Reportar vulnerabilidades de forma segura
Ene12

Reportar vulnerabilidades de forma segura

En la seguridad informática es normal que dada la inquietud que provoca la profesión, investigando nos encontremos con algún fallo de seguridad en alguna página web o un fallo a nivel de infraestructura, Sistema operativo, servicios como DNS, LDAP, Active Directory. Si encontramos una vulnerabilidad podemos estar  ante varias situaciones: Que el fabricante o propietario de la página web tenga un servicio de Bug Bounty. Que en el sitio de la vulnerabilidad haya una sección de dedicada a reportar fallos de seguridad, mediante el envío de un correo electrónico por ejemplo Que no haya nada, ni servicio de Bug Bounty ni sección dedicada a la seguridad. La normativa de delitos telemáticos es distinta en cada región. En España tenemos una, en Colombia habrá otra por lo tanto a la hora de reportar una vulnerabilidad hemos de vigilar bien donde lo reportamos. Como no soy Colombiano voy a explicar casos que he leído por ahí y como se acabo reportando la vulnerabilidad en cuestión. Reporte de la vulnerabilidad contactando al propietario del Whois. Si encontramos una vulnerabilidad en un dominio el cual no tiene sección para reportar la vulnerabilidad, una de las opciones es mirar los contactos del Whois. En este caso miramos el de DragonJAR. Registrant Email:dragonjar(arroba)gmail.com Admin ID:CR34508516 Admin Name:Jaime Restrepo Admin Organization:Arnoldo Viafara Valencia Admin Street1:carrera 11 No 18-10 Admin Street2:click Admin Street3: Admin City:manizales Admin State/Province: Admin Postal Code:57 Admin Country:CO Admin Phone:+57.8829246 Admin Phone Ext.: Admin FAX: Admin FAX Ext.: Admin Email:dragonjar(arroba)gmail.com Tech ID:CR34508515 Tech Name:Jaime Restrepo Tech Organization:Arnoldo Viafara Valencia Tech Street1:carrera 11 No 18-10 Aquí le podríamos enviar un correo a Jaime, con lo que hubiéramos encontrado. Quiero destacar en este punto que: El hecho de reportar una vulnerabilidad al contacto del dominio no significa que sea legal y que, el propietario del dominio haga algo por solucionarlo, y no nos denuncie por que podríamos haberle dejado sin servicios dependiendo del fallo que se quería explotar. Contacto con las FCSE (Fuerzas y cuerpos de seguridad del estado) No tengo constancia como funciona en otros países, pero si que tengo claro a donde he acudido yo cuando he tenido que enfrentarme a un problema de este tipo. La Unidad de delitos telemáticos de la Guardia Civil tiene una sección para ocuparse de estos menesteres. Rellenas la información con los datos que tienes y ellos se encargarán de avisar a la persona adecuada. La verdad es que los considero como la primera opción para el reporte de algunas vulnerabilidades. y hacen un trabajo excelente desde aquí todo mi apoyo a dicha unidad :D. Reportar vulnerabilidades a los CERTS (Computer Emergency Response Team) Un centro de...

Leer Más

Entrevista a Jorge Uyá, Director de TBSecurity para LatinoAmerica

Jorge Uyá es Ingeniero Electrónico, con calificación “summa cum laude” por la Universidad Simón Bolívar de Venezuela, especialista en Dirección Estratégica en las Tecnologías de la Información y las Comunicaciones, por la Universidad Politécnica de Madrid, e instructor certificado de CERT/CC (Universidad Carnegie Mellon de EEUU), Certificado CISA por ISACA y Certificado de ISO 17799 Auditor por Applus. En la actualidad es responsable del desarrollo de los proyectos de consultoría y asistencia técnica en seguridad de la información, creación y administración de centros de respuesta ante incidentes (CERTs) y protección de infraestructuras críticas informáticas de TB•Security, colaborando con TB Solutions en el desarrollo de proyectos de firma y certificación electrónica. La entrevista la concede desde Chile donde se encuentra junto con nuestro querido amigo SamuraiBlanco en un congreso organizado por la OEA (Organización de Estados Americanos) sobre ciberseguridad respuesta a incidentes y CERTs (Equipo de Respuesta a Incidentes) Escuchar Jorge uya Descargar Capitulo (Click Derecho/Guardar Como….) o escuchar desde tu dispositivo móvilArtículo escrito por Jesus Alejandro Giraldo (||Do0kK|em4n||) para La Comunidad...

Leer Más

Siguenos!

O Puedes Subscribete

ANTES DE

SALIRTE ...

NO TE

ARREPENTIRÁS

!Gracias¡

NO OLVIDES NUESTRAS REDES SOCIALES