web analytics
Skip to content Skip to sidebar Skip to footer

Ce ar trebui sa fac dacă identific o vulnerabilitate?

Ei bine, daca ai dat peste o problema de securitate, nu esti singurul. Prima regula – nu te panica. Mai multi dintre noi au fost in aceasta situatie. Ideea e sa actionezi responsabil. Exista ceva numit “Divulgarea coordonata si responsabila a vulnerabilitatilor” (CVD), care e o chestie fancy pentru a spune ca putem lucra impreuna pentru a rezolva problema.

De obicei, cei care detin sau produc software-ul sau serviciul unde ai gasit problema vor sa stie despre ea, pentru ca ii ajuta sa isi imbunatateasca securitatea. Dar nu trebuie sa strigi in gura mare pe internet despre asta. In loc de asta, e bine sa ne contactezi privat, ca sa putem lua masuri fara sa alarmam toata lumea.

Asa ca, da-ne un semn daca ai dat de o vulnerabilitate si nu iti faci curaj dupa ce ai citit articolul acesta sa o raportezi direct. Suntem aici pentru a te ajuta sa raportezi problema in siguranta si sa contribuim impreuna la securitatea online. 

Divulgarea Coordonată a Vulnerabilitatilor (CVD) presupune o cooperare intre cei care descopera vulnerabilitatile si proprietarii sistemelor afectate, pentru a remedia problemele inainte de a deveni publice. Scopul este de a proteja utilizatorii si de a imbunatati securitatea generala a sistemelor informatice.

Raportorii sunt in general cercetatorii independenti si companiile de securitate care joaca un rol important in identificarea si raportarea vulnerabilitatilor. Prin contributia lor, acestia ajuta la imbunatatirea securitatii si la protejarea datelor utilizatorilor. 

Cercetator independent, CyberSecurity independent researcher, ethical hacker, white hat hacker, sunt denumiri pompoase care se castiga cu multa munca si seriozitate. Dar intr-un final, raportor poate fi oricine, indiferent de pregatire si cunostintele din domeniu.

DNSC (fostul CERT-RO) joaca un rol esential in procesarea informatiilor despre vulnerabilitati si coordonarea raspunsurilor. Ca parte a initiativei Global Forum on Cyberexpertise (GFCE), DNSC promoveaza adoptia mecanismelor CVD si participa activ la eforturile nationale si internationale pentru imbunatatirea securitatii cibernetice.

Sa o spunem direct, daca ai identificat o vulnerabilitate intr-un sistem informatic, optiunile sunt destul de putine. Le spun direct ca sa nu existe confuzii si fara diplomatie:

  Iesi rapid din sistem si speri sa nu te fi fost descoperit administratorul sistemului informatic. Iti vezi in continuare de viata si incerci sa nu mai intri din nou.

  Exploatezi vulnerabilitatea in scopuri malitioase. Istoria ne-a aratat ca povestile conform carora hackeri romani erau recrutati de catre NASA au devenit un mit. Au fost cateva cazuri, dar in afara de cativa ani de inchisoare nu se va intampla nimic bun. Intrebarea nu este daca te prinde, ci cand te va prinde.

  Daca ai exploatat vulnerabilitatea si totusi scapi de pedeapsa cu arest, ia in calcul tot deranjul pe care il poti avea. Vin niste oameni la 6 dimineata si iti bat la usa, se pune sechestru pe toate echipamentele gasite (stiu personal un caz cand i-a fost ridicat inclusiv televizorul pentru ca era Smart TV si putea folosi browserul televizorului cu un mouse si o tastatura).

Apoi echipamentele se restituie destul de greu, cercetarea dureaza destul de mult si pana la urma este un stres inutil in care vei trai. La care se adauga si un pic de paranoia, ca nu stii daca nu se gandeste organul de cercetare sa ridice echipamente si de la persoane conexe cu care are suspiciunea ca ai fi lucrat.

  Ia legatura cu destinatorul sistemului informatic si incearca sa raportezi vulnerabilitatile identificate. Aici se complica un pic lucrurile pentru ca abia recent au inceput producatorii, detinatorii si administratorii de sisteme informatice sa inteleaga care sunt riscurile la care se supun daca nu trateaza subiectul securitatii cu atentie.

Cum folosesc destul de mult puterea exemplului, exista sansa sa nu ai cu cine sa te intelegi. In majoritatea cazurilor vei fi ignorat, crezand ca emailul tau este o tentativa de phishing. In alte cazuri ego-ul va bate rationamentul si te vei trezi amenintat ca ai accesat un sistem informatic neautorizat si cel cu care discuti nu va lua masuri de remediere a vulnerabilitatii.

Totusi, sunt situatii in care cel caruia i-ai raportat vulnerabilitatea intelege exact ce se intampla si va lucra cu tine la remedierea si retestarea scenariului prin care ai identificat-o. Daca ai reusit sa gasesti un partener de dialog, este important cum abordezi situatia. Sfatul meu este sa pastrezi conceptul de raportare responsabila, fara interes material. Daca dorinta este sa si valorifici totusi aceste raportari, vezi in articolul acesta ca am facut referire la cateva programe si platforme de tip Bug Bounty.

 Raportaza prin intermediul unor terte parti neutre. Acest lucru poate ajuta la facilitarea unui proces de divulgare responsabil si eficient. Poti transmite raportul catre DNSC (link) sau catre noi, Asociatia Educatie in Securitate Cibernetica (link) si impreuna putem lucra la o forma de raportare responsabila si intr-un cadru legal.

Uneori lucrurile nu se intampla in ritmul si cu viteza pe care ni le dorim, dar acest lucru nu trebuie sa ne descurajeze. Orice s-ar intampla, vulnerabilitatea nu trebuie facuta public pana cand nu a fost remediata de catre persoana responsabila (producator, detinator, administrator). Stiu, este un mix de sentimente la granita dintre entuziasm si dezamagire daca nu se remediaza instant, insa in functie de gavitate, impact si complexitatea problemelor identificate, se poate remedia in cateva ore sau uneori in cateva luni.

Orice s-ar intampla, recomand sa nu iesi public si sa strigi in gura mare ce ai gasit pentru ca faima este de scurta durata si de cele mai multe ori este un efect de Domino prin care de la o vulnerabilitate simpla, noul anturaj te va incuraja sa cauti mai adanc. Si atunci ne intoarcem la primele optiuni din acest articol ;)

Daca ai intrebari sau nevoie de mai multe detalii, nu ezita sa imi scrii din pagina de contact, prin Whatsapp, email, cum iti e mai simplu. Promit sa incerc sa raspund in timp util.