martes, 6 de julio de 2010

Las repercusiones del "full disclosure" (y II)

Publicamos la segunda parte de la noticia sobre las repercusiones que ha tenido la divulgación total de los detalles de una vulnerabilidad en Windows. Muchos defensores y detractores han escrito en sus blogs sobre si la actitud de Tavis Ormandy ha sido irresponsable o no, e incluso se han formado supuestos grupos en contra de Microsoft.

Defensores y detractores de Tavis y el full disclosure

Algunos hablan de la "divulgación responsable" como un avieso término creado por las grandes marcas de software para hacer pensar que cualquier otra vía de divulgación es necesariamente "irresponsable". En realidad, si aceptamos que existe un mercado negro de vulnerabilidades (que existe), el hecho de hacer públicos todos los detalles de alguna de ellas, hace que su valor caiga al instante. En cierta manera, de ese modo se ataca directamente a la industria del malware donde más le duele: devaluando valor de sus activos más preciados.

Igualmente, como sostiene el propio Tavis, si (hipotéticamente) los "malos" ya habían dado con ese fallo, el hacerlo público hace que su prevención y detección sea mucho más generalizada y por tanto, previene futuros ataques (aunque los potencia también). Incluso, podría llegar a detener ataques que hipotéticamente se estuviesen realizando aprovechando el fallo antes de que él lo hiciese público. De nuevo, atacando al corazón de la industria del malware: el conocimiento, cuanto menos divulgado, más valioso y potente.

"¿Venganzas?"

Pero las consecuencias van más allá. Un grupo de investigadores anónimos (y con mucho humor) ha formado el Microsoft-Spurned Researcher Collective, (un juego con el oficial Microsoft's Security Response Center) que se supone se trata de una formación que va a intentar encontrar vulnerabilidades en Windows y divulgar todos los detalles sin avisar a Microsoft, con el único fin de vengarse por el trato dado a Tavis. Por ahora, han hecho pública una sola vulnerabilidad que permite (potencialmente) la elevación de privilegios. No se sabe si se trata de una acción aislada o aparecerán más fallos firmados por el grupo.

Parece que de forma independiente a este grupo, en las últimas semanas otros dos investigadores han hecho públicos todos los detalles de dos vulnerabilidades. Rubén Santamarta ha encontrado una vulnerabilidad en Internet Explorer 8 y Soroush Dalili en IIS 5.1.

Conclusión

Hoy en día, pensar que hacer pública una jugosa vulnerabilidad no tendrá su inmediata consecuencia en la industria del malware, resultaría ingenuo. Estas mafias se nutren, entre otras cosas, de vulnerabilidades frescas, y no cabe duda que están muy atentos a las listas de seguridad, además de disponer de investigadores a jornada completa que buscan fallos en los sistemas. Por un lado, la actuación de Tavis hipotéticamente (pero solo hipotéticamente), ha podido ayudar a eliminar del mercado negro una vulnerabilidad que podría haber hecho mucho daño si pasaba demasiado tiempo inadvertida y los atacantes la usaban contra objetivos muy concretos. Por el otro, se ha pagado el precio de una creciente oleada de ataques indiscriminados aprovechando ese mismo fallo. Esto, a su vez, tiene la inmediata consecuencia de una detección más eficaz por parte de antivirus, sistemas de detección de intrusos, etc: ataques de difusión masiva siempre van acompañados de defensas mucho más variadas y asequibles.

Además, el hecho de hacer públicos los fallos acelera el proceso de corrección en el fabricante. Se ha demostrado en numerosas ocasiones. El propio Tavis usó el "full disclosure" para convencer a Oracle de que un fallo en Java era más grave de lo que pensaban. En estos casos, en los que el fabricante no reacciona consecuentemente (Oracle y la seguridad nunca se han llevado bien), el argumento es aplastante y la acción, eficaz. Microsoft trabaja ahora contrarreloj para arreglar el fallo, mientras que de otra forma quizás lo habría puesto a la cola de otras vulnerabilidades probablemente igual de graves.

Es complejo posicionarse en algún extremo. Lo único que nos parece cierto es que, analizados los hechos, con o sin "full disclosure" el impacto de una vulnerabilidad no desaparece, sino que se transforma: desde un hipotético uso exclusivo del fallo en el mercado negro, inadvertido y muy peligroso, con objetivos muy concretos y valiosos donde pocos ataques dan un alto beneficio; hasta ataques indiscriminados aunque cazados en mayor medida por los sistemas de detección, donde la suma de muchos pequeños ataques dan también un beneficio sustancial.
%/html%

Sergio de los Santos
ssantos@hispasec.com


Más información:

Tavis Ormandy - are you pleased with yourself? Website exploits Microsoft zero-day
http://www.sophos.com/blogs/gc/g/2010/06/15/tavis-ormandy-pleased-website-exploits-microsoft-zeroday/

Microsoft Warns of Uptick in Attacks on Unpatched Windows Flaw
http://krebsonsecurity.com/2010/07/microsoft-warns-of-uptick-in-attacks-on-unpatched-windows-flaw/

04/04/2002 La trastienda del "full disclosure"
http://www.hispasec.com/unaaldia/1257

Vulnerability in Windows Help and Support Center Could Allow Remote Code Execution
http://www.microsoft.com/technet/security/advisory/2219475.mspx

MSRC-001: Windows Vista/Server 2008 NtUserCheckAccessForIntegrityLevel Use-after-free Vulnerability
http://seclists.org/fulldisclosure/2010/Jul/3

Help and Support Center vulnerability full-disclosure posting
http://blogs.technet.com/b/srd/archive/2010/06/10/help-and-support-center-vulnerability-full-disclosure-posting.aspx

Attacks on the Windows Help and Support Center Vulnerability (CVE-2010-1885)
http://blogs.technet.com/b/mmpc/archive/2010/06/30/attacks-on-the-windows-help-and-support-center-vulnerability-cve-2010-1885.aspx

No hay comentarios:

Publicar un comentario en la entrada