El Centro de Coordinación CERT ( CERT/CC ) es el centro de coordinación del equipo de respuesta a emergencias informáticas (CERT) del Instituto de Ingeniería de Software (SEI), un centro de investigación y desarrollo sin fines de lucro financiado con fondos federales de los Estados Unidos . El CERT/CC investiga errores de software que afectan el software y la seguridad de Internet, publica investigaciones e información sobre sus hallazgos y trabaja con empresas y el gobierno para mejorar la seguridad del software y de Internet en su conjunto.
La primera organización de este tipo, el CERT/CC, se creó en Pittsburgh en noviembre de 1988 bajo la dirección de DARPA en respuesta al incidente del gusano Morris . [1] El CERT/CC ahora forma parte de la División CERT del Instituto de Ingeniería de Software, que cuenta con más de 150 profesionales de ciberseguridad trabajando en proyectos que adoptan un enfoque proactivo para proteger los sistemas. El programa CERT se asocia con el gobierno, la industria, las fuerzas del orden y el mundo académico para desarrollar métodos y tecnologías avanzados para contrarrestar amenazas cibernéticas sofisticadas y a gran escala.
El programa CERT es parte del Instituto de Ingeniería de Software (SEI), un centro de investigación y desarrollo ( FFRDC ) financiado con fondos federales en el campus principal de la Universidad Carnegie Mellon en Pittsburgh. CERT es una marca registrada de la Universidad Carnegie Mellon. [2]
En 2003, el Departamento de Seguridad Nacional celebró un acuerdo con la Universidad Carnegie Mellon para crear US-CERT . [3] US-CERT es el equipo nacional de respuesta a incidentes de seguridad informática ( CSIRT ) de los Estados Unidos de América. Esta cooperación a menudo causa confusión entre el CERT/CC y el US-CERT. Si bien están relacionadas, las dos organizaciones son entidades distintas. En general, US-CERT maneja casos que conciernen a la seguridad nacional de EE. UU., mientras que CERT/CC maneja casos más generales, a menudo a nivel internacional.
El CERT/CC coordina la información con US-CERT y otros equipos de respuesta a incidentes de seguridad informática, algunos de los cuales tienen licencia para utilizar el nombre "CERT". [4] Si bien estas organizaciones obtienen la licencia del nombre "CERT" de la Universidad Carnegie Mellon, estas organizaciones son entidades independientes establecidas en sus propios países y no son operadas por el CERT/CC.
El CERT/CC estableció FIRST , una organización que promueve la cooperación y el intercambio de información entre los distintos CERT nacionales y los equipos privados de respuesta a incidentes de seguridad de productos (PSIRT).
El trabajo de investigación del CERT/CC se divide en varias Áreas de Trabajo diferentes. [5] Algunas capacidades y productos clave se enumeran a continuación.
El CERT/CC trabaja directamente con proveedores de software del sector privado, así como con agencias gubernamentales, para abordar las vulnerabilidades del software y proporcionar soluciones al público. Este proceso se conoce como coordinación.
El CERT/CC promueve un proceso particular de coordinación conocido como Divulgación Coordinada Responsable . En este caso, el CERT/CC trabaja de forma privada con el proveedor para abordar la vulnerabilidad antes de que se publique un informe público, generalmente junto con el propio aviso de seguridad del proveedor. En casos extremos, cuando el proveedor no está dispuesto a resolver el problema o no puede ser contactado, el CERT/CC generalmente divulga información públicamente 45 días después del primer intento de contacto. [6]
Las vulnerabilidades de software coordinadas por el CERT/CC pueden provenir de investigaciones internas o de informes externos. Las vulnerabilidades descubiertas por personas u organizaciones externas se pueden informar al CERT/CC utilizando el Formulario de informe de vulnerabilidad del CERT/CC. [7] Dependiendo de la gravedad de la vulnerabilidad reportada, el CERT/CC puede tomar medidas adicionales para abordar la vulnerabilidad y coordinarla con el proveedor de software.
El CERT/CC publica periódicamente notas de vulnerabilidad en la base de conocimientos del CERT. [8] [9] Las notas de vulnerabilidad incluyen información sobre vulnerabilidades recientes que fueron investigadas y coordinadas, y cómo los individuos y las organizaciones pueden mitigar dichas vulnerabilidades.
La base de datos de Notas de vulnerabilidad no pretende ser exhaustiva.
El CERT/CC proporciona una serie de herramientas gratuitas a la comunidad de investigación de seguridad. [10] Algunas herramientas ofrecidas incluyen las siguientes.
El CERT/CC ofrece periódicamente cursos de capacitación para investigadores u organizaciones que buscan establecer sus propios PSIRT. [11]
En el verano de 2014, la investigación del CERT financiada por el gobierno federal de EE. UU. fue clave para la anonimización de Tor , y la información solicitada al CERT por el FBI se utilizó para derribar SilkRoad 2.0 ese otoño. El FBI negó haber pagado a CMU para desanonimizar a los usuarios, [12] y CMU negó haber recibido financiación para cumplir con la citación del gobierno. [13]
A pesar de contribuir indirectamente a la eliminación de numerosos sitios web ilícitos y al arresto de al menos 17 sospechosos, la investigación planteó múltiples cuestiones:
CMU dijo en un comunicado de noviembre de 2015 que "... la universidad recibe de vez en cuando citaciones solicitando información sobre las investigaciones que ha realizado. La universidad respeta el estado de derecho, cumple con las citaciones emitidas legalmente y no recibe financiación para su cumplimiento", a pesar de que placa base informó que ni el FBI ni la CMU explicaron cómo la autoridad se enteró por primera vez de la investigación y luego la citó para obtener la información adecuada. [13] En el pasado, SEI también se había negado a explicar la naturaleza de esta investigación en particular en respuesta a consultas de la prensa que decían: "Gracias por su consulta, pero es nuestra práctica no comentar sobre investigaciones policiales o procedimientos judiciales". [dieciséis]