web-dev-qa-db-ja.com

匿名でセキュリティの脆弱性を提出しましたが、解決されませんでした。今何?

これは多かれ少なかれ前の質問の続きです:学生として、学校環境で深刻なセキュリティ問題を安全かつ責任を持って開示するにはどうすればよいですか?

このセキュリティ問題の概要を記した匿名の手紙を送ってから4か月以上経過した後、報告した脆弱性がまだ存在するかどうか、そしてそれが完全に存在するかどうかを注意深く確認しました。いくつかの無関係なIT変更が行われましたが、これらは主にスタッフ(BitLockerの導入など)に向けられています。

私がそれを報告したときから今までの間に、別のセキュリティ問題を報告し、それを彼のコンピューターサイエンスの教師に報告しようとした親友(私と同じ地区の別の学校から来た)から聞いた、次にIT部門に報告しました。ただし、ITヘッドは、生徒の匿名性を尊重するのではなく、セキュリティの悪用を発見した生徒の身元を明かさず、脅迫していた場合、教師に自分の仕事を脅かしました(彼がこの脅威をどのように実行するかは不明です)。懲戒処分または逮捕された学生。話の正確さに関係なく、私は匿名で独立して書かれた手紙を通じてこれを報告する正しいことをしたと感じました。

ただし、問題はまったく修正されていません。手紙は2つの異なる部署に送られ、問題がはっきりと聞こえ、問題を解決するための計画が立てられるようになりました。しかし、これは何も起こりませんでした。実際、まるで一人が手紙を読み、もう一人がそれを捨てるように説得したかのようでした。

エクスプロイトは依然として危険であり、この時点で私はそれについて知っているのは私だけではないことをほぼ確信しています。

私は別の匿名の手紙を送って、このエクスプロイトを公開することの意味をさらに説明することができます。しかし、彼らが「その他」の行動を取るのを脅かしているので、他のことをするのは難しいでしょう。私は灰色の帽子になります。

何か大きなことが起こる前に、このセキュリティ問題を解決することの重要性を十分に強調することはできません。しかし、私は彼らに何かをするように脅すことはできません。それは私の不正行為をする意欲を意味するからです。私のオプションは何ですか?

exploitdisclosure
9
oldmud0

これは、問題に遭遇したときに法律または学校の規則に違反したかどうかに完全に依存します。

ルールに違反せずに見つけた場合

ルールに違反していなかった場合(たとえば、これはWebアプリの単純な列挙問題であり、yourID+1と別の学生のデータを取得しました)これを匿名で開示しても問題はありません。

特に学校では、ほとんどの場合、正確には真剣に受け取られていない匿名の脅威を数多く受けていることに注意してください。

したがって、あなたの開示はあなたの名前に対する信頼性が向上する可能性があります-ルールを破っていなかったので、問題はないはずです。

これがまだ機能しない場合は、さらに読んで、匿名性に関する発言を無視してください。

ルールを破ったかどうかわからない場合

これが法的な問題につながるかどうか疑わしい場合は、いくつかの選択肢があります 責任ある開示 をお勧めします。

猶予期間(これを修正しないことの結果がすべての関係者に明確であることを確認するためにレポートに含める必要があります)を許可した後、問題の公開を続行できます。

それにはいくつかの方法があります。脆弱性レポートを受け入れ、匿名で公開するWebサイトがあります。しかし、あなたの場合、これはかなり局所的な脆弱性なので、マスコミにアプローチするほうがよいでしょう。

グローバルな情報セキュリティが定期的にメディアで取り上げられているため、一般的な問題を掲載して、以前はまったく応答しなかった人々に恥をかかせることができる地元の新聞が少なくとも1つ見つかります。

人前での恥辱は-かなり残酷で中世ですが-以前はできなかったかもしれない行動を取るように人々を説得する効果的な方法です。

ほとんどの管轄区域では、報道機関は情報源の匿名性を保証することを許可する特別な規則を持っています。

4
Tobi Nary

管理者がセキュリティの欠陥に対処しなかった場合は、親切な魂が彼らに知らせた後でも、これはあなたの穴ではなく、穴です。あなたは、他の人よりも、できる限りのことをしました。私は管理者にメールを送信しましたが、良い人は感謝を言い、悪い人は無視します。心配する必要はありません、あなたが助けようとしているのはすべてです。

彼らが支払われていることを覚えておいてください、あなたはそうではありません、それはあなたが何でも言った良い仕事です!

2
XeniaAnatop

グーグルによると、彼らは脆弱性を開示してから90日から120日でパッチを当てることを推奨しています。これは違法となる可能性があるため、ネットワークで「プレイ」する権限がない場合は注意が必要です。脆弱性を調査せずに偶然見つけた何かのように聞こえます。応答がない場合は、法的な問題に直面する可能性があるため、そのままにしておきます

1
user107699

どのように匿名で脆弱性を報告しましたか?彼らがあなたに連絡する方法がない場合(例えば、無料のプロバイダー、またはmailinatorのようなシステム上のランダムなメール)、彼らがまだそれに対処していないいくつかの理由があるかもしれませんがあなたに伝える方法はありません

あるいは、彼らはそれを再現しようとしましたが失敗し(いくつかの指示があいまいで、特定のコンピューターを使用した場合にのみ発生します...)、詳細情報を要求できませんでした。

悲しいことに、セキュリティレポートが最終的に対処されるまで、レポーターによる多数のフォローアップが必要になることは比較的頻繁です(おそらく学校のせいではなく、プロバイダーに問題を提起して待っている可能性がありますそれらのためにそれを修正するために、多くの場合、いくつかのレポート層が含まれます)。

0
Ángel