in

¡No te pierdas ningún informe de errores! – Pura seguridad


Los artículos de nuestra serie Serious Security suelen ser bastante técnicos, aunque tratamos de mantenerlos libres de jerga.

En el pasado, hemos cubierto temas que incluyen: piratería de sitios web (y cómo evitarlo), cálculos numéricos (y cómo hacerlo bien) y criptografía post-cuántica (y por qué lo hacemos).

Ayudar a otros a ayudarte

Esta vez, sin embargo, el Seguridad seria Un aspecto del artículo no es realmente técnico en absoluto.

En cambio, este artículo le recuerda cómo puede facilitar que otros lo ayuden con la ciberseguridad y por qué desea ayudarlos a hacerlo.

Después de todo, muchas empresas en estos días ejecutan recompensas por errores o contratan a una empresa externa para manejar los envíos de errores, lo que demuestra que están realmente interesadas en conocer las fallas de seguridad en su producto o servicio.

Pero eso todavía no responde a las preguntas «¿Dónde informar? Dile a quien ¿Cómo va?»

Confiar en la resolución de problemas para averiguarlo por sí mismos, especialmente cuando está involucrada una empresa de recompensas de errores de terceros, es propenso a errores.

En primer lugar, algunos cazadores de errores no están interesados ​​en comunicarse a través de un servicio externo para informarle sobre un problema que descubren, pero prefieren contárselo directamente.

Algunos no están interesados ​​en obtener una recompensa; algunos no quieren tomarse la molestia de crear otra cuenta de terceros; y otros solo quieren poder comunicarse con usted de manera fácil y privada.

En segundo lugar, incluso los investigadores que hacen esto para ganarse la vida necesitan saber por dónde empezar, y tener una ubicación coherente para la información de contacto facilita la notificación de errores para todos.

¿Y si gana las llaves del reino?

Los problemas con la pregunta «¿Dónde informar?» Se destacaron de manera divertida en los medios de comunicación la semana pasada cuando un desarrollador británico llamado Connor Greig recibió un correo electrónico promocional del gigante de la comida rápida MacDonald’s …

… en el que se habían filtrado varios textos de conexión para la base de datos de Azure, que aparentemente incluían las credenciales para la autenticación.

A primera vista, parece que algunos de los datos de entrada confidenciales de la consulta de la base de datos utilizada para generar el correo electrónico de Greig fue accidental repetido en los datos de salida fue enviado, arrojado accidentalmente al cuerpo del correo electrónico.

Es un poco como ingresar su contraseña por adelantado para iniciar sesión en el servicio de correo web elegido y luego pegar accidentalmente el texto de la contraseña en el texto de cualquier correo electrónico que envíe posteriormente.

Casualmente, Connor Greig dirige su propia empresa boutique basada en la web que tiene como objetivo mejorar los ingresos y el análisis para los creadores de redes sociales el valor de informar el problema para que no vuelva a suceder.

Para acortar un desvío, no pudo averiguar por dónde empezar, aunque aparentemente probó los números de teléfono y las direcciones de correo electrónico más obvios que pudo encontrar.

El problema de enviar comentarios, como informes de errores, a direcciones de correo electrónico que no están claramente enumeradas como «el lugar correcto para enviar notificaciones de problemas de ciberseguridad» es que no puede estar seguro de si el correo electrónico llega a alguien o si este es el caso. el receptor mismo sabía qué hacer con él. Si no puede averiguar fácilmente dónde enviar este material, es razonable suponer que las personas con información privilegiada de una gran empresa tienen exactamente el mismo problema y permitirán que su informe salte de un pilar a otro mientras persista el problema.

La revolución de la ciberseguridad Dance Dance

Entonces Greig dio un paso inusual.

¡Publicó un informe de error en el medio TikTok!

@creatorsphereco

No quiero esto. Responda los correos electrónicos McD. #ciberseguridad #mcdonalds # divulgación #ayuda #techtok #monopolio

♬ Sonido original – CreatorSphere.co

No bailó ni cantó su informe, solo preguntó si «Alguien puede contactarme, eso sería genial, porque ahora mismo tengo las llaves del reino … ¡y no las quiero!»

Según el sitio de noticias The Register, el video de Greig llamó la atención de alguien en McDonalds, pero la compañía (tal vez comprensiblemente dadas las circunstancias) inicialmente se inclinó a tratar el informe de error como «sospechoso», lo que provocó más retrasos en su comercialización.

Al final, Connor Greig pudo comunicarse con alguien que pudo resolver el problema …

… pero habría sido una historia mucho más corta si su primer intento de informar del problema hubiera sido acertado.

¿Qué tengo que hacer?

La buena noticia es que existe una manera fácil y casi estandarizada de informar a los profesionales de la seguridad por dónde empezar.

Actualmente existe un borrador de estándar de Internet titulado Un formato de archivo utilizado para ayudar en la divulgación de vulnerabilidades de seguridad., y el sistema propuesto ya ha sido aprobado por la IANA (el Autoridad para los números de Internet asignados) como el llamado URI conocido.

El nombre del archivo es fácil de recordar. security.txt, y la idea es que sea una simple descarga de texto que puede colocar en la parte superior del dominio de su empresa como lo hacemos en Sophos: https://sophos.com/security.txt.

Existen numerosas líneas de información que puede incluir en este archivo, la más importante de las cuales es un grupo de una o más Contact Elementos como verá en el archivo que usamos [2021-09-13T16:00Z]:


Contact: security-alert@sophos.com 
Contact: https://www.sophos.com/security 
Contact: https://bugcrowd.com/sophos 
Acknowledgement: https://www.sophos.com/en-us/legal/sophos-responsible-disclosure-policy/thanks.aspx
Disclosure: https://www.sophos.com/security

Ofrecemos tres formas diferentes para que se ponga en contacto con nosotros, desde una dirección de correo electrónico interna para aquellos que prefieren el contacto directo hasta un sitio web de terceros para aquellos interesados ​​en presentar informes de seguridad para hacer un reclamo formal de recompensa.

También puede utilizar su security.txt Archivo en un lugar especial reservado para URI de IANA conocidas, como nuestra empresa de alojamiento de blogs Automattic (propietario de WordPress: https://automattic.com/.well-known/security.txt.

El concepto de URI conocidos y su ubicación se define en RFC 8615.

Si tiene un sitio web, agregue uno security.txt enviar hoy si aún no lo ha hecho?

Es rápido y fácil y puede ahorrarle horas o días en caso de una emergencia de ciberseguridad …


What do you think?

Written by Alan Kim

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

GIPHY App Key not set. Please check settings

Hacker universitario «tonto» encarcelado después de vender exámenes a otros estudiantes

¿Qué es una superficie de ataque cibernético y cómo se puede reducir?