¿Cómo reporto fallos de seguridad de varias empresas sin ser perseguido?

Iniciado por Trollwer, 9 Diciembre 2020, 00:32 AM

0 Miembros y 1 Visitante están viendo este tema.

Trollwer

Buenas noches!
Hace ya unos días descubrí varios fallos de seguridad en varias casas de apuestas aquí en mi ciudad.
Fallos de seguridad:
- Acceso a la red y a todos sus recursos compartidos.
- Conexión remota a sus servidores (establecimientos locales)
- Robo del software que utilizan
- La posibilidad de explotar varios fallos de seguridad mediante exploits debido a la desactualización de sus sistemas...

Por ética personal, no comprometí ningún sistema, mi duda es.
¿Con quién tendría que hablar para que solucionasen esos fallos? ¿Me podrían multar por enseñarles que fallos tienen? ¿Cómo demuestro que no comprometí sus sistemas?
Realicé una documentación acerca de esos fallos y como explotarlos.
Un saludo!!
▂ ▃ ▁ ▁ ▅ ▃ ▅ ▅ ▄ ▅ ▇▇ ▅ █ ▅ ▇ ▂ ▃ ▁ ▁ ▅ ▃ ▅ ▅ ▄ ▅ ▇▇ ▅ █ ▅ ▇ ▂ ▃ ▁ ▁ ▅ ▃ ▅ ▅ ▄ ▅ ▇▇ ▅ █ ▅ ▇ ▂ ▃ ▁ ▁ ▅ ▃ ▅ ▅ ▄▇ ▅ █ ▅ ▇ ▂ ▃ ▁ ▁ ▅ ▃ ▅ ▅ ▄ ▅ ▇▇ ▅ █ ▅ ▇ ▂ ▃ ▁ ▁ ▅ ▃ ▅ ▅ ▄ ▅ ▇▇ ▅ █ ▅ ▇ ▂

Danielㅤ

Hola, eso es todo un tema, si reportas estarías ayudando a esas empresas para evitar que sean vulneradas, pero también puede pasar que ni te agradezcan, incluso te pueden demandar pensando que tenés algo que ver, algo que se pueden preguntar es, ¿Que hacías revisando/analizando/testeando sus sistemas?, Esa es la primera pregunta que se harán, además pueden también pensar que como no encontraste algo que te satisfaga, prefieres informar de lo fallos o en todo caso hasta pueden pensar que te robaste o accediste a información privada, que vos fuiste el que vulneró sus sistemas.

También pueden pensar que vos fuiste el culpable y que para esquivar/evitar sospechas de que te descubran, prefieres informar, como para disimular.

Puede pasar también que les avises de sus fallos y además de no llevarte el apunte, tampoco los corrijan porque no les importe.

Como digo todo puede ser posible, yo en tu lugar no diría nada, porque informar eso puede hacerte involucrar, tal vez no, tal vez te agradezcan y hasta te puedan pagar como gratificación por haberles informado sobre sus fallos.

Hay otras personas que sabes que harían en tu lugar?, Informarían de forma anónima, no podrían saber quién les aviso pero el anónimo lograría lo que querría que es avisar sobre los bugs encontrados para que sean parchados.


Saludos
¡Regresando como cual Fenix! ~
Bomber Code © 2021 https://www.bombercode.net/foro/

Ayudas - Aportes - Tutoriales - Y mucho mas!!!

Trollwer

Lo gracioso de esto, es que, no busco nada de lucro, simplemente, reportar, me propuse a mi mismo encontrar algún fallo de seguridad y vaya que si encontré, cuando hago estas cosas me gusta decir, "Tuvieron suerte de toparse conmigo y no con otra persona..."
Digamos, un red team clandestino XD
▂ ▃ ▁ ▁ ▅ ▃ ▅ ▅ ▄ ▅ ▇▇ ▅ █ ▅ ▇ ▂ ▃ ▁ ▁ ▅ ▃ ▅ ▅ ▄ ▅ ▇▇ ▅ █ ▅ ▇ ▂ ▃ ▁ ▁ ▅ ▃ ▅ ▅ ▄ ▅ ▇▇ ▅ █ ▅ ▇ ▂ ▃ ▁ ▁ ▅ ▃ ▅ ▅ ▄▇ ▅ █ ▅ ▇ ▂ ▃ ▁ ▁ ▅ ▃ ▅ ▅ ▄ ▅ ▇▇ ▅ █ ▅ ▇ ▂ ▃ ▁ ▁ ▅ ▃ ▅ ▅ ▄ ▅ ▇▇ ▅ █ ▅ ▇ ▂

Danielㅤ

Si te entiendo y se nota que lo querés hacer para ayudar, sino ni hubieses abierto el tema preguntando sobre cómo informar los bugs para que sean corregidos.

Pero compañero, hay veces que es mejor no meterse, porque uno por hacer un bien y ayudar, termina metido en algo injusto, las cosas lamentablemente se pueden mal interpretar.

Yo en tu lugar como comenté antes, no diría nada, de todas maneras hay otras formas que les podes avisar, por ejemplo algunos ponen un cartel de texto o imagen en por ejemplo, un panel de administración y ahí se darán cuenta que alguien vulneró o sabe de sus bugs, y bueno es también una manera de avisar.

De todas formas queda en vos informar o no hacerlo

Hace un tiempo leí en este foro (creo recordar que fue aquí) que alguien pedía ayuda porque por informar un bug, termino siendo intimidado por la empresa a la cual les informo sobre el fallo, aparentemente le hicieron una denuncia y tratan de buscar donde vive, ya que la empresa cree que esta persona fue la que vulneró sus sistemas y extrajo información privada/prohibida, datos de la empresa, el usuario que posteó eso estaba asustado porque no pensó que eso podría pasar, y cómo terminó eso? no lo sé, hasta donde recuerdo el usuario no volvió a informar más nada.

Por eso para evitar cosas como esas yo en tu lugar no diría nada, porque no perdes nada con no avisar, si obviamente que sería mejor poder ayudar informando, pero además de ser un riesgo, se suma tambien que hoy en día como está todo ésto sobre los derechos de autor, es aún más complicado.


Saludos
¡Regresando como cual Fenix! ~
Bomber Code © 2021 https://www.bombercode.net/foro/

Ayudas - Aportes - Tutoriales - Y mucho mas!!!

Trollwer

▂ ▃ ▁ ▁ ▅ ▃ ▅ ▅ ▄ ▅ ▇▇ ▅ █ ▅ ▇ ▂ ▃ ▁ ▁ ▅ ▃ ▅ ▅ ▄ ▅ ▇▇ ▅ █ ▅ ▇ ▂ ▃ ▁ ▁ ▅ ▃ ▅ ▅ ▄ ▅ ▇▇ ▅ █ ▅ ▇ ▂ ▃ ▁ ▁ ▅ ▃ ▅ ▅ ▄▇ ▅ █ ▅ ▇ ▂ ▃ ▁ ▁ ▅ ▃ ▅ ▅ ▄ ▅ ▇▇ ▅ █ ▅ ▇ ▂ ▃ ▁ ▁ ▅ ▃ ▅ ▅ ▄ ▅ ▇▇ ▅ █ ▅ ▇ ▂

Serapis

Considera que igual que tú has hallado vulnerabilidades, puede suceder que al mismo tiempo alguien también las haya encontrado y a diferencia de tí, esté utilizándolas para su provecho o simplemente digamos que ilegalmente. En tal situación reportar dichas vulnerabilidades les lleva inmediatamente a sospechar que eres tú el que les está asaltando y que no logran evitar.

Es una lástima que los gobiernos no incluyan (provean ni prevean), un sistema donde poder reportar estos datos (por ejemplo) a la policía pescializada en delitos telemáticos, como un apartado precisamente para recibir estas notificaciones y que luego ya la policía pudiera trasladar a las empresas y sobretodo verificar la validez de las vulnerabilidades y dando por positivo los resultados, exigir un plazo (razonable) a las empresas para enmendar dichos fallos (cuando lógicamente dependa de ellos).

Así que sí, lo mejor es enviar una notificación anónima donde expliques todo el caso bien desarrollado. No olvides incluir fechas y horarios (si los recuerdas), pués de algún modo esto podría ayudarles a distinguir esas otras posibles o supuestas intrusiones que tuvieren. Por supuesto si no señalas como destinatario "departamente de seguridad informática" (o similar), tiene muchas posibilidades de que acabe en la basura sin siquiera alguien que lo lea. Y aún con eso, puede que no sea atendido.

Más interesante si además de enviarlo a la propia empresa, se lo envías también a un juez, y aclaras en ambos escritos algo como: "este documento se envía por duplicado a la empresa 'x' y al juez, para que en futurible caso de violación de seguridad de la empresa, pueda un juez desestimar las posibles denuncias alegando omisión del deber en la seguridad..."
Es decir es una aclaración a la empresa de que en caso de que no resulevan los problemas, si en un futuro a causa de dichos fallos les expolian, el seguro (por ejemplo) podría denegarles el derecho a la cobertura alegando que fueron halladas vulnerabilidadas en el pasado, que no han sido corregidas y que son la causa del expolio. En fin, supone una invitación clara a corregir sus fallos o que se atengan a las consecuencias.

Machacador

Casas de apuestas???... mmmmmm... creo que te metiste con la  gente equivocada... huye de ese asunto porque puedes terminar con las piernas rotas... o tal vez sin vida...

:rolleyes: :o :rolleyes:
"Solo tu perro puede admirarte mas de lo que tu te admiras a ti mismo"

el-brujo

En el caso de Argentina (empresa pública):

En noviembre de 2019, CISA solicitó comentarios sobre un borrador para una directiva, que requeriría que la mayoría de las agencias del poder ejecutivo de EE.UU. crearan una política de divulgación de vulnerabilidades (VDP - Vulnerability Disclosure Policy). Un VDP les dice a quienes encuentran fallas en la infraestructura digital de una agencia dónde enviar un informe, qué tipos de pruebas están autorizadas, para qué sistemas y qué comunicación esperar en respuesta.

Nunca antes se había hecho una ronda de comentarios públicos sobre una directiva, pero dado que el tema es la "coordinación con el público", esta lo merecía. Se recibieron más de 200 recomendaciones de más de 40 fuentes únicas: investigadores de seguridad individuales, académicos, agencias federales, empresas de tecnología, sociedad civil e incluso miembros del Congreso. Cada uno mejoró el borrador de la directiva, su guía de implementación y una plantilla de VDP.

   Varios preguntaron si las aplicaciones móviles que las agencias ofrecen al público estarían dentro del alcance de los VDP.
   Algunos comentarios sugirieron formas de pensar sobre los problemas que eliminarían la ambigüedad en torno al alcance (incluye vulnerabilidades y configuraciones incorrectas), los requisitos de informes (se detienen cuando todo está dentro del alcance) y cómo responder a los informes de vulnerabilidad anónimos (no se hace; son anónimos).
   Varios comentarios discutieron el uso de "plazos establecidos", preocupados porque la directiva no exija plazos específicos para la remediación. Arreglar una vulnerabilidad no siempre es un botón, y la exigencia de fechas límite puede crear incentivos perversos en los que una vulnerabilidad de menor gravedad pero más antigua tiene prioridad organizativa sobre los errores más nuevos pero más críticos. Los plazos también pueden provocar arreglos apresurados. La directiva final deja en claro que el objetivo de establecer cronogramas objetivo en los procedimientos de manejo de divulgación de vulnerabilidades es ayudar a las organizaciones a establecer y rastrear métricas de desempeño; no son fechas de remediación obligatorias. Se habla mucho más sobre este tema en la guía de implementación).

Aunque no todas las sugerencias condujeron a un cambio directo, cada comentario ayudó a pensar más profundamente sobre la coordinación de vulnerabilidades en una organización pública. Luego de la ronda de preguntas, CISA emitió la versión final del BOD 20-01: "Mejora de la identificación, administración y corrección de vulnerabilidades". A continuación, se muestra una comparación de todo lo que cambió entre el borrador y el conjunto final de documentos.

Los VDP son una buena práctica de seguridad y rápidamente se han convertido en estándar de la industria. Incluso en el gobierno, otros han aprovechado los beneficios de trabajar con investigadores de seguridad antes.

Más recientemente, publicaron una guía para los administradores electorales para configurar sus propios VDP. En CISA, creen que una mejor seguridad de los sistemas informáticos gubernamentales solo se puede lograr cuando las personas tienen la oportunidad de ayudar.

https://www.cisa.gov/sites/default/files/publications/guide-vulnerability-reporting-americas-election-admins_508.pdf

Fuente:
Divulgación de vulnerabilidades responsable en el ámbito público
https://blog.segu-info.com.ar/2020/12/divulgacion-de-vulnerabilidades.html

White_Hunter117

Leyendo las respuesta de los demás, yo te hago la siguiente cuestión ¿Y si vas y ofreces tus servicios como auditor de sistemas?

Mira, vas, les ofreces, les dices porque es importante que se audite su red, sus sistemas, les enseñas casos reales donde empresas grandes han sido vulneradas y los convences de que te contraten para hacer todo ello, sería de una forma legal, ellos estarían de acuerdo de que hagas todo ello y al final bueno evidentemente te pagarían, no te metes en problemas, lo haces incluso bajo un contrato legal que te absuelva de cualquier problema porque obviamente la empresa te estaría contratando y le ayudarías a mejorar su seguridad y no te complicas con que si les mandas de forma anónima o equis.

Espero te ayude mi idea.

Saludos  ;D

Sicario

Hola trollwer queria saber de que forma buscas los fallos, saludos