Reportar vulnerabilidades de forma segura
En la seguridad informática es normal que dada la inquietud que provoca la profesión, investigando nos encontremos con algún fallo de seguridad en alguna página web o un fallo a nivel de infraestructura, Sistema operativo, servicios como DNS, LDAP, Active Directory, lo importante es saber Reportar vulnerabilidades de forma segura.
¿Qué hacer para Reportar vulnerabilidades de forma segura?
Si encontramos una vulnerabilidad podemos estar ante varias situaciones:
Que el fabricante o propietario de la página web tenga un servicio de Bug Bounty.
Que en el sitio de la vulnerabilidad haya una sección de dedicada a reportar fallos de seguridad, mediante el envío de un correo electrónico por ejemplo que no haya nada, ni servicio de Bug Bounty ni sección dedicada a la seguridad.
La normativa de delitos telemáticos es distinta en cada región. En España tenemos una, en Colombia habrá otra por lo tanto a la hora de reportar una vulnerabilidad hemos de vigilar bien donde lo reportamos.
Como no soy Colombiano voy a explicar casos que he leído por ahí y como se acabó reportando la vulnerabilidad en cuestión.
Reporte de la vulnerabilidad contactando al propietario del Whois
Si encontramos una vulnerabilidad en un dominio el cual no tiene sección para reportar la vulnerabilidad, una de las opciones es mirar los contactos del Whois. En este caso miramos el de DragonJAR.
Registrant Email:dragonjar(arroba)gmail.com Admin ID:CR34508516 Admin Name:Jaime Restrepo Admin Organization:Arnoldo Viafara Valencia Admin Street1:carrera 11 No 18-10 Admin Street2:click Admin Street3: Admin City:manizales Admin State/Province: Admin Postal Code:57 Admin Country:CO Admin Phone:+57.8829246 Admin Phone Ext.: Admin FAX: Admin FAX Ext.: Admin Email:dragonjar(arroba)gmail.com Tech ID:CR34508515 Tech Name:Jaime Restrepo Tech Organization:Arnoldo Viafara Valencia Tech Street1:carrera 11 No 18-10
Aquí le podríamos enviar un correo a Jaime, con lo que hubiéramos encontrado.
Quiero destacar en este punto que:
El hecho de reportar una vulnerabilidad al contacto del dominio no significa que sea legal y que, el propietario del dominio haga algo por solucionarlo, y no nos denuncie por que podríamos haberle dejado sin servicios dependiendo del fallo que se quería explotar.
Contacto con las FCSE (Fuerzas y cuerpos de seguridad del estado)
No tengo constancia como funciona en otros países, pero si que tengo claro a donde he acudido yo cuando he tenido que enfrentarme a un problema de este tipo.
La Unidad de delitos telemáticos de la Guardia Civil tiene una sección para ocuparse de estos menesteres.
Rellenas la información con los datos que tienes y ellos se encargarán de avisar a la persona adecuada.
La verdad es que los considero como la primera opción para el reporte de algunas vulnerabilidades. y hacen un trabajo excelente desde aquí todo mi apoyo a dicha unidad :D.
Reportar vulnerabilidades a los CERTS (Computer Emergency Response Team)
Un centro de respuesta ante incidentes es y debe de ser una de las opciones disponibles a la hora de reportar una vulnerabilidad. Ellos gestionan las vulnerabilidades de la región, pero también tendrán y lo harán muy bien que gestionar aquellas vulnerabilidades de otras regiones.
Si les mandamos una vulnerabilidad que no les pertoca ellos se pondrían en contacto con el CERT o entidad responsable correspondiente para reportar la vulnerabilidad.
Los CERT al igual que la unidad de delitos telemáticos son una muy buena opción para estos reportes.
Utilizar a un tercero para reportar vulnerabilidades de forma segura
Otra de las cosas que se pueden hacer es "vender" la vulnerabilidad, uno de los ejemplos es ZDI, creo que es la mas famosa para vender vulnerabilidades. Ellos te pagan por la vulnerabilidad y se ponen en contacto con el fabricante.
Podemos ver las especificaciones aquí => https://www.zerodayinitiative.com/about/benefits/