Las últimas vulnerabilidades publicadas por Guninski, antes de que
Microsoft proporcione los correspondientes parches, reaviva el
recurrente y cansino debate sobre la divulgación total en materia de
seguridad informática («full disclosure»).
Posturas iniciales
A grandes rasgos la discusión se presenta bastante simple y obvia,
al menos en su vertiente de cara a la galería. Por un lado nos
encontramos con las casas de software, que argumentan que la
publicación de detalles sobre nuevas vulnerabilidades es
contraproducente para la seguridad, ya que facilita la labor a los
potenciales atacantes.
En frente, investigadores independientes, criptólogos, hackers y
grupos de seguridad informática, entre otros, que consideran que
la información debe ser libre y divulgada a la opinión pública.
Bajo su prisma, el conocimiento permite establecer defensas contra
unos ataques cuyos detalles circularían en cualquier caso entre
los atacantes, puesto que el «underground» mantiene canales de
comunicación sobre los que no es posible ejercer ningún tipo de
control.
Situación actual
Existe un código no escrito de buenas maneras que establece que,
antes de realizar cualquier aviso público, el hacker o investigador
debe poner en sobreaviso a la empresa afectada, proporcionándole
todos los detalles sobre las vulnerabilidades que ha descubierto
en cualquiera de sus productos y, en la medida de lo posible,
ayudando en su resolución.
Esta regla suele cumplirse en la inmensa mayoría de los casos, si
bien no está exenta de problemas y contratiempos. En ocasiones
resulta toda una odisea poder, simplemente, hacer llegar la
información a la persona adecuada y/o recibir un acuse de recibo.
Por contra, y a favor de las empresas, hay que decir que algunas
cuentan con direcciones y personal dedicado exclusivamente a este
menester, como es el caso de Microsoft. En otros casos, aun
habiendo existido contacto entre descubridor de la vulnerabilidad
y desarrollador afectado, no hay un acuerdo en la importancia del
problema o en la urgencia y tiempos de resolución que requiere.
Este tipo de contratiempos suelen acabar con la publicación prematura
de los detalles de las vulnerabilidades y medidas preventivas de
carácter urgente propuestas por el descubridor, antes de que los
desarrolladores hayan facilitado un parche o aviso oficial.
En estos casos el descubridor argumenta que se ha visto obligado
a la publicación para poner en aviso a los usuarios afectados ante
un problema que considera puede afectarles, a la vez que espera
que la presión pública fuerce a la empresa a una rápida actuación
y resolución de la vulnerabilidad.
Por su parte, los desarrolladores se quejan de que el proceso de
análisis de la vulnerabilidad, diseño del parche, y posteriores
comprobaciones y tests de calidad, no es tarea fácil y requiere
más tiempo, de cara a facilitar al usuario final una solución
fiable y segura.
Lo que la verdad esconde
Como vemos, tanto unos como otros, utilizan como excusa de sus
argumentos la seguridad del usuario. Parece ilógico que teniendo
un mismo fin no se pongan de acuerdo. En realidad, como cabe pensar,
existen otros intereses más partidistas y lucrativos en juego.
La imagen, y todo lo que se deriva de ella, es realmente uno de los
principales factores que originan el debate «full disclosure». El
anuncio público de una nueva vulnerabilidad, con sus respectivos
ecos en sitios especializados y, cada vez más, en otros medios de
comunicación, lleva consigo un aumento de popularidad y publicidad
para el descubridor, mientras que para la empresa supone un duro
varapalo para su producto e imagen corporativa. En algunos casos
concretos cabe pensar que este es el interés que prima, de otro
modo costaría entender determinadas actitudes por ambas partes.
¿Qué opción es la correcta?
En mi opinión personal, si buscamos la seguridad de los posibles
usuarios afectados, no existe una única vía de actuación, no hay
que se extremistas en uno u otro sentido.
Por ejemplo, pasando por avisar en primer lugar a la empresa del
producto vulnerable, tal vez creamos conveniente dar un aviso con
algunas indicaciones para que los usuarios puedan tomar medidas
preventivas mientras se desarrolla el parche, si bien no tiene
mucha razón de ser dar todos los detalles de forma explícita o
adjuntar código de ejemplo durante esta fase.
Los problemas se presentan bien cuando el descubridor lanza los
detalles sin avisar a la empresa, bien si la empresa hace caso omiso
del aviso o no presta la atención que la vulnerabilidad se merece. En
condiciones normales, si existe ánimo de cooperación por ambas partes,
no tienen porqué existir conflictos de intereses.
bernardo@hispasec.com
Más información:
It´s Time to End Information Anarchy
http://www.microsoft.com/technet/columns/security/noarch.asp
¿Anarquía informativa?
http://www.hispasec.com/unaaldia.asp?id=1091
Microsoft Reveals Anti-Disclosure Plan
http://online.securityfocus.com/news/281
Full Disclosure is a necessary evil
http://online.securityfocus.com/news/238
Nueva política del CERT
http://www.hispasec.com/unaaldia.asp?id=738
Deja una respuesta