En los últimos días se han realizado importantes anuncios de vulnerabilidades, no exentos de cierta polémica, en productos de Kaspersky y FireEye.
Gran parte de la polémica ha venido por la forma en que han sido comunicados. Lejos de la conocida como comunicación responsable.
El primero partió del conocido investigador de Google Tavis Ormandy, que a través de un twit anunciaba que había conseguido un exploit para las versiones 15 y 16 de los antivirus de Kaspersky, que podría permitir a un atacante conseguir acceso sencillo a los sistemas.
Okay, first Kaspersky exploit finished, works great on 15 and 16. Will mail report after dinner. /cc @ryanaraine pic.twitter.com/IpifiWpoEU
— Tavis Ormandy (@taviso) septiembre 5, 2015
@ryanaraine It’s a remote, zero interaction SYSTEM exploit, in default config. So, about as bad as it gets.
— Tavis Ormandy (@taviso) septiembre 5, 2015
//platform.twitter.com/widgets.js
Según el propio Tarvis ya ha desplegado una actualización, con lo que ha dado una respuesta al problema en menos de 24 horas.
Kaspersky tell me they’re rolling out a fix globally right now, that was less than 24hrs.
— Tavis Ormandy (@taviso) septiembre 6, 2015
Otro aviso ha venido de parte de Kristian Erik Hermansen, que publicó los detalles de una vulnerabilidad en el software de FireEye que podría permitir a un atacante obtener acceso no autorizado a archivos del sitio remoto. Incluso publicó una prueba de concepto en la que mostraba como aprovechar la vulnerabilidad.
Incluso iba algo más lejos y aseguraba haber encontrado otras tres vulnerabilidades que podrían permitir acceso remoto como root. Indicando que las cuatro vulnerabilidades estaban en venta.
El investigador asegura estar bastante descontento con la forma de actuación y respuesta de FireEye ante avisos de seguridad. Ante lo que reclama un programa de recompensas por vulnerabilidades para facilitar la información a la compañía.
Una vez más la polémica sobre la comunicación responsable sale a la luz. Por una parte parece se entiende que el proceso de una comunicación privada a la compañía afectada con la información del problema y dando un tiempo razonable para su solución ayuda a la mejora de la seguridad de los productos sin poner en riesgo a los usuarios.
Al contrario, cualquier comunicación pública de una vulnerabilidad puede facilitar a atacantes malintencionados obtener información que permita desarrollar un exploit para aprovechar la vulnerabilidad. Algo que puede poner en riesgo a los usuarios.
Pero de igual forma el tiempo y trabajo de los investigadores independientes merece ser recompensado, para ello han nacido los programas de recompensas por vulnerabilidades también conocidos como «bug bounty programs«. De esta forma, los fabricantes ofrecen recompensas económicas a los investigadores que reportan vulnerabilidades bajo ciertas condiciones y por supuesto, que no se hagan públicos hasta que se hayan solucionado.
Son muchos los fabricantes que ya ofrecen programas de recompensas por vulnerabilidades, como Google, Facebook, Microsoft o Mozilla entre otras. También han surgido varios sitios web a través de los cuales diferentes compañías permiten coordinar el acceso a este tipo de programas de recompensas: HackerOne, bugcrowd o InternetBug Bounty.
Más información:
Zero-day vulnerabilities reportedly found in Kaspersky and FireEye security products
Researcher discloses zero-day vulnerability in FireEye
Researcher to FireEye: If you’re not paying, I’m not talking
Antonio Ropero
Twitter: @aropero
Deja un comentario