lunes, 5 de julio de 2010

Las repercusiones del "full disclosure" (I)

Hace ya más de ocho años Bernardo Quintero escribió en este mismo espacio un artículo llamado "La trastienda del full disclosure" donde se reflexionaba sobre el (que ya reconocíamos como cansino) debate sobre la divulgación total en materia de seguridad informática. En aquel momento se hablaba del asunto a raíz de las numerosas vulnerabilidades que Guninski encontraba cada poco en Internet Explorer. Hoy lo recuperamos a causa de Tavis Ormandy puesto que, aunque el debate sigue siendo cansino, en esta ocasión el asunto ha tenido curiosas e inesperadas repercusiones.





La vulnerabilidad de la discordia





Tavis Ormandy es un viejo conocido que trabaja como investigador privado además de para Google. Suele descubrir muchas e interesantes vulnerabilidades. El día 9 de junio hace públicos todos los detalles de un fallo en el "Centro de soporte y ayuda de Windows" que permite la ejecución de código con solo visitar una web con cualquier navegador. Ofrece una prueba de concepto en una conocida lista de seguridad. Alega que ha avisado a Microsoft cinco días antes, que no se han puesto de acuerdo sobre los plazos y que considera que el problema es serio como para alertar a todos. Microsoft se ve obligada a publicar una alerta reconociendo el fallo, pero lógicamente, todavía sin parche. Hasta aquí, todo "normal" para los defensores de la divulgación total. Esta situación ha ocurrido un millón de veces. Pero el asunto se complica.


La escala de grises



Tavis había, más o menos hasta ahora, respetado lo que se llama un "responsible disclosure": dar tiempo al fabricante para solucionar los fallos antes de hacerlos públicos. ¿Por qué en esta ocasión solo dejó pasar 5 días? En seguida surgieron las dudas sobre la posible tirantez entre Google y Microsoft como trasfondo, puesto que mantienen intereses contrapuestos en los últimos tiempos. Tavis tuvo que defender en varios foros que había descubierto el fallo en su tiempo libre, y que no representaba a Google en ningún momento con respecto a esta vulnerabilidad. Microsoft lo acusaba abiertamente de irresponsable. Cinco días no es un tiempo suficiente para solucionar ningún código (abierto o no) con unos mínimos de calidad, y mucho menos para probarlo en la gama de plataformas, versiones e idiomas que soporta Microsoft.

Poco después, para echar leña al fuego, Graham Cluley de Sophos, publica en su blog una entrada titulada "Tavis Ormandy, ¿estás contento? Páginas explotan el 0 day en Microsoft". Sophos descubre que la industria del malware ya está aprovechando la información de Tavis para realizar ataques de forma masiva. Y empeoraría con el tiempo. Como aún no está parcheado, según la propia Microsoft el fallo está siendo aprovechado por los atacantes cada vez más, resultando en miles de infecciones en Windows XP y 2003 (los únicos sistemas afectados).

Algunos hablan de la "divulgación responsable" como un término avieso creado por las grandes marcas para hacer pensar que cualquier otra vía de divulgación es necesariamente "irresponsable". ¿Es esto cierto? Vamos a plantear estas interesantes cuestiones en la siguiente entrega.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Tavis Ormandy - are you pleased with yourself? Website exploits Microsoft zero-day
http://www.sophos.com/blogs/gc/g/2010/06/15/tavis-ormandy-pleased-website-exploits-microsoft-zeroday/

Microsoft Warns of Uptick in Attacks on Unpatched Windows Flaw
http://krebsonsecurity.com/2010/07/microsoft-warns-of-uptick-in-attacks-on-unpatched-windows-flaw/

04/04/2002 La trastienda del "full disclosure"
http://www.hispasec.com/unaaldia/1257

Vulnerability in Windows Help and Support Center Could Allow Remote Code Execution
http://www.microsoft.com/technet/security/advisory/2219475.mspx

MSRC-001: Windows Vista/Server 2008 NtUserCheckAccessForIntegrityLevel Use-after-free Vulnerability
http://seclists.org/fulldisclosure/2010/Jul/3

Help and Support Center vulnerability full-disclosure posting
http://blogs.technet.com/b/srd/archive/2010/06/10/help-and-support-center-vulnerability-full-disclosure-posting.aspx

Attacks on the Windows Help and Support Center Vulnerability (CVE-2010-1885)
http://blogs.technet.com/b/mmpc/archive/2010/06/30/attacks-on-the-windows-help-and-support-center-vulnerability-cve-2010-1885.aspx

No hay comentarios:

Publicar un comentario en la entrada