El término que está buscando es “divulgación responsable”. En otras palabras, desea revelar la existencia de una vulnerabilidad y desea hacerlo de manera responsable (en lugar de imprudente). Este tipo de cosas sucede todo el tiempo, y las pautas para la divulgación responsable han existido durante muchos años.
El Equipo de respuesta ante emergencias informáticas (CERT) puede ayudarlo con esto. Tienen una Política de divulgación de vulnerabilidades que explica claramente las expectativas de cada parte: usted (el “reportero”), la compañía cuyo software es vulnerable (el “vendedor”) y el propio CERT. Muy corto:
- Usted informa la vulnerabilidad al CERT.
- CERT informa la vulnerabilidad al proveedor.
- El vendedor tiene 45 días para mitigar el problema.
- El CERT informa al público sobre la vulnerabilidad y la mitigación, si la hay.
Puede encontrar más información sobre el proceso aquí: Política de divulgación de vulnerabilidad.
Este proceso fue diseñado para abordar algunos problemas que surgieron comúnmente en los años anteriores al proceso de “divulgación responsable”, y que todavía crean problemas cuando no se sigue el proceso de divulgación responsable.
- ¿Están disminuyendo los estándares morales en los negocios?
- ¿Es de mal gusto seguir mostrando los comerciales de Billy Mays?
- ¿Es ética la acción afirmativa?
- ¿Existe inevitablemente un elemento de engaño en el marketing en un sistema capitalista?
- ¿Cuáles son las implicaciones de la transmisión al estilo Star Trek?
- Cuando los reporteros lanzan sus hallazgos directamente al público, cualquier persona que use el software del proveedor corre un riesgo mucho mayor de inmediato, porque la cantidad de personas que pueden explotar la vulnerabilidad aumenta dramáticamente. Los informes directos al público no son amables con esos usuarios. Los usuarios ya estaban en algún riesgo, antes de publicar los hallazgos, porque si el reportero podía encontrarlo, entonces también podrían hacerlo los expertos dentro de la multitud de black-hat. Pero la divulgación pública inmediata hace que la vulnerabilidad sea conocida también por los no expertos, y ese es un grupo mucho más grande de personas.
- Cuando los reporteros lanzan sus hallazgos directamente al vendedor, el vendedor puede optar por ignorar los hallazgos. Los usuarios podrían estar expuestos al riesgo de explotación por parte de expertos durante un período de tiempo ilimitado.
- Cuando los reporteros lanzan sus hallazgos directamente al proveedor, el proveedor puede emitir un parche de inmediato, pero sin caracterizar adecuadamente la naturaleza de la vulnerabilidad. La comunidad de seguridad considera que los clientes vendedores tienen derecho a saber qué riesgos enfrentan antes y después de que el parche esté disponible.
- Cuando los reporteros lanzan sus hallazgos directamente al vendedor, el vendedor puede abordar la vulnerabilidad pero sin dar crédito al reportero por haber encontrado el problema en primer lugar. Hay varias razones perfectamente válidas por las cuales las personas que encuentran vulnerabilidades quieren crédito. En muchos casos, los reporteros son probadores de seguridad profesionales, y cada vulnerabilidad que encuentran es una oportunidad para dar a conocer su experiencia al mundo; en otras palabras, encontrar vulnerabilidades es una muy buena publicidad para sus habilidades.
- Cuando los reporteros divulgan sus hallazgos al público después de contactar al vendedor, el vendedor puede quejarse de que no se les dio suficiente tiempo para mitigar la vulnerabilidad. La demora de 45 días de CERT se acepta ampliamente como “tiempo suficiente”, y informar a CERT significa que un tercero desinteresado puede confirmar al público que el vendedor tuvo 45 días para abordar el problema antes de que se hiciera público.
En resumen, el formulario de informe de vulnerabilidad del usuario CERT para poner en marcha el proceso.
En mucho tiempo, puede aprender más de lo que siempre quiso saber sobre estas cosas a partir de una lectura cuidadosa del documento del IETF sobre el Proceso de divulgación de vulnerabilidad responsable.