El Centro de Coordinación CERT ( CERT / CC ) es el centro de coordinación del equipo de respuesta a emergencias informáticas (CERT) para el Instituto de Ingeniería de Software (SEI), un centro de investigación y desarrollo sin fines de lucro financiado con fondos federales de los Estados Unidos . El CERT / CC investiga errores de software que afectan el software y la seguridad de Internet, publica investigaciones e información sobre sus hallazgos y trabaja con empresas y gobiernos para mejorar la seguridad del software y de Internet en su conjunto.
Tipo | FFRDC (parte del Instituto de Ingeniería de Software ) |
---|---|
Industria | Seguridad del software y de la red |
Fundado | 1988 |
Sede | Pittsburgh, PA , Estados Unidos |
Gente clave | Roberta G. Stempfley Directora |
Sitio web | sei |
Historia
La primera organización de su tipo, el CERT / CC se creó en Pittsburgh en noviembre de 1988 por orden de DARPA en respuesta al incidente del gusano Morris . [1] El CERT / CC ahora es parte de la División CERT del Software Engineering Institute, que cuenta con más de 150 profesionales de ciberseguridad que trabajan en proyectos que adoptan un enfoque proactivo para proteger los sistemas. El Programa CERT se asocia con el gobierno, la industria, las fuerzas del orden y el mundo académico para desarrollar métodos y tecnologías avanzados para contrarrestar las ciberamenazas sofisticadas a gran escala.
El programa CERT es parte del Instituto de Ingeniería de Software (SEI), un centro de investigación y desarrollo financiado con fondos federales ( FFRDC ) en el campus principal de la Universidad Carnegie Mellon en Pittsburgh. CERT es una marca registrada de Carnegie Mellon University. [2]
Confusión con US-CERT y otros CERT
En 2003, el Departamento de Seguridad Nacional celebró un acuerdo con la Universidad Carnegie Mellon para crear US-CERT . [3] US-CERT es el equipo nacional de respuesta a incidentes de seguridad informática ( CSIRT ) de los Estados Unidos de América. Esta cooperación a menudo causa confusión entre el CERT / CC y el US-CERT. Si bien están relacionadas, las dos organizaciones son entidades distintas. En general, US-CERT maneja casos que conciernen a la seguridad nacional de Estados Unidos, mientras que CERT / CC maneja casos más generales, a menudo a nivel internacional.
El CERT / CC coordina la información con el US-CERT y otros equipos de respuesta a incidentes de seguridad informática, algunos de los cuales tienen licencia para usar el nombre "CERT". [4] Si bien estas organizaciones licencian el nombre "CERT" de la Universidad Carnegie Mellon, estas organizaciones son entidades independientes establecidas en sus propios países y no son operadas por el CERT / CC.
El CERT / CC estableció FIRST, una organización que promueve la cooperación y el intercambio de información entre los diversos CERT nacionales y los PSIRT privados de seguridad de productos.
Capacidades
El trabajo de investigación del CERT / CC se divide en varias Áreas de Trabajo diferentes. [5] A continuación se enumeran algunas capacidades y productos clave.
Coordinación
El CERT / CC trabaja directamente con los proveedores de software en el sector privado, así como con las agencias gubernamentales para abordar las vulnerabilidades del software y proporcionar soluciones al público. Este proceso se conoce como coordinación.
El CERT / CC promueve un proceso particular de coordinación conocido como Divulgación Responsable Coordinada . En este caso, el CERT / CC trabaja en privado con el proveedor para abordar la vulnerabilidad antes de que se publique un informe público, generalmente junto con el aviso de seguridad del propio proveedor. En casos extremos cuando el proveedor no está dispuesto a resolver el problema o no puede ser contactado, el CERT / CC generalmente divulga información públicamente después de 45 días desde el primer intento de contacto. [6]
Las vulnerabilidades de software coordinadas por el CERT / CC pueden provenir de investigaciones internas o de informes externos. Las vulnerabilidades descubiertas por personas u organizaciones externas pueden informarse al CERT / CC mediante el Formulario de informe de vulnerabilidades del CERT / CC. [7] Dependiendo de la gravedad de la vulnerabilidad informada, el CERT / CC puede tomar más medidas para abordar la vulnerabilidad y coordinar con el proveedor de software.
Notas de la base de conocimientos y vulnerabilidades
El CERT / CC publica periódicamente Notas de vulnerabilidad en la Base de conocimientos del CERT. [8] [9] Las notas sobre vulnerabilidades incluyen información sobre vulnerabilidades recientes que se investigaron y coordinaron, y cómo los individuos y las organizaciones pueden mitigar dichas vulnerabilidades.
La base de datos de Vulnerability Notes no pretende ser exhaustiva.
Herramientas de análisis de vulnerabilidad
El CERT / CC proporciona una serie de herramientas gratuitas a la comunidad de investigación en seguridad. [10] Algunas de las herramientas que se ofrecen son las siguientes.
- CERT Tapioca: un dispositivo virtual preconfigurado para realizar ataques man-in-the-middle. Esto se puede utilizar para analizar el tráfico de red de las aplicaciones de software y determinar si el software utiliza el cifrado correctamente, etc.
- BFF (Basic Fuzzer Framework): un fuzzer de archivos mutacional para Linux
- FOE (Failure Observation Engine): un fuzzer de archivos mutacional para Windows
- Dranzer: descubrimiento de vulnerabilidades de Microsoft ActiveX
Capacitación
El CERT / CC ofrece periódicamente cursos de formación para investigadores u organizaciones que buscan establecer sus propios PSIRT. [11]
Centro de Coordinación CERT
Controversias
En el verano de 2014, la investigación del CERT financiada por el gobierno federal de los EE. UU. Fue clave para la anonimización de Tor (red de anonimato) , y la información citada por el CERT por el FBI se utilizó para eliminar SilkRoad 2.0 ese otoño. El FBI negó haber pagado a CMU para desanonimizar a los usuarios, [12] y CMU negó haber recibido fondos para cumplir con la citación del gobierno. [13]
A pesar de contribuir indirectamente a la eliminación de numerosos sitios web ilícitos y al arresto de al menos 17 sospechosos, la investigación planteó múltiples problemas:
- sobre la ética de la investigación en seguridad informática como una preocupación para la comunidad Tor [14] y otros [15]
- sobre la búsqueda injustificada en línea en relación con la garantía de la cuarta enmienda de EE. UU. [14]
- sobre SEI / CERT actuando en contraposición a sus propias misiones, acciones que incluyen ocultar las vulnerabilidades que había encontrado a los implementadores de software y al público. [15]
CMU dijo en un comunicado en noviembre de 2015 que "... la universidad de vez en cuando recibe citaciones que solicitan información sobre la investigación que ha realizado. La universidad cumple con el estado de derecho, cumple con las citaciones emitidas legalmente y no recibe fondos para su cumplimiento ", a pesar de que Motherboard informó que ni el FBI ni la CMU explicaron cómo la autoridad se enteró por primera vez de la investigación y luego solicitó la información adecuada. [13] En el pasado, SEI también se había negado a explicar la naturaleza de esta investigación en particular en respuesta a las consultas de la prensa diciendo: "Gracias por su consulta, pero es nuestra práctica no comentar sobre las investigaciones policiales o los procedimientos judiciales". [dieciséis]
Ver también
Referencias
- ^ "Sobre nosotros: la división CERT" . Instituto de Ingeniería de Software . Universidad Carnegie Mellon . Consultado el 9 de marzo de 2015 .
- ^ "Marcas comerciales y marcas de servicio" . Instituto de Ingeniería de Software . Universidad Carnegie Mellon . Consultado el 7 de diciembre de 2014 .
- ^ "Departamento de seguridad nacional de Estados Unidos anuncia asociación con el centro de coordinación CERT de Carnegie Mellon" . Comunicado de prensa de SEI . Universidad de Carnegie mellon. 15 de septiembre de 2003 . Consultado el 7 de diciembre de 2014 .
- ^ "CSIRT nacionales" . Universidad Carnegie Mellon . Consultado el 9 de marzo de 2015 .
- ^ CERT / CC. "La División CERT" . Consultado el 9 de marzo de 2015 .
- ^ "Política de divulgación de vulnerabilidades" . Instituto de Ingeniería de Software . Universidad Carnegie Mellon . Consultado el 9 de marzo de 2015 .
- ^ https://forms.cert.org/VulReport/
- ^ "Base de datos de notas de vulnerabilidad" . Instituto de Ingeniería de Software . Universidad Carnegie Mellon . Consultado el 27 de octubre de 2017 .
- ^ Cory Bennett. "La nueva iniciativa tiene como objetivo corregir las fallas de seguridad del software" . TheHill . Consultado el 6 de diciembre de 2014 .
- ^ "Herramientas de análisis de vulnerabilidad" . Instituto de Ingeniería de Software . Universidad Carnegie Mellon . Consultado el 9 de marzo de 2015 .
- ^ "Cursos de formación CERT" . Instituto de Ingeniería de Software . Universidad Carnegie Mellon . Consultado el 9 de marzo de 2015 .
- ^ "FBI: 'La acusación de que pagamos a CMU $ 1M para hackear Tor es inexacta ' " . Ars Technica. 14 de noviembre de 2015.
- ^ a b "El departamento de defensa de Estados Unidos financió la investigación de Carnegie Mellon para romper Tor" . El guardián. 25 de febrero de 2016.
- ^ a b Dingledine, Roger (11 de noviembre de 2015). "¿Pagó el FBI a una universidad para atacar a los usuarios de Tor?" . Proyecto Tor . Consultado el 20 de noviembre de 2015 .
- ^ a b Felten, Ed (31 de julio de 2014). "¿Por qué los investigadores del CERT estaban atacando a Tor?" . Freedom to Tinker, Centro de Políticas de Tecnología de la Información, Universidad de Princeton.Mantenimiento de CS1: utiliza el parámetro de autores ( enlace )
- ^ "Documentos de la corte muestran que una Universidad ayudó al FBI a reventar Silk Road 2, sospechosos de pornografía infantil" . Placa base . 11 de noviembre de 2015 . Consultado el 20 de noviembre de 2015 .
enlaces externos
- Página web oficial