Diferentes Perspectivas sobre la Divulgación de Vulnerabilidades

Desafortunadamente casi todos los productos de software actuales están plagados de fallas. Estas fallas pueden presentar serias consecuencias para los consumidores. Para los clientes quienes dependen en gran medida de las aplicaciones para realizar funciones empresariales fundamentales, los errores pueden ser paralizantes, y por lo tanto deben tratarse adecuadamente. La mejor manera de abordar el problema es un tema complicado, pues involucra dos actores quienes usualmente tienen muy diferentes perspectivas sobre como lograr una resolución.

El primer actor es el cliente. Una persona o empresa compra un producto, confía en este, y espera funcione. Frecuentemente el cliente posee una comunidad de sistemas interconectados (una red), los cuales se basan en una operación exitosa del software para la empresa. Cuando el cliente encuentra una falla, la reporta al proveedor y espera una solución en un lapso de tiempo razonable.

El segundo actor es el proveedor del software. El proveedor desarrolla el producto, y es responsable de una operación exitosa. El proveedor es buscado por miles de clientes por su experiencia técnica y liderazgo en el mantenimiento de su producto. Cuando una falla es reportada hacia el proveedor, usualmente es una de las muchas con las cuales debe lidiar el proveedor, y algunas caen por una razón u otra.

El problema con la divulgación pública ha creado un gran revuelo en la industria de la computación, porque cada grupo visualiza el problema de manera diferente. Muchos creen el conocimiento es un derecho público, y todas la información sobre vulnerabilidades de seguridad debe ser divulgada en principio. Además, muchos clientes sienten la única manera de obtener resultados rápidamente de un gran proveedor de software es presionarlo para solucionar el problema, amenazándolo con hacer esta información pública. Los proveedores han tenido la reputación de simplemente seguir adelante, y retrasar las correcciones hasta se lance una versión o parche posterior, el cual solucionará el problema. Sin embargo esta perspectiva no siempre se considera de los mejores para los intereses de los clientes, pues deben sentarse a esperar el proveedor arregle las vulnerabilidades, lo cual pone en riesgo la empresa.

El proveedor busca el problema desde una perspectiva diferente. La divulgación de información sensible sobre la falla de software causa dos problemas principales. Primero, los detalles de la falla ayudarán a los atacantes a explotar la vulnerabilidad. El argumento del proveedor es si el problema se mantiene confidencial mientras la solución se desarrolla, los atacantes no conocerán como explotar la falla. Segundo, la divulgación de esta información puede dañar la reputación de la empresa, incluso en circunstancias donde la falla reportada es luego probada de ser falsa. Es muy parecido a una campaña de desprestigio en una carrera política, la cual aparece como la noticia principal en un periódico. Las reputaciones están empañadas, e incluso si la historia resulta ser falsa, una retracción es usualmente impresa en la página posterior una semana después. Los proveedores temen la misma consecuencia para las publicaciones masivas sobre reportes de vulnerabilidades.

Debido a estas dos diferentes perspectivas, muchas organizaciones se han unido para crear políticas, pautas, y sugerencias generales sobre como manejar las divulgaciones sobre vulnerabilidades de software. Se hace necesario por lo tanto abarcar el tema desde todos los lados, y ayudar a educar sobre los fundamentos detrás de las divulgación ética de vulnerabilidades de software.

Fuentes:

https://blog.rapid7.com/2016/04/11/vulnerability-disclosure-and-handling...
https://www.ceps.eu/system/files/CEPS%20TFRonSVD%20with%20cover_0.pdf

Sobre el Autor


Alonso Eduardo Caballero Quezada - ReYDeS
Instructor y Consultor en Hacking Ético, Forense Digital & GNU/Linux
Correo Electrónico: ReYDeS@gmail.com
Twitter: @Alonso_ReYDeS
LinkedIn: pe.linkedin.com/in/alonsocaballeroquezada
Facebook: https://www.facebook.com/alonsoreydes
Youtube: http://www.youtube.com/c/AlonsoCaballero
Resumen de mi CV: http://www.reydes.com/d/?q=node/1