Conflictos Existentes en la Divulgación de Vulnerabilidades

Aquellos quienes descubren vulnerabilidades usualmente están motivados para mejorar la protección de la industria. Esto realizado mediante la identificación y ayuda en la eliminación de software peligroso en los productos comerciales. Un poco de fama, admiración y derechos para jactarse son agradables también para aquellos con bastante ego. Los proveedores de otro lado, son motivados para mejorar sus productos, evitar problemas legales, no tener malas noticias en lo medios de comunicación, y mantener una imagen pública responsable.

No hay duda las fallas en el software son rampantes. Existen varios sitios webs como el de la CVE (Common Vulnerabilities and Exposures), la cual es una lista de entradas, conteniendo un número de identificación, una descripción y al menos una referencia pública; para vulnerabilidades conocidas en ciberseguridad. Otro sitio web es de la NVD (National Vulnerability Database), el cual es un repositorio del gobierno de los Estados Unidos de estándares basado en los datos sobre gestión de vulnerabilidades, representados utilizando un SCAP (Security Content Automation Protocol).

Las consideraciones para el reporte de vulnerabilidades incluyen aspectos financieros, legales, y morales, ya sea por parte de los investigadores y los proveedores. Las vulnerabilidades pueden implicar malas relaciones públicas para un proveedor, quien para mejorar su imagen, debe publicar un parche una vez la falla se hace pública. Pero al mismo tiempo, los proveedores deciden invertir más dinero en arreglar el software después de su liberación al público, en lugar de hacerlo perfecto (o casi perfecto) con antelación. De esta manera, utilizan los reportes sobre vulnerabilidades como una consultoría de seguridad postventa.

La divulgación pública ayuda a mejorar la seguridad, pues la única razón por la cual los proveedores parchan la vulnerabilidades es por la divulgación completa, y el no tener sentido mantener el error en secreto, pues los hackers lo descubrirán de todos modos. Antes de la divulgación completa, era demasiado fácil para las compañías de software ignorar estas fallas y amenazar al investigador con acciones legales. Ignorar las fallas era más fácil para los proveedores, especialmente porque una falla no reportada afecta más al usuario de software comparado con la afectación al proveedor.

Existe también una visión tenue sobre la divulgación pública de vulnerabilidades. Donde toda una economía de investigadores está intentado obtener provecho de las vulnerabilidades encontradas, para luego venderlas al mejor postor, ya sea esto con propósitos benignos o no. Estos investigadores buscan constantemente fama, donde la divulgación de vulnerabilidades es “recompensar el mal comportamiento”, en lugar de hacer mejor software.

Pero los investigadores de vulnerabilidades quienes encuentran y reportan fallas tienen una perspectiva diferente, especialmente cuando se les paga. Otro problema surgió, pues los investigadores están cansados de trabajar gratis sin ninguna protección legal.

Fuentes:

https://cve.mitre.org/
https://nvd.nist.gov/

Sobre el Autor


Alonso Eduardo Caballero Quezada - ReYDeS
Instructor y Consultor en Hacking Ético, Forense Digital & GNU/Linux
Correo Electrónico: ReYDeS@gmail.com
Twitter: @Alonso_ReYDeS
LinkedIn: pe.linkedin.com/in/alonsocaballeroquezada
Facebook: https://www.facebook.com/alonsoreydes
Youtube: http://www.youtube.com/c/AlonsoCaballero
Resumen de mi CV: http://www.reydes.com/d/?q=node/1