En el campo de la seguridad informática , los investigadores independientes suelen descubrir fallos en el software que pueden utilizarse de forma abusiva para provocar un comportamiento no deseado; estos fallos se denominan vulnerabilidades . El proceso por el que se comparte el análisis de estas vulnerabilidades con terceros es objeto de mucho debate y se conoce como política de divulgación del investigador . La divulgación completa es la práctica de publicar el análisis de las vulnerabilidades del software lo antes posible, haciendo que los datos sean accesibles a todos sin restricciones. El objetivo principal de difundir ampliamente la información sobre las vulnerabilidades es que las víctimas potenciales estén tan informadas como quienes las atacan. [1]
En su ensayo de 2007 sobre el tema, Bruce Schneier afirmó: "La divulgación completa -la práctica de hacer públicos los detalles de las vulnerabilidades de seguridad- es una muy buena idea. El escrutinio público es la única forma fiable de mejorar la seguridad, mientras que el secreto sólo nos hace menos seguros". [2] Leonard Rose , cocreador de una lista de correo electrónico que ha sustituido a Bugtraq para convertirse en el foro de facto para difundir avisos, explica: "No creemos en la seguridad por oscuridad y, hasta donde sabemos, la divulgación completa es la única forma de garantizar que todos, no sólo los que tienen información privilegiada, tengan acceso a la información que necesitamos". [3]
La controversia en torno a la divulgación pública de información sensible no es nueva. La cuestión de la divulgación completa se planteó por primera vez en el contexto de la cerrajería, en una controversia del siglo XIX sobre si las debilidades en los sistemas de cerraduras debían mantenerse en secreto en la comunidad de cerrajeros o revelarse al público. [4] Hoy en día, existen tres políticas de divulgación principales bajo las cuales se pueden clasificar la mayoría de las demás: [5] No divulgación , divulgación coordinada y divulgación completa.
Las principales partes interesadas en la investigación de vulnerabilidades tienen sus políticas de divulgación moldeadas por diversas motivaciones; no es raro observar campañas, marketing o cabildeo para que se adopte su política preferida y castigar a quienes disienten. Muchos investigadores de seguridad destacados están a favor de la divulgación completa, mientras que la mayoría de los proveedores prefieren la divulgación coordinada. La no divulgación es generalmente favorecida por los proveedores de exploits comerciales y los hackers de sombrero negro . [6]
La divulgación coordinada de vulnerabilidades es una política en virtud de la cual los investigadores acuerdan informar sobre vulnerabilidades a una autoridad coordinadora, que a su vez las informa al proveedor, realiza un seguimiento de las correcciones y mitigaciones y coordina la divulgación de información con las partes interesadas, incluido el público. [7] [8] En algunos casos, la autoridad coordinadora es el proveedor. La premisa de la divulgación coordinada es, por lo general, que nadie debe ser informado sobre una vulnerabilidad hasta que el proveedor de software diga que es el momento. [9] [10] Si bien a menudo hay excepciones o variaciones de esta política, la distribución debe ser limitada inicialmente y se les otorga a los proveedores acceso privilegiado a la investigación no pública. [11]
El nombre original de este enfoque era “divulgación responsable”, basado en el ensayo del director de seguridad de Microsoft Scott Culp “It's Time to End Information Anarchy” [12] (en referencia a la divulgación completa). Microsoft pidió posteriormente que se eliminara gradualmente el término en favor de “divulgación coordinada de vulnerabilidades” (CVD). [13] [14]
Aunque el razonamiento varía, muchos profesionales sostienen que los usuarios finales no pueden beneficiarse del acceso a la información sobre vulnerabilidades sin la orientación o los parches del proveedor, por lo que los riesgos de compartir la investigación con actores maliciosos son demasiado grandes para obtener muy pocos beneficios. Como explica Microsoft, "[La divulgación coordinada] sirve a los mejores intereses de todos al garantizar que los clientes reciban actualizaciones completas y de alta calidad para las vulnerabilidades de seguridad, pero no estén expuestos a ataques maliciosos mientras se desarrolla la actualización". [14]
Para evitar que los proveedores retrasen indefinidamente la divulgación, una práctica común en la industria de la seguridad, iniciada por Google, [15] es publicar todos los detalles de las vulnerabilidades después de una fecha límite, generalmente 90 o 120 [16] días, reducida a 7 días si la vulnerabilidad está bajo explotación activa . [17]
La divulgación completa es la política de publicar información sobre vulnerabilidades sin restricciones lo antes posible, haciendo que la información sea accesible al público en general sin restricciones. En general, los defensores de la divulgación completa creen que los beneficios de la investigación sobre vulnerabilidades disponible libremente superan los riesgos, mientras que los oponentes prefieren limitar la distribución.
La libre disponibilidad de información sobre vulnerabilidades permite a los usuarios y administradores comprender y reaccionar ante las vulnerabilidades de sus sistemas, y permite a los clientes presionar a los proveedores para que solucionen vulnerabilidades que de otro modo no tendrían ningún incentivo para solucionar. Existen algunos problemas fundamentales con la divulgación coordinada que la divulgación completa puede resolver.
El descubrimiento de una falla o vulnerabilidad específica no es un evento mutuamente excluyente: varios investigadores con diferentes motivaciones pueden descubrir y descubren las mismas fallas de forma independiente.
No existe una forma estándar de hacer que la información sobre vulnerabilidades esté disponible para el público; los investigadores a menudo utilizan listas de correo dedicadas al tema, artículos académicos o conferencias de la industria.
La no divulgación es la política según la cual la información sobre vulnerabilidades no debe compartirse o solo debe compartirse bajo un acuerdo de confidencialidad (ya sea de manera contractual o informal).
Entre los defensores habituales de la no divulgación se incluyen los vendedores de exploits comerciales, los investigadores que intentan explotar los fallos que encuentran [5] y los defensores de la seguridad a través de la oscuridad .
En 2009, Charlie Miller , Dino Dai Zovi y Alexander Sotirov anunciaron en la conferencia CanSecWest la campaña "No More Free Bugs", argumentando que las empresas se están beneficiando y aprovechando a los investigadores de seguridad al no pagarles por revelar errores. [18] Este anuncio llegó a las noticias y abrió un debate más amplio sobre el problema y sus incentivos asociados. [19] [20]
Los investigadores que están a favor de la divulgación coordinada creen que los usuarios no pueden hacer uso de un conocimiento avanzado de las vulnerabilidades sin la orientación del proveedor, y que la mayoría de las personas se benefician más limitando la distribución de información sobre vulnerabilidades. Los defensores argumentan que los atacantes poco cualificados pueden utilizar esta información para realizar ataques sofisticados que de otro modo estarían fuera de su capacidad, y que el beneficio potencial no supera el daño potencial causado por actores maliciosos. La información solo se debe hacer pública cuando el proveedor haya preparado una guía que incluso los usuarios menos sofisticados puedan asimilar.
Este argumento presupone que el descubrimiento de vulnerabilidades es un evento mutuamente excluyente, que sólo una persona puede descubrir una vulnerabilidad. Hay muchos ejemplos de vulnerabilidades que se descubren simultáneamente, a menudo siendo explotadas en secreto antes de que otros investigadores las descubran. [21] Si bien puede haber usuarios que no pueden beneficiarse de la información sobre vulnerabilidades, los defensores de la divulgación completa creen que esto demuestra un desprecio por la inteligencia de los usuarios finales. Si bien es cierto que algunos usuarios no pueden beneficiarse de la información sobre vulnerabilidades, si están preocupados por la seguridad de sus redes están en posición de contratar a un experto para que los ayude, como contratarían a un mecánico para que los ayude con un automóvil.
La no divulgación se utiliza normalmente cuando un investigador pretende utilizar el conocimiento de una vulnerabilidad para atacar sistemas informáticos operados por sus enemigos, o intercambiar el conocimiento de una vulnerabilidad con un tercero para obtener ganancias, quien normalmente lo utilizará para atacar a sus enemigos.
Los investigadores que practican la no divulgación generalmente no están interesados en mejorar la seguridad o proteger las redes. Sin embargo, algunos defensores [¿ quiénes? ] argumentan que simplemente no quieren ayudar a los proveedores y no afirman tener intención de dañar a terceros.
Si bien los defensores de la divulgación completa y coordinada declaran objetivos y motivaciones similares, pero no están de acuerdo sobre la mejor manera de lograrlos, la no divulgación es completamente incompatible.
{{cite web}}
: CS1 maint: nombres numéricos: lista de autores ( enlace )