Divulgación completa (seguridad informática)

En el campo de la seguridad informática , los investigadores independientes a menudo descubren fallas en el software de las que se puede abusar para provocar un comportamiento no intencionado; estos defectos se denominan vulnerabilidades . El proceso mediante el cual el análisis de estas vulnerabilidades se comparte con terceros es objeto de mucho debate y se conoce como la política de divulgación del investigador . La divulgación completa es la práctica de publicar el análisis de las vulnerabilidades del software lo antes posible, haciendo que los datos sean accesibles para todos sin restricciones. El propósito principal de difundir ampliamente información sobre vulnerabilidades es que las víctimas potenciales estén tan informadas como quienes las atacan. ^[1]

En su ensayo de 2007 sobre el tema, Bruce Schneier declaró: "La divulgación completa, la práctica de hacer públicos los detalles de las vulnerabilidades de seguridad, es una maldita buena idea. El escrutinio público es la única forma confiable de mejorar la seguridad, mientras que el secreto solo nos hace menos seguros ". ^[2] Leonard Rose , cocreador de una lista de correo electrónico que reemplazó a bugtraq para convertirse en el foro de facto para difundir avisos, explica "No creemos en la seguridad por oscuridad y, hasta donde sabemos, la divulgación completa es la única manera de garantizar que todos, no solo los de adentro, tengan acceso a la información que necesitamos ". ^[3]

El debate sobre la divulgación de la vulnerabilidad [ editar ]

La controversia en torno a la divulgación pública de información sensible no es nueva. La cuestión de la divulgación completa se planteó por primera vez en el contexto de la cerrajería, en una controversia del siglo XIX sobre si las debilidades en los sistemas de cerraduras deben mantenerse en secreto en la comunidad de cerrajeros o reveladas al público. ^[4] En la actualidad, existen tres políticas principales de divulgación bajo las cuales la mayoría de las demás pueden clasificarse: ^[5] No divulgación , divulgación coordinada y divulgación completa.

Las principales partes interesadas en la investigación de la vulnerabilidad tienen sus políticas de divulgación moldeadas por diversas motivaciones, no es raro observar campañas, marketing o cabildeo para que se adopte su política preferida y castigar a quienes disienten. Muchos investigadores de seguridad destacados favorecen la divulgación completa, mientras que la mayoría de los proveedores prefieren la divulgación coordinada. La no divulgación es generalmente favorecida por los proveedores de exploits comerciales y los piratas informáticos de blackhat . ^[6]

Divulgación coordinada de vulnerabilidades [ editar ]

La divulgación coordinada de vulnerabilidades es una política según la cual los investigadores acuerdan informar las vulnerabilidades a una autoridad coordinadora, que luego las informa al proveedor, realiza un seguimiento de las correcciones y mitigaciones y coordina la divulgación de información con las partes interesadas, incluido el público. ^[7] En algunos casos, la autoridad coordinadora es el proveedor. La premisa de la divulgación coordinada es típicamente que nadie debe ser informado sobre una vulnerabilidad hasta que el proveedor de software diga que es el momento. ^[8]^[9] Si bien a menudo hay excepciones o variaciones de esta política, la distribución debe ser inicialmente limitada y los proveedores tienen acceso privilegiado a la investigación no pública.

El nombre original de este enfoque era “ divulgación responsable ”, basado en el ensayo del gerente de seguridad de Microsoft, Scott Culp, “Es hora de acabar con la anarquía de la información” ^[10] (en referencia a la divulgación completa). Más tarde, Microsoft pidió que el término se elimine gradualmente a favor de la “Divulgación coordinada de vulnerabilidades” (CVD). ^[11]^[12]

Aunque el razonamiento varía, muchos profesionales argumentan que los usuarios finales no pueden beneficiarse del acceso a la información sobre vulnerabilidades sin la orientación o los parches del proveedor, por lo que los riesgos de compartir la investigación con actores malintencionados son demasiado grandes para obtener muy pocos beneficios. Como explica Microsoft, "[la divulgación coordinada] sirve a los mejores intereses de todos al garantizar que los clientes reciban actualizaciones completas y de alta calidad para las vulnerabilidades de seguridad, pero que no estén expuestos a ataques maliciosos mientras se desarrolla la actualización". ^[12]

Divulgación completa [ editar ]

La divulgación completa es la política de publicar información sobre vulnerabilidades sin restricciones lo antes posible, haciendo que la información sea accesible al público en general sin restricciones. En general, los defensores de la divulgación completa creen que los beneficios de la investigación de vulnerabilidades de libre acceso superan los riesgos, mientras que los oponentes prefieren limitar la distribución.

La disponibilidad gratuita de información sobre vulnerabilidades permite a los usuarios y administradores comprender y reaccionar ante las vulnerabilidades en sus sistemas, y permite a los clientes presionar a los proveedores para que solucionen vulnerabilidades que, de otro modo, los proveedores podrían no sentir ningún incentivo para resolver. Existen algunos problemas fundamentales con la divulgación coordinada que la divulgación completa puede resolver.

Si los clientes no conocen las vulnerabilidades, no pueden solicitar parches y los proveedores no experimentan ningún incentivo económico para corregir las vulnerabilidades.
Los administradores no pueden tomar decisiones informadas sobre los riesgos de sus sistemas, ya que la información sobre vulnerabilidades está restringida.
Los investigadores malintencionados que también conocen la falla tienen un largo período de tiempo para continuar explotando la falla.

El descubrimiento de una falla o vulnerabilidad específica no es un evento que se excluya mutuamente, varios investigadores con diferentes motivaciones pueden descubrir y descubren las mismas fallas de forma independiente.

No existe una forma estándar de hacer que la información sobre vulnerabilidades esté disponible para el público, los investigadores a menudo usan listas de correo dedicadas al tema, artículos académicos o conferencias de la industria.

No divulgación [ editar ]

La no divulgación es la política de que la información sobre vulnerabilidades no debe compartirse, o solo debe compartirse bajo un acuerdo de no divulgación (ya sea de manera contractual o informal).

Los defensores comunes de la no divulgación incluyen proveedores de explotación comercial, investigadores que intentan explotar las fallas que encuentran, ^[5] y defensores de la seguridad a través de la oscuridad .

Debate [ editar ]

Argumentos en contra de la divulgación coordinada [ editar ]

Los investigadores que están a favor de la divulgación coordinada creen que los usuarios no pueden hacer uso del conocimiento avanzado de las vulnerabilidades sin la orientación del proveedor, y que la mayoría se beneficia limitando la distribución de información sobre vulnerabilidades. Los defensores argumentan que los atacantes poco calificados pueden usar esta información para realizar ataques sofisticados que de otro modo estarían más allá de su capacidad, y el beneficio potencial no supera el daño potencial causado por los actores malévolos. Solo cuando el proveedor haya preparado una guía que incluso los usuarios menos sofisticados puedan asimilar, la información debería hacerse pública.

Este argumento presupone que el descubrimiento de vulnerabilidades es un evento mutuamente excluyente, que solo una persona puede descubrir una vulnerabilidad. Hay muchos ejemplos de vulnerabilidades que se descubren simultáneamente, que a menudo se explotan en secreto antes de que otros investigadores las descubran. ^[13] Si bien puede haber usuarios que no puedan beneficiarse de la información sobre vulnerabilidades, los defensores de la divulgación total creen que esto demuestra un desprecio por la inteligencia de los usuarios finales. Si bien es cierto que algunos usuarios no pueden beneficiarse de la información sobre vulnerabilidades, si están preocupados por la seguridad de sus redes, están en condiciones de contratar a un experto para que los ayude, como contratarías a un mecánico para que te ayude con un automóvil.

Argumentos en contra de la no divulgación [ editar ]

La no divulgación se usa generalmente cuando un investigador tiene la intención de usar el conocimiento de una vulnerabilidad para atacar sistemas informáticos operados por sus enemigos, o para intercambiar el conocimiento de una vulnerabilidad a un tercero con fines de lucro, que generalmente lo usará para atacar a sus enemigos.

Los investigadores que practican la no divulgación generalmente no se preocupan por mejorar la seguridad o proteger las redes. Sin embargo, algunos proponentes argumentan que simplemente no quieren ayudar a los proveedores y afirman que no tienen la intención de dañar a otros.

Si bien los defensores de la divulgación completa y coordinada declaran objetivos y motivaciones similares, simplemente discrepan sobre la mejor manera de lograrlos, la no divulgación es totalmente incompatible.

Referencias [ editar ]

^ Heiser, Jay (enero de 2001). "Exponer el bombo de seguridad de la información" . Mag . De seguridad de la información TechTarget. Archivado desde el original el 28 de marzo de 2006 . Consultado el 29 de abril de 2013 .
^ Schneier, Bruce (enero de 2007). "Maldita buena idea" . CSO Online . Consultado el 29 de abril de 2013 .
^ Rosa, Leonard. "Divulgación completa" . Una lista de correo ligeramente moderada para la discusión de temas de seguridad . Archivado desde el original el 23 de diciembre de 2010 . Consultado el 29 de abril de 2013 .
^ Hobbs, Alfred (1853).Cerraduras y cajas fuertes: la construcción de cerraduras . Londres: Virtue & Co.
^ a b Pastor, Esteban. "Divulgación de vulnerabilidades: ¿Cómo definimos Divulgación responsable?" . SANS GIAC SEC PRACTICAL VER. 1.4B (OPCIÓN 1) . Instituto SANS . Consultado el 29 de abril de 2013 .
^ Moore, Robert (2005). Ciberdelincuencia: investigación de delitos informáticos de alta tecnología . Matthew Bender & Company. pag. 258. ISBN 1-59345-303-5.
^ "Divulgación de vulnerabilidad de software en Europa" . CEPS . 2018-06-27 . Consultado el 18 de octubre de 2019 .
^ "Proyecto cero: preguntas frecuentes sobre divulgación de vulnerabilidades" . Proyecto cero . Consultado el 18 de octubre de 2019 .
^ Christey, Steve. "Proceso responsable de divulgación de vulnerabilidades" . IETF. pag. 3.3.2 . Consultado el 29 de abril de 2013 .
^ Culp, Scott. "Es hora de acabar con la anarquía de la información" . Seguridad Technet . Microsoft TechNet. Archivado desde el original el 9 de noviembre de 2001 . Consultado el 29 de abril de 2013 .
^ Goodin, Dan. "Microsoft impone una política de divulgación de seguridad a todos los trabajadores" . El registro . Consultado el 29 de abril de 2013 .
^ a b Seguridad de Microsoft. "Divulgación coordinada de vulnerabilidades" . Archivado desde el original el 16 de diciembre de 2014 . Consultado el 29 de abril de 2013 .
^ B1tch3z, Ac1d. "Ac1db1tch3z frente al kernel de Linux x86_64" . Consultado el 29 de abril de 2013 .

[exposing-1] Heiser, Jay (enero de 2001). "Exponer el bombo de seguridad de la información" . Mag . De seguridad de la información TechTarget. Archivado desde el original el 28 de marzo de 2006 . Consultado el 29 de abril de 2013 .

[schneier-2] Schneier, Bruce (enero de 2007). "Maldita buena idea" . CSO Online . Consultado el 29 de abril de 2013 .

[fulldisc-3] Rosa, Leonard. "Divulgación completa" . Una lista de correo ligeramente moderada para la discusión de temas de seguridad . Archivado desde el original el 23 de diciembre de 2010 . Consultado el 29 de abril de 2013 .

[hobbs-4] Hobbs, Alfred (1853).Cerraduras y cajas fuertes: la construcción de cerraduras . Londres: Virtue & Co.

[sans-5] Pastor, Esteban. "Divulgación de vulnerabilidades: ¿Cómo definimos Divulgación responsable?" . SANS GIAC SEC PRACTICAL VER. 1.4B (OPCIÓN 1) . Instituto SANS . Consultado el 29 de abril de 2013 .

[Moore2005-6] Moore, Robert (2005). Ciberdelincuencia: investigación de delitos informáticos de alta tecnología . Matthew Bender & Company. pag. 258. ISBN 1-59345-303-5.

[7] "Divulgación de vulnerabilidad de software en Europa" . CEPS . 2018-06-27 . Consultado el 18 de octubre de 2019 .

[8] "Proyecto cero: preguntas frecuentes sobre divulgación de vulnerabilidades" . Proyecto cero . Consultado el 18 de octubre de 2019 .

[rfc-9] Christey, Steve. "Proceso responsable de divulgación de vulnerabilidades" . IETF. pag. 3.3.2 . Consultado el 29 de abril de 2013 .

[culp-10] Culp, Scott. "Es hora de acabar con la anarquía de la información" . Seguridad Technet . Microsoft TechNet. Archivado desde el original el 9 de noviembre de 2001 . Consultado el 29 de abril de 2013 .

[co-ord-11] Goodin, Dan. "Microsoft impone una política de divulgación de seguridad a todos los trabajadores" . El registro . Consultado el 29 de abril de 2013 .

[mssec-12] Seguridad de Microsoft. "Divulgación coordinada de vulnerabilidades" . Archivado desde el original el 16 de diciembre de 2014 . Consultado el 29 de abril de 2013 .

[ac1d-13] B1tch3z, Ac1d. "Ac1db1tch3z frente al kernel de Linux x86_64" . Consultado el 29 de abril de 2013 .

[1]