Centro de Coordinación CERT

El Centro de Coordinación CERT ( CERT/CC ) es el centro de coordinación del equipo de respuesta a emergencias informáticas (CERT) del Instituto de Ingeniería de Software (SEI), un centro de investigación y desarrollo sin fines de lucro financiado por el gobierno federal de los Estados Unidos . El CERT/CC investiga errores de software que afectan la seguridad del software y de Internet, publica investigaciones e información sobre sus hallazgos y trabaja con empresas y el gobierno para mejorar la seguridad del software y de Internet en su conjunto.

Historia

El CERT/CC, la primera organización de su tipo, se creó en Pittsburgh en noviembre de 1988 bajo la dirección de la DARPA en respuesta al incidente del gusano Morris . ^[1] El CERT/CC ahora es parte de la División CERT del Instituto de Ingeniería de Software, que cuenta con más de 150 profesionales de la ciberseguridad que trabajan en proyectos que adoptan un enfoque proactivo para proteger los sistemas. El Programa CERT se asocia con el gobierno, la industria, las fuerzas de seguridad y el mundo académico para desarrollar métodos y tecnologías avanzados para contrarrestar las ciberamenazas sofisticadas a gran escala.

El programa CERT es parte del Instituto de Ingeniería de Software (SEI), un centro de investigación y desarrollo financiado por el gobierno federal ( FFRDC ) en el campus principal de la Universidad Carnegie Mellon en Pittsburgh. CERT es una marca registrada de la Universidad Carnegie Mellon. ^[2]

Confusión con US-CERT y otros CERT

En 2003, el Departamento de Seguridad Nacional firmó un acuerdo con la Universidad Carnegie Mellon para crear el US-CERT . ^[3] El US-CERT es el equipo nacional de respuesta a incidentes de seguridad informática ( CSIRT ) de los Estados Unidos de América. Esta cooperación suele causar confusión entre el CERT/CC y el US-CERT. Aunque están relacionadas, las dos organizaciones son entidades distintas. En general, el US-CERT se ocupa de casos que conciernen a la seguridad nacional de los EE. UU., mientras que el CERT/CC se ocupa de casos más generales, a menudo a nivel internacional.

El CERT/CC coordina la información con el US-CERT y otros equipos de respuesta a incidentes de seguridad informática, algunos de los cuales tienen licencia para utilizar el nombre "CERT". ^[4] Si bien estas organizaciones utilizan el nombre "CERT" de la Universidad Carnegie Mellon, son entidades independientes establecidas en sus propios países y no están operadas por el CERT/CC.

El CERT/CC estableció FIRST , una organización que promueve la cooperación y el intercambio de información entre los diversos CERT nacionales y los equipos privados de respuesta a incidentes de seguridad de productos (PSIRT).

Capacidades

El trabajo de investigación del CERT/CC se divide en varias áreas de trabajo diferentes. ^[5] A continuación se enumeran algunas capacidades y productos clave.

Coordinación

El CERT/CC trabaja directamente con los proveedores de software del sector privado y con agencias gubernamentales para abordar las vulnerabilidades del software y proporcionar soluciones al público. Este proceso se conoce como coordinación.

El CERT/CC promueve un proceso particular de coordinación conocido como Divulgación Responsable Coordinada . En este caso, el CERT/CC trabaja en forma privada con el proveedor para abordar la vulnerabilidad antes de que se publique un informe público, generalmente en conjunto con el propio aviso de seguridad del proveedor. En casos extremos, cuando el proveedor no está dispuesto a resolver el problema o no se puede contactar con él, el CERT/CC generalmente divulga la información públicamente 45 días después del primer intento de contacto. ^[6]

Las vulnerabilidades de software coordinadas por el CERT/CC pueden provenir de investigaciones internas o de informes externos. Las vulnerabilidades descubiertas por personas u organizaciones externas pueden ser informadas al CERT/CC mediante el Formulario de Informe de Vulnerabilidades del CERT/CC. ^[7] Dependiendo de la gravedad de la vulnerabilidad informada, el CERT/CC puede tomar medidas adicionales para abordar la vulnerabilidad y coordinarse con el proveedor del software.

Base de conocimientos y notas sobre vulnerabilidades

El CERT/CC publica periódicamente Notas de vulnerabilidad en la Base de conocimiento del CERT. ^{[8] [9]} Las Notas de vulnerabilidad incluyen información sobre vulnerabilidades recientes que se investigaron y coordinaron, y cómo las personas y las organizaciones pueden mitigar dichas vulnerabilidades.

La base de datos de Notas de Vulnerabilidad no pretende ser exhaustiva.

Herramientas de análisis de vulnerabilidades

El CERT/CC proporciona una serie de herramientas gratuitas a la comunidad de investigación de seguridad. ^[10] Algunas de las herramientas ofrecidas incluyen las siguientes.

• CERT Tapioca: un dispositivo virtual preconfigurado para realizar ataques de intermediario. Puede utilizarse para analizar el tráfico de red de aplicaciones de software y determinar si el software utiliza el cifrado correctamente, etc.
• BFF (Basic Fuzzer Framework): un analizador de archivos mutacional para Linux
• FOE (Failure Observation Engine): un analizador de errores de archivos mutacionales para Windows
• Dranzer: detección de vulnerabilidades de Microsoft ActiveX

Capacitación

El CERT/CC ofrece periódicamente cursos de capacitación para investigadores u organizaciones que buscan establecer sus propios PSIRT. ^[11]

Controversias

En el verano de 2014, la investigación del CERT financiada por el gobierno federal de los EE. UU. fue clave para la desanonimización de Tor , y la información obtenida del CERT por orden judicial del FBI se utilizó para desmantelar SilkRoad 2.0 ese otoño. El FBI negó haber pagado a CMU para desanonimizar a los usuarios, ^[12] y CMU negó haber recibido fondos para su cumplimiento de la orden judicial del gobierno. ^[13]

A pesar de haber contribuido indirectamente al desmantelamiento de numerosos sitios web ilícitos y al arresto de al menos 17 sospechosos, la investigación planteó múltiples cuestiones:

• sobre la ética de la investigación en seguridad informática como una preocupación para la comunidad Tor ^[14] y otros ^[15]
• sobre la búsqueda injustificada en línea en relación con la garantía de la cuarta enmienda de los EE. UU. ^[14]
• sobre la actuación de SEI /CERT en contra de sus propias misiones, acciones que incluyen ocultar las vulnerabilidades que había encontrado a los implementadores de software y al público. ^[15]

En noviembre de 2015, la CMU afirmó en una declaración que "... la universidad recibe de vez en cuando citaciones judiciales en las que se solicita información sobre las investigaciones que ha realizado. La universidad respeta el estado de derecho, cumple con las citaciones emitidas legalmente y no recibe financiación por su cumplimiento", aunque Motherboard informó que ni el FBI ni la CMU explicaron cómo la autoridad se enteró por primera vez de la investigación y luego citó a la institución para obtener la información correspondiente. ^[13] En el pasado, SEI también se había negado a explicar la naturaleza de esta investigación en particular en respuesta a las consultas de la prensa diciendo: "Gracias por su consulta, pero es nuestra práctica no hacer comentarios sobre investigaciones policiales o procedimientos judiciales". ^[16]

Véase también

• Norma de codificación CERT C
• Equipo de respuesta ante emergencias informáticas
• Seguridad informática

Referencias

1. "Acerca de nosotros: La División CERT". Instituto de Ingeniería de Software . Universidad Carnegie Mellon . Consultado el 9 de marzo de 2015 .
2. "Marcas comerciales y marcas de servicio". Instituto de Ingeniería de Software . Universidad Carnegie Mellon . Consultado el 7 de diciembre de 2014 .
3. "El Departamento de Seguridad Nacional de Estados Unidos anuncia una asociación con el Centro de Coordinación CERT de Carnegie Mellon". Comunicado de prensa del SEI . Universidad Carnegie Mellon. 15 de septiembre de 2003. Consultado el 7 de diciembre de 2014 .
4. "CSIRT nacionales". Universidad Carnegie Mellon. 18 de septiembre de 2014. Consultado el 9 de marzo de 2015 .
5. CERT/CC. «La División CERT» . Consultado el 9 de marzo de 2015 .
6. "Política de divulgación de vulnerabilidades". Instituto de Ingeniería de Software . Universidad Carnegie Mellon . Consultado el 9 de marzo de 2015 .
7. "Centro de Coordinación CERT".
8. "Base de datos de notas sobre vulnerabilidades". Instituto de Ingeniería de Software . Universidad Carnegie Mellon . Consultado el 27 de octubre de 2017 .
9. Cory Bennett (3 de noviembre de 2014). «Nueva iniciativa tiene como objetivo solucionar fallas de seguridad del software». The Hill . Consultado el 6 de diciembre de 2014 .
10. "Herramientas de análisis de vulnerabilidades". Instituto de Ingeniería de Software . Universidad Carnegie Mellon . Consultado el 9 de marzo de 2015 .
11. "Cursos de capacitación CERT". Instituto de Ingeniería de Software . Universidad Carnegie Mellon . Consultado el 9 de marzo de 2015 .
12. "FBI: 'La acusación de que pagamos a CMU 1 millón de dólares para hackear Tor es inexacta'". Ars Technica. 14 de noviembre de 2015.
13. "El Departamento de Defensa de Estados Unidos financió una investigación de Carnegie Mellon para descifrar Tor". The Guardian . 25 de febrero de 2016.
14. Dingledine, Roger (11 de noviembre de 2015). "¿Pagó el FBI a una universidad para atacar a los usuarios de Tor?". Proyecto Tor . Consultado el 20 de noviembre de 2015 .
15. Felten, Ed (31 de julio de 2014). "¿Por qué los investigadores del CERT atacaron Tor?". Freedom to Tinker, Centro de Políticas de Tecnología de la Información, Universidad de Princeton.
16. "Documentos judiciales muestran que una universidad ayudó al FBI a desmantelar Silk Road 2 y a los sospechosos de pornografía infantil". Motherboard . 11 de noviembre de 2015 . Consultado el 20 de noviembre de 2015 .

Enlaces externos

• Sitio web oficial