En el campo de la seguridad informática , los investigadores independientes suelen descubrir fallos en el software que pueden ser explotados para provocar comportamientos no deseados; estos fallos se denominan vulnerabilidades . El proceso mediante el cual se comparte el análisis de estas vulnerabilidades con terceros es objeto de mucho debate y se conoce como política de divulgación del investigador . La divulgación completa consiste en publicar el análisis de las vulnerabilidades del software lo antes posible, haciendo que los datos sean accesibles a todo el mundo sin restricciones. El objetivo principal de difundir ampliamente la información sobre vulnerabilidades es que las posibles víctimas estén tan informadas como quienes las atacan. [ 1 ]
En su ensayo de 2007 sobre el tema, Bruce Schneier afirmó: «La divulgación completa —la práctica de hacer públicos los detalles de las vulnerabilidades de seguridad— es una idea excelente. El escrutinio público es la única forma fiable de mejorar la seguridad, mientras que el secreto solo nos hace menos seguros». [ 2 ] Leonard Rose , cocreador de una lista de correo electrónico que ha reemplazado a bugtraq para convertirse en el foro de facto para la difusión de avisos, explica: «No creemos en la seguridad por ocultación y, hasta donde sabemos, la divulgación completa es la única forma de garantizar que todos, no solo los internos, tengan acceso a la información que necesitamos». [ 3 ]
El debate sobre la divulgación de vulnerabilidades
La controversia en torno a la divulgación pública de información sensible no es nueva. El tema de la divulgación completa se planteó por primera vez en el contexto de la cerrajería, en una controversia del siglo XIX sobre si las debilidades en los sistemas de cerraduras debían mantenerse en secreto dentro de la comunidad de cerrajeros o revelarse al público. [ 4 ] Hoy en día, existen tres políticas principales de divulgación bajo las cuales se pueden clasificar la mayoría de las demás: [ 5 ] No divulgación , divulgación coordinada y divulgación completa.
Las principales partes interesadas en la investigación de vulnerabilidades tienen sus políticas de divulgación influenciadas por diversas motivaciones; no es raro observar campañas, marketing o cabildeo para que se adopte su política preferida y para reprender a quienes disienten. Muchos investigadores de seguridad prominentes favorecen la divulgación completa, mientras que la mayoría de los proveedores prefieren la divulgación coordinada. La no divulgación suele ser favorecida por los proveedores comerciales de exploits y los hackers maliciosos . [ 6 ]
Divulgación coordinada de vulnerabilidades
La divulgación coordinada de vulnerabilidades es una política según la cual los investigadores acuerdan informar sobre las vulnerabilidades a una autoridad coordinadora, que luego lo comunica al proveedor, realiza un seguimiento de las correcciones y las medidas de mitigación, y coordina la divulgación de la información con las partes interesadas, incluido el público. [ 7 ] [ 8 ] En algunos casos, la autoridad coordinadora es el proveedor. La premisa de la divulgación coordinada es que nadie debe ser informado sobre una vulnerabilidad hasta que el proveedor de software lo indique. [ 9 ] [ 10 ] Si bien a menudo existen excepciones o variaciones de esta política, la distribución debe limitarse inicialmente y los proveedores reciben acceso privilegiado a la investigación no pública. [ 11 ]
El nombre original de este enfoque era "divulgación responsable", basado en el ensayo del gerente de seguridad de Microsoft, Scott Culp, titulado "Es hora de acabar con la anarquía de la información" [ 12 ] (en referencia a la divulgación completa). Posteriormente, Microsoft solicitó que se eliminara gradualmente el término en favor de "Divulgación coordinada de vulnerabilidades" (CVD). [ 13 ] [ 14 ]
Aunque el razonamiento varía, muchos profesionales argumentan que los usuarios finales no pueden beneficiarse del acceso a la información sobre vulnerabilidades sin la orientación o los parches del proveedor, por lo que los riesgos de compartir la investigación con actores maliciosos son demasiado grandes para el escaso beneficio que se obtiene. Como explica Microsoft, «[La divulgación coordinada] beneficia a todos al garantizar que los clientes reciban actualizaciones completas y de alta calidad sobre vulnerabilidades de seguridad, pero sin estar expuestos a ataques maliciosos mientras se desarrolla la actualización». [ 14 ]
Para evitar que los proveedores retrasen indefinidamente la divulgación, una práctica común en la industria de la seguridad, iniciada por Google, [ 15 ] es publicar todos los detalles de las vulnerabilidades después de una fecha límite, generalmente 90 o 120 [ 16 ] días, reducidos a 7 días si la vulnerabilidad está siendo explotada activamente . [ 17 ]
Divulgación completa
La divulgación completa consiste en publicar información sobre vulnerabilidades sin restricciones lo antes posible, haciéndola accesible al público en general. En general, quienes defienden la divulgación completa creen que los beneficios de la investigación sobre vulnerabilidades disponible libremente superan los riesgos, mientras que quienes se oponen prefieren limitar su distribución.
La disponibilidad gratuita de información sobre vulnerabilidades permite a usuarios y administradores comprender y reaccionar ante las vulnerabilidades de sus sistemas, y permite a los clientes presionar a los proveedores para que solucionen vulnerabilidades que, de otro modo, estos podrían no tener incentivos para resolver. Existen algunos problemas fundamentales con la divulgación coordinada que la divulgación completa puede solucionar.
- Si los clientes desconocen las vulnerabilidades, no pueden solicitar parches y los proveedores no tienen ningún incentivo económico para corregirlas.
- Los administradores no pueden tomar decisiones informadas sobre los riesgos para sus sistemas, ya que la información sobre vulnerabilidades está restringida.
- Los investigadores malintencionados que conocen la vulnerabilidad disponen de un largo período de tiempo para seguir explotándola.
El descubrimiento de un fallo o vulnerabilidad específicos no es un hecho excluyente; varios investigadores con motivaciones diferentes pueden descubrir, y de hecho descubren, los mismos fallos de forma independiente.
No existe una forma estándar de poner la información sobre vulnerabilidades a disposición del público; los investigadores suelen utilizar listas de correo dedicadas al tema, artículos académicos o conferencias del sector.
No divulgación
La política de no divulgación establece que la información sobre vulnerabilidades no debe compartirse, o solo debe compartirse bajo un acuerdo de confidencialidad (ya sea contractual o informal).
Entre los defensores comunes de la no divulgación se incluyen los vendedores comerciales de exploits, los investigadores que pretenden explotar las fallas que encuentran, [ 5 ] y los defensores de la seguridad a través de la oscuridad .
Debate
En 2009, Charlie Miller , Dino Dai Zovi y Alexander Sotirov anunciaron en la conferencia CanSecWest la campaña "No More Free Bugs" (No más errores gratuitos), argumentando que las empresas se lucran y se aprovechan de los investigadores de seguridad al no pagarles por revelar errores. [ 18 ] Este anuncio llegó a los medios de comunicación y abrió un debate más amplio sobre el problema y los incentivos asociados. [ 19 ] [ 20 ]
Argumentos en contra de la divulgación coordinada
Los investigadores que defienden la divulgación coordinada creen que los usuarios no pueden aprovechar el conocimiento avanzado de las vulnerabilidades sin la guía del proveedor, y que lo mejor para la mayoría es limitar la distribución de información sobre vulnerabilidades. Los defensores argumentan que los atacantes con poca experiencia pueden usar esta información para realizar ataques sofisticados que de otro modo estarían fuera de su alcance, y que el beneficio potencial no compensa el daño potencial causado por actores malintencionados. Solo cuando el proveedor haya preparado una guía comprensible incluso para los usuarios menos experimentados debería hacerse pública la información.
Este argumento presupone que el descubrimiento de vulnerabilidades es un evento mutuamente excluyente, que solo una persona puede descubrir una vulnerabilidad. Hay muchos ejemplos de vulnerabilidades descubiertas simultáneamente, que a menudo son explotadas en secreto antes de ser descubiertas por otros investigadores. [ 21 ] Si bien puede haber usuarios que no puedan beneficiarse de la información sobre vulnerabilidades, los defensores de la divulgación completa creen que esto demuestra un desprecio por la inteligencia de los usuarios finales. Si bien es cierto que algunos usuarios no pueden beneficiarse de la información sobre vulnerabilidades, si les preocupa la seguridad de sus redes, están en condiciones de contratar a un experto para que los ayude, como se contrataría a un mecánico para que ayude con un automóvil.
Argumentos en contra de la falta de divulgación
La no divulgación se utiliza normalmente cuando un investigador tiene la intención de usar el conocimiento de una vulnerabilidad para atacar sistemas informáticos operados por sus enemigos, o para intercambiar el conocimiento de una vulnerabilidad con un tercero a cambio de un beneficio, quien normalmente lo utilizará para atacar a sus enemigos.
Los investigadores que practican la no divulgación generalmente no se preocupan por mejorar la seguridad ni proteger las redes. Sin embargo, algunos defensores argumentan que simplemente no desean ayudar a los proveedores y afirman no tener intención de perjudicar a terceros.
Aunque quienes defienden la divulgación completa y coordinada declaran objetivos y motivaciones similares, y simplemente discrepan sobre la mejor manera de lograrlos, la falta de divulgación es totalmente incompatible.
Véase también
Referencias
- ↑ Heiser, Jay (enero de 2001). "Desenmascarando la exageración en seguridad informática" . Information Security Mag . TechTarget. Archivado del original el 28 de marzo de 2006. Recuperado el 29 de abril de 2013 .
- ↑ Schneier, Bruce (enero de 2007). "Una idea genial" . CSO Online . Consultado el 29 de abril de 2013 .
- ↑ Rose, Leonard. "Transparencia total" . Una lista de correo con moderación ligera para la discusión de temas de seguridad . Archivado del original el 23 de diciembre de 2010. Recuperado el 29 de abril de 2013 .
- ↑ Hobbs, Alfred (1853). Cerraduras y cajas fuertes: La construcción de cerraduras . Londres: Virtue & Co.
- 1 2 Shepherd, Stephen. "Divulgación de vulnerabilidades: ¿Cómo definimos la divulgación responsable?" . SANS GIAC SEC PRACTICAL VER. 1.4B (OPCIÓN 1) . SANS Institute . Recuperado el 29 de abril de 2013 .
- ↑ Moore, Robert (2005). Ciberdelincuencia: Investigación de delitos informáticos de alta tecnología . Matthew Bender & Company. pág. 258. ISBN 1-59345-303-5.
- ↑ "Divulgación de vulnerabilidades de software en Europa" . CEPS . 27 de junio de 2018. Consultado el 18 de octubre de 2019 .
- ↑ Weulen Kranenbarg, Marleen; Holt, Thomas J.; van der Ham, Jeroen (2018-11-19). "¡No maten al mensajero! Una perspectiva criminológica e informática sobre la divulgación coordinada de vulnerabilidades" . Crime Science . 7 (1): 16. doi : 10.1186/s40163-018-0090-8 . hdl : 1871.1/8cdcfab0-9864-46c2-a7b7-a295c8ee511a . ISSN 2193-7680 .
- ↑ "Proyecto Cero: Preguntas frecuentes sobre la divulgación de vulnerabilidades" . Proyecto Cero . Consultado el 18 de octubre de 2019 .
- ↑ Christey, Steve (15 de febrero de 2002). "Proceso responsable de divulgación de vulnerabilidades" . IETF. pág. 3.3.2 . Recuperado el 29 de abril de 2013 .
- ↑ "Guía sobre buenas prácticas de fabricación y buenas prácticas de distribución: Preguntas y respuestas | Agencia Europea de Medicamentos" . www.ema.europa.eu . 31 de diciembre de 2009. Consultado el 1 de marzo de 2024 .
- ↑ Culp, Scott. "Es hora de acabar con la anarquía informativa" . Technet Security . Microsoft TechNet. Archivado del original el 9 de noviembre de 2001. Consultado el 29 de abril de 2013 .
- ↑ Goodin, Dan. "Microsoft impone una política de divulgación de seguridad a todos los trabajadores" . The Register . Consultado el 29 de abril de 2013 .
- 1 2 Seguridad de Microsoft. "Divulgación coordinada de vulnerabilidades" . Microsoft . Archivado del original el 16 de diciembre de 2014. Recuperado el 29 de abril de 2013 .
- ↑ "Acerca de la seguridad de las aplicaciones de Google - Google" . about.google . Consultado el 17 de mayo de 2023 .
- ↑ "Política | Iniciativa Día Cero" . zerodayinitiative.com . Consultado el 17 de mayo de 2023 .
- ↑ "Revisión de las políticas de divulgación responsable de 90 días en 2022" . Tenable® . 30 de agosto de 2022. Consultado el 17 de mayo de 2023 .
- ↑ "Dailydave: No más insectos gratis (y WOOT)" . seclists.org . Consultado el 17 de mayo de 2023 .
- ↑ ""¿Ya no hay errores gratuitos"? Nunca hubo errores gratuitos . ZDNET . Consultado el 17 de mayo de 2023 .
- ↑ "No más errores gratuitos para los proveedores de software" . threatpost.com . 23 de marzo de 2009. Consultado el 17 de mayo de 2023 .
- ↑ B1tch3z, Ac1d. "Ac1db1tch3z vs x86_64 Linux Kernel" . Consultado el 29 de abril de 2013 .
{{cite web}}: CS1 maint: nombres numéricos: lista de autores ( enlace )
- Procedimientos de seguridad informática