Divulgación coordinada de vulnerabilidades

Modelo de divulgación de vulnerabilidades de seguridad informática.

En seguridad informática , la divulgación coordinada de vulnerabilidades ( CVD , anteriormente conocida como divulgación responsable ) ^[1] es un modelo de divulgación de vulnerabilidades en el que una vulnerabilidad o un problema se divulga al público solo después de que a las partes responsables se les ha dado tiempo suficiente para parchear o remediar. la vulnerabilidad o el problema. ^[2] Esta coordinación distingue el modelo de derechos compensatorios del modelo de " divulgación total ".

Los desarrolladores de hardware y software a menudo necesitan tiempo y recursos para reparar sus errores. A menudo, son los piratas informáticos éticos quienes encuentran estas vulnerabilidades. ^[1] Los piratas informáticos y los científicos de seguridad informática opinan que es su responsabilidad social concienciar al público sobre las vulnerabilidades. Ocultar problemas podría provocar una sensación de falsa seguridad . Para evitarlo, las partes involucradas coordinan y negocian un plazo razonable para reparar la vulnerabilidad. Dependiendo del impacto potencial de la vulnerabilidad, el tiempo esperado necesario para desarrollar y aplicar una solución de emergencia o solución alternativa y otros factores, este período puede variar entre unos pocos días y varios meses.

La divulgación coordinada de vulnerabilidades puede no satisfacer a los investigadores de seguridad que esperan recibir una compensación financiera. Al mismo tiempo, algunos consideran que informar sobre vulnerabilidades con la expectativa de una compensación es una extorsión. ^{[3] [4]} Si bien se ha desarrollado un mercado para las vulnerabilidades, la comercialización de vulnerabilidades (o "recompensas por errores") sigue siendo un tema acaloradamente debatido. Hoy en día, los dos actores principales en el mercado de vulnerabilidad comercial son iDefense, que inició su programa de contribución de vulnerabilidad (VCP) en 2003, y TippingPoint , con su iniciativa de día cero (ZDI) iniciada en 2005. Estas organizaciones siguen el proceso coordinado de divulgación de vulnerabilidad. con el material comprado. Entre marzo de 2003 y diciembre de 2007, VCP o ZDI procesaron una media del 7,5% de las vulnerabilidades que afectaban a Microsoft y Apple. ^[5] Las empresas independientes que apoyan financieramente la divulgación coordinada de vulnerabilidades mediante el pago de recompensas por errores incluyen Facebook , Google y Barracuda Networks . ^[6]

Políticas de divulgación

Google Project Zero tiene un plazo de divulgación de 90 días que comienza después de notificar a los proveedores sobre la vulnerabilidad, y los detalles se comparten públicamente con la comunidad defensiva después de 90 días, o antes si el proveedor publica una solución. ^[7]

ZDI tiene un plazo de divulgación de 120 días que comienza después de recibir una respuesta del proveedor. ^[8]

Ejemplos

Vulnerabilidades de seguridad seleccionadas resueltas mediante la aplicación de divulgación coordinada:

• Ataque de colisión MD5 que muestra cómo crear certificados de CA falsos, 1 semana ^[9]
• Tarjeta de regalo de Starbucks con condición de carrera/gasto doble para crear créditos adicionales gratuitos, 10 días (Egor Homakov) ^[10]
• Dan Kaminsky descubre el envenenamiento de la caché de DNS , 5 meses ^[11]
• MBTA vs. Anderson , estudiantes del MIT encuentran vulnerabilidad en la seguridad del metro de Massachusetts, 5 meses ^[12]
• La Universidad Radboud de Nijmegen rompe la seguridad de las tarjetas MIFARE Classic, 6 meses ^[13]
• La vulnerabilidad Meltdown , vulnerabilidad de hardware que afecta a los microprocesadores Intel x86 y algunos microprocesadores basados ​​en ARM , 7 meses. ^[14]
• La vulnerabilidad Spectre , vulnerabilidad de hardware con implementaciones de predicción de ramas que afecta a microprocesadores modernos con ejecución especulativa , permitiendo a procesos maliciosos acceder a contenidos de memoria mapeados de otros programas, 7 meses. ^[14]
• La vulnerabilidad ROCA , que afecta a claves RSA generadas por una biblioteca Infineon y Yubikeys , 8 meses. ^[15]

Ver también

• Sensibilidad de la información
• Sombrero blanco (seguridad informática)
• Equipo de respuesta a emergencias informáticas
• Protección de infraestructura crítica

Referencias

1. Ding, Aaron Yi; De Jesús, Gianluca Limón; Janssen, Marijn (2019). "Hacking ético para impulsar la gestión de vulnerabilidades de IoT". Actas de la Octava Conferencia Internacional sobre Telecomunicaciones y Teledetección . TICRS '19. Rodas, Grecia: ACM Press. págs. 49–55. arXiv : 1909.11166 . doi :10.1145/3357767.3357774. ISBN 978-1-4503-7669-3. S2CID  202676146.
2. Weulen Kranenbarg, Marleen; Holt, Thomas J.; van der Ham, Jeroen (19 de noviembre de 2018). "¡No disparen al mensajero! Una perspectiva criminológica e informática sobre la divulgación coordinada de vulnerabilidades" (PDF) . Ciencia del crimen . 7 (1): 16. doi : 10.1186/s40163-018-0090-8 . ISSN  2193-7680. S2CID  54080134.
3. Kuhn, John (27 de mayo de 2016). "Caza furtiva de errores: una nueva táctica de extorsión dirigida a las empresas". Inteligencia de Seguridad . Consultado el 23 de enero de 2022 .
4. Rashid, Fahmida (9 de septiembre de 2015). "¿Extorsión o comercio justo? El valor de las recompensas por errores". InfoMundo . Consultado el 23 de enero de 2022 .
5. Stefan Frei, Dominik Schatzmann, Bernhard Plattner, Brian Trammel (2008). "Modelado del ecosistema de seguridad: la dinámica de la (in)seguridad".{{cite web}}: Mantenimiento CS1: varios nombres: lista de autores ( enlace )
6. "Efectividad del programa coordinado de divulgación de vulnerabilidades: problemas y recomendaciones" . Consultado el 21 de agosto de 2023 .
7. "Comentarios y actualizaciones basadas en datos de la política de divulgación de Google". Proyecto Cero . 2015-02-13 . Consultado el 17 de noviembre de 2018 .
8. "Política de divulgación". www.zerodayinitiative.com . Consultado el 17 de noviembre de 2018 .
9. "Ataque de colisión MD5 que muestra cómo crear certificados de CA falsos".
10. Goodin, Dan (24 de mayo de 2015). "El investigador que explota un error en las tarjetas de regalo de Starbucks recibe una reprimenda, no amor". Ars Técnica . Consultado el 16 de mayo de 2023 .
11. "Descubrimiento de Dan Kaminsky del envenenamiento de la caché de DNS" (PDF) .
12. "Los estudiantes del MIT encuentran vulnerabilidad en la seguridad del metro de Massachusetts". Archivado desde el original el 18 de marzo de 2016 . Consultado el 29 de abril de 2009 .
13. «Investigadores rompen la seguridad de las tarjetas MIFARE Classic» (PDF) . Archivado desde el original (PDF) el 18 de marzo de 2021 . Consultado el 29 de abril de 2009 .
14. "Project Zero: Lectura de memoria privilegiada con un canal lateral". 3 de enero de 2018.
15. El regreso del ataque del calderero: factorización práctica de módulos RSA ampliamente utilizados, Matus Nemec, Marek Sys, Petr Svenda, Dusan Klinec, Vashek Matyas, noviembre de 2017

enlaces externos

• La guía CERT para la divulgación coordinada de vulnerabilidades
• Proceso de divulgación coordinada de vulnerabilidades (CVD) de CISA
• Enfoque de Microsoft para la divulgación coordinada de vulnerabilidades
• Directrices de divulgación de vulnerabilidades coordinadas del Centro Nacional de Seguridad Cibernética de Holanda
• Política de divulgación coordinada de vulnerabilidades de Hewlett-Packard
• Programa coordinado de divulgación de vulnerabilidades de Linksys
• Política de divulgación coordinada de vulnerabilidades del Foro Global sobre Experiencia Cibernética
• Declaración de divulgación de vulnerabilidad coordinada de Philips
• Política de divulgación coordinada de vulnerabilidades del ETSI

enlaces externos

• "ISO/IEC TR 5895:2022 - Divulgación y manejo coordinado de vulnerabilidades entre varias partes".