Título: FAQ de Advisories Publicado por: AlbertoBSD en 9 Marzo 2009, 05:38 am Contenido
Advisories: En términos informáticos son Avisos sobre fallas de seguridad, generalmente son públicos después de que la falla a sido reportada hacia el vendor y este notifica que ya tiene un parche. Existen también aquellos que son liberados antes de que exista el parche y es cuando empiezan a salir Zero-day exploits. Estos advisores pueden variar en contenido y forma, van desde la simple nota de la existencia de una vulnerabilidad en alguna función o modulo de programa o hasta la explicación técnica de en que puntos esta la falla, y la manera de explotarla. Proof of concept: Prueba de concepto es un corto y/o incompleta realización (o síntesis) de un determinado método o idea para demostrar su viabilidad, o una manifestación, en principio, cuyo objetivo es verificar que un concepto o teoría es, probablemente, en condiciones de explotación de una manera útil. Un (algo sinónimo) plazo es "la prueba de principio". La prueba de concepto es generalmente considerado un hito en el camino hacia el pleno funcionamiento del prototipo. En seguridad informática, el término de prueba de concepto (código de prueba de concepto o PoC) se utiliza a menudo como un sinónimo de un Zero-day, principalmente para su pronta creación, no tiene ventaja sobre algunos de vulnerabilidad. Lista de Advisories de elhacker.net http://www.elhacker.net/advisories/ Como reportar una vulnerabilidad Ya sea que encontremos un bug/error de pura casualidad o investigación y logremos detallar los pasos de como lo descubrimos y/o realizamos en ese momento podremos dar reporte a la falla.
Dependiendo de esto ultimo procederemos o no y trataremos de ver si versiones anteriores son vulnerables también.
Denegación de Servicio Es el mas común, generalmente no pasaremos de hacer que la aplicación deje de funcionar Consumo de recursos Si no deja de funcionar, podremos causar algún consumo adicional de memoria y/o microprocesador Ejecución de Código Es lo que se busca en la mayoría de las veces, si logramos insertar código y ejecutarlo el sistema podría estar totalmente comprometido Revelado de información En dado caso podríamos revelar información que se supone que no deberíamos de poder ver. Algun Error menor Se podría dar la situación en la simplemente sobrescribamos alguna variable menor. Solo por mencionar algún ejemplo.
Cabe mencionar que muchas veces el bug no sera parcheado o puede tardar mucho. Formato sugerido para el reporte de una Vulnerabilidad Generalmente estos se reportan en texto plano. La mayoría de lista de correo esperan no mas de 80 caracteres por fila. Organización y Secciones recomendadas
La organización de dichas secciones puede variar y por su puesto que estas se reportan en ingles. Un ejemplo del reporte de una vulnerabilidad podria ser el siguiente Código: -----BEGIN PGP SIGNED MESSAGE----- Como ven tiene las secciones recomendadas y alguna extras, ademas va firmado mediante pgp lo cual es recomendable hacer. Para reportar (en Ingles) algúna falla en las listas de BugTraq :http://www.securityfocus.com/archive/post/1 Lista de Advisories públicos mas relevantes Veremos los ultimos Advisories publicos, con las opciones de ir especificando el vendor del software y la version del mismo :http://www.securityfocus.com/bid La lista de Symantec no están extensa como las anteriores sin embargo contiene Advisores mas relevantes de la familia de M$ y algunos otros como Adobe :http://www.symantec.com/business/security_response/landing/vulnerabilities.jsp Full Disclosure Policy (RFPolicy) v2.0 :http://www.wiretrip.net/rfp/policy.html Saludos. Título: Re: FAQ de Advisories Publicado por: plAnadecU en 10 Marzo 2009, 02:31 am Esta es una buena fuente de reportar bugs: https://www.zerodayinitiative.com (https://www.zerodayinitiative.com)
Siempre sales ganando. Aunque no se si es muy lícito. Venderan los exploits a grupos maliciosos? Los utilizan para spam/espionaje/chantaje? Saludos. Título: Re: FAQ de Advisories Publicado por: sirdarckcat en 10 Marzo 2009, 03:06 am Tanto ZDI como iDefense labs son propuestas completamente legales respaldadas por empresas altamente reconocidas.
Que bueno que los mencionas porque son una alternativa para reportar vulnerabilidades muy importante. El protocolo de la vida de la vulnerabilidad es publico, y se te reporta como evolucionan las cosas.. no se venden las vulnerabilidades a ningun grupo, los unicos que reciben los detalles de esta son el distribuidor. Saludos!! Título: Re: FAQ de Advisories Publicado por: AlbertoBSD en 1 Abril 2009, 08:21 am Bien ya estan quedando las FAQs
En este topic podremos poner un lista a los Advisories que estemos estudiando o discutiendo. Dicha lista tendría el link al advisory en este foro alguna explicación del mismo o informe de los avances, referencia CVE u Otra si es que tiene, porcentaje entre otros. [P] PoC [E] Exploit Código: [*] [url=LINK]Nombre[/url] Bien aqui pondre en los que me he quedado.
Título: Re: FAQ de Advisories Publicado por: berz3k en 20 Agosto 2009, 12:08 pm @Anon
Te falta agregar la politicar FULL-DISCLOSURE , politica implementada ya de hace muchos años por RFP, existe ahora la v2.0, que ha grandes rasgos es la libertad de publicar o no, despues de un periodo del primer contacto con el vendor. Full Disclosure Policy (RFPolicy) v2.0 :http://www.wiretrip.net/rfp/policy.html -berz3k. Título: Re: FAQ de Advisories Publicado por: AlbertoBSD en 14 Febrero 2010, 04:01 am He agregado el Full Disclosure Policy al primer post
Título: Re: FAQ de Advisories Publicado por: adulti en 10 Enero 2012, 04:21 am Después de Intercambiar algunos correos y ver que el bug sea arreglado y este disponible un parche o nueva versión ahora si es posible publicar el bug en un blog/web propios y posteriormente publicarlo en alguna pagina como securityfocus, milw0rm entre otras.
|