Divulgación completa (seguridad informática)

Política en seguridad informática

En el campo de la seguridad informática , los investigadores independientes a menudo descubren fallas en el software de las que se puede abusar para provocar un comportamiento no deseado; Estos defectos se denominan vulnerabilidades . El proceso por el cual el análisis de estas vulnerabilidades se comparte con terceros es objeto de mucho debate y se conoce como política de divulgación del investigador . La divulgación completa es la práctica de publicar análisis de vulnerabilidades de software lo antes posible, haciendo que los datos sean accesibles para todos sin restricciones. El objetivo principal de difundir ampliamente información sobre vulnerabilidades es que las víctimas potenciales tengan tanto conocimiento como quienes las atacan. ^[1]

En su ensayo de 2007 sobre el tema, Bruce Schneier afirmó: "La divulgación completa (la práctica de hacer públicos los detalles de las vulnerabilidades de seguridad) es una muy buena idea. El escrutinio público es la única forma confiable de mejorar la seguridad, mientras que el secreto sólo nos hace menos seguros". ". ^[2] Leonard Rose , cocreador de una lista de correo electrónico que ha reemplazado a bugtraq para convertirse en el foro de facto para difundir avisos, explica: "No creemos en la seguridad mediante la oscuridad y, hasta donde sabemos, la divulgación completa es la única manera de garantizar que todos, no sólo los iniciados, tengan acceso a la información que necesitamos". ^[3]

El debate sobre la divulgación de vulnerabilidades

La controversia en torno a la divulgación pública de información sensible no es nueva. La cuestión de la divulgación total se planteó por primera vez en el contexto de la cerrajería, en una controversia del siglo XIX sobre si las debilidades de los sistemas de cerraduras debían mantenerse en secreto en la comunidad de cerrajería o revelarse al público. ^[4] Hoy en día, existen tres políticas de divulgación principales según las cuales se pueden clasificar la mayoría de las demás: ^[5] No divulgación , divulgación coordinada y divulgación completa.

Los principales interesados ​​en la investigación de la vulnerabilidad tienen sus políticas de divulgación determinadas por diversas motivaciones; no es raro observar campañas, marketing o lobby para que se adopte su política preferida y castigar a quienes disienten. Muchos investigadores de seguridad destacados están a favor de la divulgación completa, mientras que la mayoría de los proveedores prefieren la divulgación coordinada. Los proveedores de exploits comerciales y los hackers de sombrero negro generalmente prefieren la no divulgación . ^[6]

Divulgación coordinada de vulnerabilidades

La divulgación coordinada de vulnerabilidades es una política según la cual los investigadores acuerdan informar las vulnerabilidades a una autoridad coordinadora, que luego lo informa al proveedor, realiza un seguimiento de las correcciones y mitigaciones y coordina la divulgación de información con las partes interesadas, incluido el público. ^{[7] [8]} En algunos casos la autoridad coordinadora es el proveedor. La premisa de la divulgación coordinada suele ser que nadie debe ser informado sobre una vulnerabilidad hasta que el proveedor de software diga que es el momento. ^{[9] [10]} Si bien a menudo hay excepciones o variaciones de esta política, la distribución debe ser inicialmente limitada y los proveedores tienen acceso privilegiado a la investigación no pública. ^[11]

El nombre original de este enfoque era “ divulgación responsable ”, basado en el ensayo del director de seguridad de Microsoft, Scott Culp, “Es hora de poner fin a la anarquía de la información” ^[12] (en referencia a la divulgación completa). Más tarde, Microsoft pidió que el término se eliminara gradualmente en favor de la “divulgación coordinada de vulnerabilidades” (CVD). ^{[13] [14]}

Aunque el razonamiento varía, muchos profesionales argumentan que los usuarios finales no pueden beneficiarse del acceso a la información sobre vulnerabilidades sin orientación o parches del proveedor, por lo que los riesgos de compartir investigaciones con actores maliciosos son demasiado grandes para obtener muy pocos beneficios. Como explica Microsoft, "[la divulgación coordinada] sirve a los mejores intereses de todos al garantizar que los clientes reciban actualizaciones integrales y de alta calidad para las vulnerabilidades de seguridad, pero no estén expuestos a ataques maliciosos mientras se desarrolla la actualización". ^[14]

Para evitar que los proveedores retrasen indefinidamente la divulgación, una práctica común en la industria de la seguridad, iniciada por Google, ^[15] es publicar todos los detalles de las vulnerabilidades después de un plazo, normalmente de 90 o 120 ^[16] días, reducido a 7 días si el la vulnerabilidad está bajo explotación activa . ^[17]

La divulgación completa

La divulgación completa es la política de publicar información sobre vulnerabilidades sin restricciones lo antes posible, haciendo que la información sea accesible al público en general sin restricciones. En general, los defensores de la divulgación total creen que los beneficios de la investigación de vulnerabilidades disponible gratuitamente superan los riesgos, mientras que los opositores prefieren limitar la distribución.

La disponibilidad gratuita de información sobre vulnerabilidades permite a los usuarios y administradores comprender las vulnerabilidades de sus sistemas y reaccionar ante ellas, y permite a los clientes presionar a los proveedores para que corrijan vulnerabilidades que, de otro modo, los proveedores no sentirían ningún incentivo para resolver. Hay algunos problemas fundamentales con la divulgación coordinada que la divulgación completa puede resolver.

• Si los clientes no conocen las vulnerabilidades, no pueden solicitar parches y los proveedores no experimentan ningún incentivo económico para corregir las vulnerabilidades.
• Los administradores no pueden tomar decisiones informadas sobre los riesgos de sus sistemas, ya que la información sobre las vulnerabilidades está restringida.
• Los investigadores maliciosos que también conocen la falla tienen un largo período de tiempo para continuar explotándola.

El descubrimiento de una falla o vulnerabilidad específica no es un evento mutuamente excluyente; varios investigadores con diferentes motivaciones pueden descubrir, y de hecho lo hacen, las mismas fallas de forma independiente.

No existe una forma estándar de poner a disposición del público la información sobre vulnerabilidades; los investigadores suelen utilizar listas de correo dedicadas al tema, artículos académicos o conferencias de la industria.

No divulgación

La no divulgación es la política según la cual la información sobre vulnerabilidades no debe compartirse, o solo debe compartirse bajo un acuerdo de confidencialidad (ya sea contractual o informalmente).

Los defensores comunes de la no divulgación incluyen proveedores de exploits comerciales, investigadores que intentan explotar las fallas que encuentran ^[5] y defensores de la seguridad a través de la oscuridad .

Debate

En 2009, Charlie Miller , Dino Dai Zovi y Alexander Sotirov anunciaron en la conferencia CanSecWest la campaña "No más errores gratuitos", argumentando que las empresas se están beneficiando y aprovechándose de los investigadores de seguridad al no pagarles por revelar errores. ^[18] Este anuncio llegó a las noticias y abrió un debate más amplio sobre el problema y sus incentivos asociados. ^{[19] [20]}

Argumentos en contra de la divulgación coordinada

Los investigadores a favor de la divulgación coordinada creen que los usuarios no pueden hacer uso del conocimiento avanzado de las vulnerabilidades sin la guía del proveedor, y que a la mayoría le conviene limitar la distribución de la información sobre las vulnerabilidades. Los defensores argumentan que los atacantes poco capacitados pueden utilizar esta información para realizar ataques sofisticados que de otro modo estarían más allá de su capacidad, y el beneficio potencial no supera el daño potencial causado por actores malévolos. Sólo cuando el proveedor haya preparado una guía que incluso los usuarios menos sofisticados puedan asimilar, se debe hacer pública la información.

Este argumento presupone que el descubrimiento de una vulnerabilidad es un evento mutuamente excluyente, que sólo una persona puede descubrir una vulnerabilidad. Hay muchos ejemplos de vulnerabilidades que se descubren simultáneamente y que a menudo se explotan en secreto antes de que otros investigadores las descubran. ^[21] Si bien puede haber usuarios que no puedan beneficiarse de la información sobre vulnerabilidades, los defensores de la divulgación total creen que esto demuestra un desprecio por la inteligencia de los usuarios finales. Si bien es cierto que algunos usuarios no pueden beneficiarse de la información sobre vulnerabilidades, si les preocupa la seguridad de sus redes, están en condiciones de contratar a un experto para que los ayude, del mismo modo que contrataría a un mecánico para que le ayudara con un coche.

Argumentos en contra de la no divulgación

La no divulgación se utiliza normalmente cuando un investigador tiene la intención de utilizar el conocimiento de una vulnerabilidad para atacar sistemas informáticos operados por sus enemigos, o para intercambiar el conocimiento de una vulnerabilidad con un tercero con fines de lucro, quien normalmente lo usará para atacar a sus enemigos.

Los investigadores que practican la no divulgación generalmente no se preocupan por mejorar la seguridad o proteger las redes. Sin embargo, algunos proponentes ^{[ ¿quién? ]} argumentan que simplemente no quieren ayudar a los proveedores y afirman que no tienen intención de dañar a otros.

Mientras que los defensores de la divulgación total y coordinada declaran objetivos y motivaciones similares, y simplemente no están de acuerdo sobre la mejor manera de lograrlos, la no divulgación es totalmente incompatible.

Referencias

1. Heiser, Jay (enero de 2001). "Exponiendo el bombo publicitario de la infoseguridad". Revista de seguridad de la información . Objetivo tecnológico. Archivado desde el original el 28 de marzo de 2006 . Consultado el 29 de abril de 2013 .
2. Schneier, Bruce (enero de 2007). "Maldita buena idea". OSC en línea . Consultado el 29 de abril de 2013 .
3. Rosa, Leonard. "La divulgación completa". Una lista de correo ligeramente moderada para la discusión de temas de seguridad . Archivado desde el original el 23 de diciembre de 2010 . Consultado el 29 de abril de 2013 .
4. Hobbs, Alfred (1853). Cerraduras y cajas fuertes: la construcción de cerraduras . Londres: Virtud & Co.
5. Pastor, Stephen. "Divulgación de vulnerabilidad: ¿Cómo definimos Divulgación responsable?". SANS GIAC SEC VERSIÓN PRÁCTICA. 1.4B (OPCIÓN 1) . Instituto SANS . Consultado el 29 de abril de 2013 .
6. Moore, Robert (2005). Ciberdelincuencia: investigación de delitos informáticos de alta tecnología . Matthew Bender y compañía. pag. 258.ISBN​ 1-59345-303-5.
7. "Divulgación de vulnerabilidades de software en Europa". CEPS . 2018-06-27 . Consultado el 18 de octubre de 2019 .
8. Weulen Kranenbarg, Marleen; Holt, Thomas J.; van der Ham, Jeroen (19 de noviembre de 2018). "¡No disparen al mensajero! Una perspectiva criminológica e informática sobre la divulgación coordinada de vulnerabilidades". Ciencia del crimen . 7 (1): 16. doi : 10.1186/s40163-018-0090-8 . ISSN  2193-7680.
9. "Project Zero: Preguntas frecuentes sobre divulgación de vulnerabilidades". Proyecto Cero . Consultado el 18 de octubre de 2019 .
10. Christey, Steve. "Proceso de divulgación responsable de vulnerabilidades". IETF. pag. 3.3.2 . Consultado el 29 de abril de 2013 .
11. "Orientación sobre buenas prácticas de fabricación y buenas prácticas de distribución: preguntas y respuestas | Agencia Europea de Medicamentos". www.ema.europa.eu . Consultado el 1 de marzo de 2024 .
12. Culpa, Scott. "Es hora de poner fin a la anarquía de la información". Seguridad Technet . Microsoft Technet. Archivado desde el original el 9 de noviembre de 2001 . Consultado el 29 de abril de 2013 .
13. Bueno, Dan. "Microsoft impone una política de divulgación de seguridad a todos los trabajadores". El registro . Consultado el 29 de abril de 2013 .
14. Seguridad de Microsoft. "Divulgación coordinada de vulnerabilidades". Microsoft . Archivado desde el original el 16 de diciembre de 2014 . Consultado el 29 de abril de 2013 .
15. "Acerca de la seguridad de aplicaciones de Google: Google". sobre Google . Consultado el 17 de mayo de 2023 .
16. "Política | Iniciativa Día Cero". iniciativazeroday.com . Consultado el 17 de mayo de 2023 .
17. "Revisión de las políticas de divulgación responsable de 90 días en 2022". Tenable® . 2022-08-30 . Consultado el 17 de mayo de 2023 .
18. "Dailydave: No más errores gratuitos (y WOOT)". seclistas.org . Consultado el 17 de mayo de 2023 .
19. ""¿No más errores gratuitos "? Nunca hubo errores gratuitos". ZDNET . Consultado el 17 de mayo de 2023 .
20. "No más errores gratuitos para los proveedores de software". Threatpost.com . 2009-03-23 . Consultado el 17 de mayo de 2023 .
21. B1tch3z, Ac1d. "Ac1db1tch3z frente al kernel de Linux x86_64" . Consultado el 29 de abril de 2013 .{{cite web}}: Mantenimiento CS1: nombres numéricos: lista de autores ( enlace )