Domanda Dove postare vulnerabilità su siti/server?

Stato
Discussione chiusa ad ulteriori risposte.

driverfury

Utente Electrum
26 Agosto 2015
326
14
147
150
Salve, volevo sapere in che sezione postare (e se è permesso dalla legge italiana e dal regolamento del forum) eventuali vulnerabilità su siti web o server.

Sezione Leaks?
 
Ciao,

l'unica cosa che posso dirti è come in genere gestiamo questo tipo di situazioni a lavoro. Generalmente, ogni azienda proprietaria del sito/server in questione dovrebbe avere una policy legata alla responsible disclosure, se così non fosse devi contattarli chiedendo informazioni in merito. Qualora l'azienda non risponda, puoi farti assistere dal CVE, che in genere media fra l'azienda e il tester (oltre ad assegnare un numero identificativo di vulnerabilità ed eventualmente concordare una data per la full disclosure)
 
  • Mi piace
Reazioni: driverfury
Ciao,

l'unica cosa che posso dirti è come in genere gestiamo questo tipo di situazioni a lavoro. Generalmente, ogni azienda proprietaria del sito/server in questione dovrebbe avere una policy legata alla responsible disclosure, se così non fosse devi contattarli chiedendo informazioni in merito. Qualora l'azienda non risponda, puoi farti assistere dal CVE, che in genere media fra l'azienda e il tester (oltre ad assegnare un numero identificativo di vulnerabilità ed eventualmente concordare una data per la full disclosure)
Esattamente come funziona questo fatto del CVE ??
Io fin' ora ho sempre tentato su piattaforme e su siti che offrivano di per se' una possibilita' di riscontro, quindi ad esempio attraverso le piattaforme di BB, ma molti siti a cui segnalavo ai tempi, che non offrivano tale servizio, non mi rispondevano ........
Quindi come funge esattamente e come ci si deve muovere con i CVE?
 
http://cve.mitre.org/cve/request_id

Qui c'è tutta la procedura da seguire; a me non è capitato mai che le aziende non rispondessero per fortuna, ad altri colleghi invece si - non vorrei dire fesserie, ma credo che gli sia stato consentito di andare in full disclosure dopo un tempo che andava dalle 2 settimane ai 2 mesi
 
http://cve.mitre.org/cve/request_id

Qui c'è tutta la procedura da seguire; a me non è capitato mai che le aziende non rispondessero per fortuna, ad altri colleghi invece si - non vorrei dire fesserie, ma credo che gli sia stato consentito di andare in full disclosure dopo un tempo che andava dalle 2 settimane ai 2 mesi
Se e' per questioni di tempo, a me su alcune piattaforme BB ci hanno messo anche 6 mesi .........
Comunque grazie infinite per le indicazioni :)
 
  • Mi piace
Reazioni: HellIn
http://cve.mitre.org/cve/request_id

Qui c'è tutta la procedura da seguire; a me non è capitato mai che le aziende non rispondessero per fortuna, ad altri colleghi invece si - non vorrei dire fesserie, ma credo che gli sia stato consentito di andare in full disclosure dopo un tempo che andava dalle 2 settimane ai 2 mesi
Scusate l'ignoranza, ma cosa si guadagna con i CVE?

A me più che i soldi vorrei interesserebbe qualcosa da inserire nel curriculum o portfolio per poter intraprendere una carriera nel settore della sicurezza informatica.
 
Se e' per questioni di tempo, a me su alcune piattaforme BB ci hanno messo anche 6 mesi .........
Comunque grazie infinite per le indicazioni :)

E di che, ormai lo sai che mi piace avere questo tipo di conversazioni con voi :D

Scusate l'ignoranza, ma cosa si guadagna con i CVE?

A me più che i soldi vorrei interesserebbe qualcosa da inserire nel curriculum o portfolio per poter intraprendere una carriera nel settore della sicurezza informatica.

Nessun problema, effettivamente la cosa non è molto intuitiva; il CVE ti serve come garanzia innanzitutto, sia perchè così la vulnerabilità è tua e non mia, sia perchè CVE si fa anche da garante nel momento in cui c'è da stabilire la data del full disclosure, soprattutto nel momento in cui l'azienda si rende irreperibile. Inoltre è un'ottima aggiunta per il curriculum/portfolio, visto che è ciò che ti interessa: io potrei dirti di aver trovato uno 0-day nel sito della NASA, ma come lo dimostro? Nella stessa maniera in cui gli istituti che rilasciano certificazioni ti danno una licenza da mostrare al datore di lavoro per potergli far verificare che tu sia effettivamente certificato, il CVE ti permette di dimostrare che la vulnerabilità associata al codice è tua e solo tua.
 
  • Mi piace
Reazioni: driverfury
E di che, ormai lo sai che mi piace avere questo tipo di conversazioni con voi :D



Nessun problema, effettivamente la cosa non è molto intuitiva; il CVE ti serve come garanzia innanzitutto, sia perchè così la vulnerabilità è tua e non mia, sia perchè CVE si fa anche da garante nel momento in cui c'è da stabilire la data del full disclosure, soprattutto nel momento in cui l'azienda si rende irreperibile. Inoltre è un'ottima aggiunta per il curriculum/portfolio, visto che è ciò che ti interessa: io potrei dirti di aver trovato uno 0-day nel sito della NASA, ma come lo dimostro? Nella stessa maniera in cui gli istituti che rilasciano certificazioni ti danno una licenza da mostrare al datore di lavoro per potergli far verificare che tu sia effettivamente certificato, il CVE ti permette di dimostrare che la vulnerabilità associata al codice è tua e solo tua.

Innanzitutto grazie per il chiarimento. Mi hai aperto un mondo.

Grazie per avermi indirizzato nel verso giusto, approfondirò l'argomento perché mi interessa molto.

Un'ultima domanda: si può procedere col CVE quando ad esempio trovo vulnerabilità su un sito di una determinata azienda (vulnerabilità già "scoperte" intendo, tipo dovute a determinati plugin di wordpress non aggiornati)?
 
  • Mi piace
Reazioni: HellIn
Ultima modifica:
Innanzitutto grazie per il chiarimento. Mi hai aperto un mondo.

Grazie per avermi indirizzato nel verso giusto, approfondirò l'argomento perché mi interessa molto.

Un'ultima domanda: si può procedere col CVE quando ad esempio trovo vulnerabilità su un sito di una determinata azienda (vulnerabilità già "scoperte" intendo, tipo dovute a determinati plugin di wordpress non aggiornati)?

Figurati, ci mancherebbe!

Per quanto riguarda la tua domanda: qui purtroppo non so risponderti con assoluta certezza, devo chiedere conferma a dei colleghi. Credo sia un'area un po' grigia, cerco di spiegarmi meglio: se trovi un XSS nel sito della NASA, allora questo dovrebbe darti diritto di procedere con la richiesta del CVE alla CNA; se invece scopri che il sito della NASA utilizza un plugin che è notoriamente suscettibile a XSS, non hai più questo diritto.

Prendi però con le pinze quello che ho scritto, perchè non ne sono sicurissimo; posso chiedere a dei colleghi che ricercano vulnerabilità dalla mattina alla sera, loro sicuramente ne sanno più di me :)
Messaggio unito automaticamente:

Questa è la timeline di una vulnerabilità scoperta da un collega su un software per le transazioni bancarie qualche anno fa:

Timeline
Dates are approximate and to the best of the author’s memory, as the author was not the primary person handling
communications with the vendor.
August, 2012
The author discovered plain-text unauthenticated communications and client-side account locking bypass in a
previous version (8.40.1.0) and informed vendor support personnel when they were resolving another issue with the
software. Vendor support said that the author was incorrect, as the software version in question was outdated, and had
known security issues. The author was told by the vendor’s support technician that the security issues were already
resolved in an update, which would be installed by the vendor in the near future.
September, 2013
The software was updated to version 8.70.0.0 as part of other updates. The author did not verify at that time that
the update resolved the security issues that had been found.
19 June, 2014
The author encountered the software again and discovered that the same issues still existed. Further research was
done by the author and the vendor was contacted with detailed findings. The author offered to provide a demo as the
vendor reported that they were unable to reproduce the issues.
7 July, 2014
The author provided a demo for the vendor and CERT-FI, showing the vulnerabilities and working proof-of-concept
exploits, which gave the ability to change bank account balances and the records of banking transactions in the system,
as well as copying the private banking keys used for communication with the banks.
Week of 7 July, 2014
Confirmation was received from the vendor that they were able to reproduce the findings now that the issue was
understood. The author was informed that the vendor was working towards providing a fix and would keep the author
updated.
Regularly from this point on, the author checked with the party handling communication with the vendor, but was not
given any update on the issue or told anything about fixes being available.
14 January, 2015
The author was informed that all security issues had been resolved by the vendor. The author was asked to
re-verify his findings in the software installation.
15 January, 2015
The author confirmed that all security issues still applied and that the software installation was not updated.
Further updates were requested from the vendor.
Week of 23 February, 2015
The author was informed that someone in the media had found out about the security vulnerabilities and was
preparing to go public. The author contacted CERT-FI to organize CVE numbers and was told that progress had been made
and CERT-FI had been told by the vendor that all but one of the vulnerabilities were resolved. CERT-FI was asked by
the author to encourage the vendor to respond to communication attempts and to provide the security updates for review.
4 March, 2015
The product manager for the vendor contacted the author, offering to provide installation of security updates.
This was scheduled for 11 March.
6 March, 2015
Helsingin Sanomat (HS) published an article on Basware security vulnerabilities. Following this, CERT-FI published
their statements in Finnish and in English. The author was asked by CERT-FI not to disclose any more details until the
author evaluated the security fixes, in case the fixes were inadequate.
- The HS article “Paha tietoturva-aukko altistaa yritykset valemaksuille”: (Finnish only, English translation of the
title is “Bad security vulnerability exposes companies to fraudulent payments”): http://www.hs.fi/talous/a1425539014674
- CERT-FI publication “Vulnerabilities in Basware Banking“ (English):
https://www.viestintavirasto.fi/en/cybersecurity/vulnerabilities/2015/haavoittuvuus-2015-018.html
- CERT-FI publication “Haavoittuvuuksia Basware Maksuliikenne -ohjelmistossa “ (Finnish):
https://www.viestintavirasto.fi/kyberturvallisuus/haavoittuvuudet/2015/haavoittuvuus-2015-018.html
11 March, 2015
The vendor provided updates, but it became apparent to the author during this process that issues still remained
unresolved. CERT-FI was contacted and it was agreed that they would send a technical expert to assist with a review.
13 March, 2015
The author and a technical expert from CERT-FI thoroughly analyzed the software and determined that the findings
described above were still valid. The author was asked to give the vendor 42 days to resolve the issues before public
disclosure.
28 July, 2015
Full disclosure.
 
  • Mi piace
Reazioni: 0xbro e driverfury
Stato
Discussione chiusa ad ulteriori risposte.