Algo de Historia sobre la Divulgación de Vulnerabilidades

Antes de la lista Bugtraq fuese creada, los individuos quienes descubrían vulnerabilidades y las maneras de explotarlas, únicamente se comunicaban directamente los unos con otros. La creación de Bugtraq proporcionó un foro abierto para estos individuos, de tal manera podían descubrir los mismos temas y trabajar de manera colectiva. El fácil acceso hacia las maneras de explotar las vulnerabilidades dio paso a diversas herramientas “fáciles” disponibles en la actualidad, las cuales permiten a personas quienes no entienden una vulnerabilidad explotarlas satisfactoriamente. Bugtrag provocó un aumento en los ataques en Internet, en redes, y contra proveedores. Muchos proveedores se levantaron en armas, demandando una perspectiva más responsable sobre la divulgación de vulnerabilidades.

En el año 2001, ISS (Internet Security Systems) descubrió muchas vulnerabilidades críticas en productos como el Servidor web Apache, Servicio de fuentes Solaris X Windows, y el software de ISC Bind. ISS trabajó con los proveedores directamente para encontrar la solución. Un parche el cual fue desarrollado y publicado por Sun Microsystems estaba defectuoso y debió ser retirado. Un parche de Apache no fue liberado al público, sino hasta después de la vulnerabilidad fuera publicada a través de divulgación pública, incluso aunque el proveedor conocía la vulnerabilidad. Aunque estos son ejemplos antiguos, estos tipos de vulnerabilidades y muchos más similares, dejaron a los individuos y compañías vulnerables; ellos fueron victimas de ataques y eventualmente desarrollaron un profundo sentimiento de desconfianza en los proveedores de software. Los críticos también acusaron a las compañías de seguridad, como ISS, de tener motivos alternos para divulgar este tipo de información. Sugieren al liberar las fallas y vulnerabilidades de los sistemas, generan “buena prensa” para ellos mismos, y por lo tanto, promueven negocios y mayores ingresos.

Debido a las fallas y controversias resultantes, ISS decidió iniciar su propia política de divulgación para manejar tales incidentes a futuro. Se crearon procedimientos detallados a seguir cuando se descubra una vulnerabilidad, además de como y donde la información podría ser divulgada hacia el público. Aunque esta política se considera “divulgación responsable”, en general esta incluye una advertencia importante; los detalles de la vulnerabilidad se divulgarán a los clientes y al público en un “periodo de tiempo de prescripción”, después del proveedor haya sido notificado. ISS coordina su divulgación pública de una falla con la divulgación del proveedor. Esta política sólo alimentó las personas sientan la información sobre la vulnerabilidad debe estar disponible para el público se proteja a si mismo.

Este dilema y muchos otros, representan una desconexión continua entre los proveedores, compañías de seguridad, y hackers de sombrero gris. Diferentes perspectivas y motivaciones individuales conducen a cada grupo por diversas rutas. Los modelos de divulgación adecuada deben ayudar a las entidades a trabajar en conjunto con un esfuerzo concertado. Aunque sigue existiendo mucha controversia en este tema.

Fuentes:

https://en.wikipedia.org/wiki/Bugtraq
https://en.wikipedia.org/wiki/IBM_Internet_Security_Systems

Sobre el Autor


Alonso Eduardo Caballero Quezada - ReYDeS
Instructor y Consultor en Hacking Ético, Forense Digital & GNU/Linux
Correo Electrónico: ReYDeS@gmail.com
Twitter: @Alonso_ReYDeS
LinkedIn: pe.linkedin.com/in/alonsocaballeroquezada
Facebook: https://www.facebook.com/alonsoreydes
Youtube: http://www.youtube.com/c/AlonsoCaballero
Resumen de mi CV: http://www.reydes.com/d/?q=node/1