesteres.


    Rellenas la información con los datos que tienes y ellos se encargarán de avisar a la persona adecuada.
    La verdad es que los considero como la primera opción para el reporte de algunas vulnerabilidades. y hacen un trabajo excelente desde aquí todo mi apoyo a dicha unidad .

    Reportar vulnerabilidades a los CERTS (Computer Emergency Response Team)
    Un centro de respuesta ante incidentes es y debe de ser una de las opciones disponibles a la hora de reportar una vulnerabilidad. Ellos gestionan las vulnerabilidades de la región, pero también tendrán y lo harán muy bien que gestionar aquellas vulnerabilidades de otras regiones.
    Si les mandamos una vulnerabilidad que no les pertoca ellos se pondrían en contacto con el CERT o entidad responsable correspondiente para reportar la vulnerabilidad.
    Los CERT al igual que la unidad de delitos telemáticos son una muy buena opción para estos reportes.

    Utilizar a un tercero
    Otra de las cosas que se pueden hacer es “vender” la vulnerabilidad, uno de los ejemplos es ZDI, creo que es la mas famosa para vender vulnerabilidades. Ellos te pagan por la vulnerabilidad y se ponen en contacto con el fabricante.
    Podemos ver las especificaciones aquí => http://www.zerodayinitiative.com/about/benefits/
    [][][] LUK [][][]
    hackhispano.com
    Citar  
     

  2. #2  
    Iniciado
    Fecha de ingreso
    Aug 2014
    Mensajes
    2
    Descargas
    0
    Uploads
    0
    Buenos consejos, serán de gran ayuda : )
    Citar  
     

Temas similares

  1. Respuestas: 0
    Último mensaje: 15-07-2015, 10:59
  2. Respuestas: 0
    Último mensaje: 01-02-2011, 21:05
  3. Respuestas: 1
    Último mensaje: 25-04-2007, 15:07
  4. Navegacion segura
    Por olddirty en el foro INTRUSION
    Respuestas: 0
    Último mensaje: 11-07-2006, 17:49
  5. Respuestas: 2
    Último mensaje: 14-09-2002, 03:15

Marcadores

Marcadores