it-swarm-es.com

¿El ASP.NET relleno de oracle Exploit expuesto de manera ética? ¿Qué podría haberse hecho de manera diferente?

Esta es una pregunta multifunción ....

En lo que respecta al ASP.NET PADDING ORACLE, ( Demo Link ) ¿Se trataba de que la explotación de seguridad se repartiera de manera ética? ¿Qué se podría haber hecho de manera diferente o mejor?

¿Cuáles son los incentivos para manejar una explotación de la manera más ética?

¿Qué puede hacer la industria infosec para incentivar (financieros o de otro tipo) el manejo adecuado de los problemas de seguridad?

3
goodguys_activate

La pregunta bastante similar ya está aquí: ¿Cómo divulgar una vulnerabilidad de seguridad de manera ética? .

¿Qué pasa con el tema actual y la forma en que se reveló la vulnerabilidad, no está mala, pero aún así, la comunidad de seguridad de TI está en la búsqueda de una forma más ética de divulgación de vulnerabilidad. Bueno, los investigadores podrían informar (o tal vez lo han hecho, no saber), espere algunos días, meses, tal vez años cuando el error está parcheado. En ese momento la vulnerabilidad podría ser explotada. Además, ¿quién dijo que esta vulnerabilidad no fue explotada previamente por los sombreros negros? Cuando el error se conoce públicamente, no tiene más valor en el mercado criminal, es más fácil de defenderse, más fácil de detener los ataques de secuencias de guiones, comparando con los hábitos negros calificados. Hay temas sin fin sobre FD y RD, con numerosos profesionales y contras.

Teniendo en cuenta la manera conocida de la respuesta de los vendedores conocidos, no es de extrañar que los investigadores actúen así. Recuerda "No más errores libres" Movimiento.

6
anonymous

Los oráculos de relleno se han conocido por años. Esta es una situación de divulgación completa del mejor esfuerzo, ya que las muchas aplicaciones se ven afectadas. MyFaces se habló en hace un año, pero ahora ASP.NET Aplicaciones (por ejemplo, Dotnetnuke) están debajo de la pistola.

2
atdre

Creo que es solo otra iteración de la divulgación completa frente al debate de divulgación responsable que está sucediendo dentro de la industria de seguridad de TI durante años. Es solo una cuestión de opinión personal, cada lado tiene sus propios puntos fuertes.

A menudo, los pros y los contras citados de cada enfoque son:

Divulgación completa:

Pro:

  • Los sombreros negros ya pueden saber que de todos modos (a veces hay incluso una prueba )
  • Los usuarios obtienen el parche más rápido debido a la presión del proveedor

Estafa:

  • 0 días pone a todos los usuarios en peligro hasta que se libere el parche

  • Podría hacerse solo para la fama

Divulgación responsable:

Pro:

  • Los proveedores les gusta, pueden planificar y asignar sus recursos y probar los parches.

  • Ningún usuario está en riesgo (si los sombreros negros no lo descubren)

  • Oye, responsable es una palabra tan positiva;)

Estafa:

  • Los vendedores tienden a ignorar los informes o retrasar los parches.

  • La vulnerabilidad está ahí fuera, sin parpadear.

  • No hay información para los usuarios sobre cómo mitigar el riesgo.

Volviendo a la 'fue ASP.NET Padding Oracle Disclosure Ethical'. En mi opinión, es Ética derecha Divulgar el problema de cualquier modo que se decidió, ya sea un 0 días con la explotación, un correo electrónico privado al proveedor. o una divulgación pública. Sus decisiones suelen ser bien pensadas, incluso si no estás de acuerdo con ellos.

Solo hay dos enfoques incorrectos : olvídate del problema descubierto (si parece serio) o venderlo en el mercado negro. Aparte de eso, es el único privilegio del investigador para decidir.

2
Krzysztof Kotowicz

No estoy seguro de que "ético" esté realmente involucrado cuando se trata de exponer las hazañas. Las hazañas son totalmente no éticas y totalmente antisociales, por lo que los exponerlos a cualquier costo me parecen aceptables. Incluso una exposición totalmente fallida es menos no ética y menos antisocial de lo que es la exploit.

Para mí, es algo así como preguntar: "¿Hay una buena manera de matar a alguien que está tratando de matarme?"

0
Greg

No estoy profundamente familiarizado con los detalles específicos de la divulgación, pero por lo que sé, se manejó de una manera razonable. No estoy al tanto de ningún problema ético asociado con la divulgación.

Por ejemplo, creo que era totalmente ético divulgar la existencia y la naturaleza del problema. A medida que se menciona a @Atdre, se conocen los ataques de los ataques de Oracle durante años, por lo que los Blackhats ya pueden haberlo sabido sobre este ataque, por lo que sabemos. Dada la gravedad del problema y la amplia escala del problema, fue crítico obtener la voz rápidamente. Así que no soy consciente de cualquier cosa que los investigadores hicieron mal.

Si cree que hay algo en particular acerca de cómo manejaron la divulgación que plantearon preguntas éticas en tu mente, lo aliento a que elabores sobre lo que era eso.

0
D.W.