Centro de coordinación CERT

El Centro de Coordinación CERT ( CERT/CC ) es el centro de coordinación del equipo de respuesta a emergencias informáticas (CERT) del Instituto de Ingeniería de Software (SEI), un centro de investigación y desarrollo sin fines de lucro financiado con fondos federales de los Estados Unidos . El CERT/CC investiga errores de software que afectan el software y la seguridad de Internet, publica investigaciones e información sobre sus hallazgos y trabaja con empresas y el gobierno para mejorar la seguridad del software y de Internet en su conjunto.

Historia

La primera organización de este tipo, el CERT/CC, se creó en Pittsburgh en noviembre de 1988 bajo la dirección de DARPA en respuesta al incidente del gusano Morris . ^[1] El CERT/CC ahora forma parte de la División CERT del Instituto de Ingeniería de Software, que cuenta con más de 150 profesionales de ciberseguridad trabajando en proyectos que adoptan un enfoque proactivo para proteger los sistemas. El programa CERT se asocia con el gobierno, la industria, las fuerzas del orden y el mundo académico para desarrollar métodos y tecnologías avanzados para contrarrestar amenazas cibernéticas sofisticadas y a gran escala.

El programa CERT es parte del Instituto de Ingeniería de Software (SEI), un centro de investigación y desarrollo ( FFRDC ) financiado con fondos federales en el campus principal de la Universidad Carnegie Mellon en Pittsburgh. CERT es una marca registrada de la Universidad Carnegie Mellon. ^[2]

Confusión con US-CERT y otros CERT

En 2003, el Departamento de Seguridad Nacional celebró un acuerdo con la Universidad Carnegie Mellon para crear US-CERT . ^[3] US-CERT es el equipo nacional de respuesta a incidentes de seguridad informática ( CSIRT ) de los Estados Unidos de América. Esta cooperación a menudo causa confusión entre el CERT/CC y el US-CERT. Si bien están relacionadas, las dos organizaciones son entidades distintas. En general, US-CERT maneja casos que conciernen a la seguridad nacional de EE. UU., mientras que CERT/CC maneja casos más generales, a menudo a nivel internacional.

El CERT/CC coordina la información con US-CERT y otros equipos de respuesta a incidentes de seguridad informática, algunos de los cuales tienen licencia para utilizar el nombre "CERT". ^[4] Si bien estas organizaciones obtienen la licencia del nombre "CERT" de la Universidad Carnegie Mellon, estas organizaciones son entidades independientes establecidas en sus propios países y no son operadas por el CERT/CC.

El CERT/CC estableció FIRST , una organización que promueve la cooperación y el intercambio de información entre los distintos CERT nacionales y los equipos privados de respuesta a incidentes de seguridad de productos (PSIRT).

Capacidades

El trabajo de investigación del CERT/CC se divide en varias Áreas de Trabajo diferentes. ^[5] Algunas capacidades y productos clave se enumeran a continuación.

Coordinación

El CERT/CC trabaja directamente con proveedores de software del sector privado, así como con agencias gubernamentales, para abordar las vulnerabilidades del software y proporcionar soluciones al público. Este proceso se conoce como coordinación.

El CERT/CC promueve un proceso particular de coordinación conocido como Divulgación Coordinada Responsable . En este caso, el CERT/CC trabaja de forma privada con el proveedor para abordar la vulnerabilidad antes de que se publique un informe público, generalmente junto con el propio aviso de seguridad del proveedor. En casos extremos, cuando el proveedor no está dispuesto a resolver el problema o no puede ser contactado, el CERT/CC generalmente divulga información públicamente 45 días después del primer intento de contacto. ^[6]

Las vulnerabilidades de software coordinadas por el CERT/CC pueden provenir de investigaciones internas o de informes externos. Las vulnerabilidades descubiertas por personas u organizaciones externas se pueden informar al CERT/CC utilizando el Formulario de informe de vulnerabilidad del CERT/CC. ^[7] Dependiendo de la gravedad de la vulnerabilidad reportada, el CERT/CC puede tomar medidas adicionales para abordar la vulnerabilidad y coordinarla con el proveedor de software.

Base de conocimientos y notas de vulnerabilidad

El CERT/CC publica periódicamente notas de vulnerabilidad en la base de conocimientos del CERT. ^{[8] [9]} Las notas de vulnerabilidad incluyen información sobre vulnerabilidades recientes que fueron investigadas y coordinadas, y cómo los individuos y las organizaciones pueden mitigar dichas vulnerabilidades.

La base de datos de Notas de vulnerabilidad no pretende ser exhaustiva.

Herramientas de análisis de vulnerabilidad

El CERT/CC proporciona una serie de herramientas gratuitas a la comunidad de investigación de seguridad. ^[10] Algunas herramientas ofrecidas incluyen las siguientes.

• CERT Tapioca: un dispositivo virtual preconfigurado para realizar ataques de intermediario. Esto se puede utilizar para analizar el tráfico de red de aplicaciones de software y determinar si el software utiliza el cifrado correctamente, etc.
• BFF (Basic Fuzzer Framework): un fuzzer de archivos mutacional para Linux
• FOE (motor de observación de fallos): un fuzzer de archivos mutacional para Windows
• Dranzer: descubrimiento de vulnerabilidades de Microsoft ActiveX

Capacitación

El CERT/CC ofrece periódicamente cursos de capacitación para investigadores u organizaciones que buscan establecer sus propios PSIRT. ^[11]

Controversias

En el verano de 2014, la investigación del CERT financiada por el gobierno federal de EE. UU. fue clave para la anonimización de Tor , y la información solicitada al CERT por el FBI se utilizó para derribar SilkRoad 2.0 ese otoño. El FBI negó haber pagado a CMU para desanonimizar a los usuarios, ^[12] y CMU negó haber recibido financiación para cumplir con la citación del gobierno. ^[13]

A pesar de contribuir indirectamente a la eliminación de numerosos sitios web ilícitos y al arresto de al menos 17 sospechosos, la investigación planteó múltiples cuestiones:

• sobre la ética de la investigación en seguridad informática como una preocupación para la comunidad Tor ^[14] y otros ^[15]
• sobre ser buscado injustificadamente en línea en relación con la garantía de la cuarta enmienda de EE. UU. ^[14]
• sobre SEI /CERT actuando con propósitos opuestos a sus propias misiones, acciones que incluyen ocultar las vulnerabilidades que había encontrado a los implementadores de software y al público. ^[15]

CMU dijo en un comunicado de noviembre de 2015 que "... la universidad recibe de vez en cuando citaciones solicitando información sobre las investigaciones que ha realizado. La universidad respeta el estado de derecho, cumple con las citaciones emitidas legalmente y no recibe financiación para su cumplimiento", a pesar de que placa base informó que ni el FBI ni la CMU explicaron cómo la autoridad se enteró por primera vez de la investigación y luego la citó para obtener la información adecuada. ^[13] En el pasado, SEI también se había negado a explicar la naturaleza de esta investigación en particular en respuesta a consultas de la prensa que decían: "Gracias por su consulta, pero es nuestra práctica no comentar sobre investigaciones policiales o procedimientos judiciales". ^[dieciséis]

Ver también

• Estándar de codificación CERT C
• Equipo de respuesta a emergencias informáticas
• La seguridad informática

Referencias

1. "Acerca de nosotros: la división CERT". Instituto de Ingeniería de Software . Universidad de Carnegie mellon . Consultado el 9 de marzo de 2015 .
2. "Marcas comerciales y marcas de servicio". Instituto de Ingeniería de Software . Universidad de Carnegie mellon . Consultado el 7 de diciembre de 2014 .
3. "El Departamento de Seguridad Nacional de EE. UU. anuncia asociación con el Centro de coordinación CERT de Carnegie Mellon". Comunicado de prensa del SEI . Universidad de Carnegie mellon. 15 de septiembre de 2003 . Consultado el 7 de diciembre de 2014 .
4. "CSIRT nacionales". Universidad de Carnegie mellon. 18 de septiembre de 2014 . Consultado el 9 de marzo de 2015 .
5. CERT/CC. "La División CERT" . Consultado el 9 de marzo de 2015 .
6. "Política de divulgación de vulnerabilidades". Instituto de Ingeniería de Software . Universidad de Carnegie mellon . Consultado el 9 de marzo de 2015 .
7. "Centro de Coordinación CERT".
8. "Base de datos de notas de vulnerabilidad". Instituto de Ingeniería de Software . Universidad de Carnegie mellon . Consultado el 27 de octubre de 2017 .
9. Cory Bennett (3 de noviembre de 2014). "Nueva iniciativa tiene como objetivo corregir fallas de seguridad del software". La colina . Consultado el 6 de diciembre de 2014 .
10. "Herramientas de análisis de vulnerabilidades". Instituto de Ingeniería de Software . Universidad de Carnegie mellon . Consultado el 9 de marzo de 2015 .
11. "Cursos de formación CERT". Instituto de Ingeniería de Software . Universidad de Carnegie mellon . Consultado el 9 de marzo de 2015 .
12. "FBI: 'La acusación de que pagamos a CMU 1 millón de dólares para piratear Tor es inexacta'". Ars Técnica. 14 de noviembre de 2015.
13. "El departamento de defensa de Estados Unidos financió una investigación de Carnegie Mellon para romper Tor". El guardián . 25 de febrero de 2016.
14. Dingledine, Roger (11 de noviembre de 2015). "¿El FBI pagó a una universidad para atacar a los usuarios de Tor?". Proyecto Tor . Consultado el 20 de noviembre de 2015 .
15. Felten, Ed (31 de julio de 2014). "¿Por qué los investigadores del CERT atacaron a Tor?". Freedom to Tinker, Centro de Políticas de Tecnología de la Información, Universidad de Princeton.
16. "Documentos judiciales muestran que una universidad ayudó al FBI a detener Silk Road 2 y sospechosos de pornografía infantil". Tarjeta madre . 11 de noviembre de 2015 . Consultado el 20 de noviembre de 2015 .

enlaces externos

• Página web oficial