07 marzo 2011

Full-disclosure ¿Sí o no? #rooted2011

Este era el título del Panel del viernes 4 de Marzo en la edición de 2011 del congreso de seguridad Rooted, que moderamos mi compañero Alberto y yo.

El tema es bastante polémico y viene de tan antiguo como la propia existencia de Internet. El problema es saber cuál es el tratamiento adecuado por una vulnerabilidad, desde que alguien la encuentra hasta que el fabricante correspondiente soluciona el problema que permite explotarla.

Hay quien piensa que como la información debería ser libre y estar a disposición de todo el mundo, se debería adoptar una postura full-disclosure, es decir, dando detalles a todo color de todo lo descubierto sin importar el impacto y las consecuencias que pueda tener en los usuarios del producto afectado. La forma opuesta de verlo, me guardo el conocimiento de esta vulnerabilidad para utilizarlo "for my fun and profit" de manera que si le puedo sacar un provecho, que sea para mí y los míos. Por otra parte, una postura intermedia es lo que se conoce como "Responsible Disclosure", es decir, pensar que la vulnerabilidad DEBE ser solucionada y que la forma correcta de hacerlo es notificando al fabricante correspondiente para que, en el menor tiempo posible, lo parchee. Varios fabricantes disponen de una política receptiva a la hora de "premiar" económicamente a aquellos que colaboren con ellos notificando las vulnerabilidades de una forma responsable.

Con ponentes de excepción, tanto desde el lado de investigadores profesionales de vulnerabilidades, como por el lado de conocidos fabricantes de la industria del software. Joxean Koret y Rubén Santamarta fueron los investigadores invitados; y José Parada y Fernando Vega como directores de seguridad corporativa de Microsoft y responsable de seguridad para sur de Europa de McAfee respectivamente.

Así pues, la emoción en el debate estaba asegurada… y así fue!!!

A la espera de tener el video completo para que los que no pudisteis asistir al congreso y que lo comprobéis por vosotros mismos, las conclusiones que podríamos extraer son las siguientes:
  • Los ponentes que representan a los fabricantes, creen que el "responsible disclosure" es la mejor forma de hacer las cosas. En palabras de Fernando Vega: "McAfee no paga por las vulnerabilidades que se les notifican, pero sí que se reconoce en los créditos a aquellos investigadores que hayan aportado algo a un producto".
  • Joxean Koret, demostró haber tenido malas experiencias con diversos fabricantes, que llegaron a tardar hasta 4 años en solucionar una vulnerabilidad en un sistema.
  • Tanto Rubén como Joxean, opinan que 6 meses es un periodo de tiempo aceptable desde que se notifica una vulnerabilidad, hasta que se libera el parche por parte del fabricante y se puede hacer pública.
  • Los fabricantes apuntan que su objetivo primordial es la seguridad de sus clientes, y el fin último es la seguridad en Internet. Asimismo, tanto José Parada como Fernando Vega, afirman que "Nuestras empresas son eso, empresas, no ONGs".
  • En general, según Joxean y Rubén, aquellas organizaciones que publican software libre, atienden mucho mejor y solucionan mucho antes aquellas vulnerabilidades notificadas.
  • Iniciativas como ZDI, son altamente aplaudidas y beneficiosas por Joxean y Rubén, puesto que es una forma coordinada y ordenada para establecer un canal de comunicación entre fabricante e investigador.
  • Joxean indica que muchas veces, la única forma de presión sobre un fabricante, es publicar la vulnerabilidad. Asimismo, Bruce Schneier, se muestra favorable del full disclosure para forzar que establecer una prioridad mayor sobre el fabricante.
  • Tanto Joxean como Rubén, dan a entender que mientras se les pague dinero por ello (aunque no declaran qué cantidades), están a favor del responsible disclosure, pero si no hay premio en metálico a cambio, se muestran partidarios del Full Disclosure. Evidentemente ambos indican que si el impacto que puede tener el hacer un Full Disclosure de una vulnerabilidad, puede implicar vidas humanas, por ejemplo un sistema SCADA, están a favor del Responsible Disclosure puesto que si otra persona con malas intenciones lo encuentra también, lo mejor, es solucionarlo cuanto antes y cerrar esa puerta.
  • Ante la pregunta de, si se puede decir que un individuo que publique una vulnerabilidad sin avisar pueda ser calificado como un ciberterrorista, José Parada dice que no se puede considerar como ciberterrorista, sino como irresponsable e inconsciente, pero usar la palabra terrorista es exagerar demasiado.
  • Me quedo con la frase dicha por Rubén Santamarta (y por Francis Bacon hace unos cuantos años): "La información es poder". Y es que cuando uno descubre una vulnerabilidad, en sus manos está el tratarla adecuadamente enviándola al fabricante correspondiente o liberándola a la comunidad y que pase lo que tenga que pasar. Lo que está claro, es que el poder lo tienen los que las encuentran.

Os dejamos además, las diapositivas que guiaban la presentación del panel e introducían a los participantes del debate:



6 comments :

Alberto García dijo...

Me parece que es de ser muy cara dura lo que dijo el tipo de mcafee: que ellos nunca pagan a los researches por encontrar un bug. ¿cómo puede ser que una empresa que factura millones de euros al año y que supuestamente quiere lo mejor para sus clientes, no pague con por el trabajo de los exploiters??? Muy sencillo: porque no valoran el trabajo hecho por estos últimos.
Fue muy buena la mesa de debate, enhorabuena.

Román Ramírez dijo...

Excelente resumen, @Lorenzo.

Nos encantaría conseguir repetir con semejantes PESOS PESADOS el año que viene.

ENHORABUENA por la moderación, @Lorenzo, @Alberto: unos excelentes moderadores.

Sentimos haber tenido que ir cortando, pero hay que ajustarse a los tiempos.

Un diez :)

svoboda dijo...

Tuvo que estar muy bien la mesa. Esperaremos al vídeo para verlo completo, aunque el resumen está muy bien.

Personalmente, y si se puede opinar, yo creo que todo depende en primer lugar del tipo de vulnerabilidad. No es lo mismo un XSS con el que se pueda jugar inocentemente un rato, que la posibilidad de obtener privilegios en un sistema usado por la Seguridad Social.

Yo estoy a favor de "Responsible Disclosure" pero con un tiempo de caducidad. Si tras 6 meses (por ejemplo) el fallo sigue ahí, debería realizarse "Full Disclosure" para ver si de verdad los fabricantes o responsables se dan por aludidos. A parte de esto, creo que, si son organismos oficiales, en algún punto intermedio, quizás (y aquí en cuando me apaleará la gente), habría que advertir a alguna autoridad (ya sea GC, PN, o demás).

Por cierto, una gran cobertura de la Rooted, sobre todo por Twitter.

Un saludo.

Beatriz dijo...

Partamos de la base de no hay software 100% seguro. Para mi, aquella compañía que no se preocupa de los reportes de vulnerabilidades, ni parchea, ni responde a los researchers, peca de irresponsable y merece full-disclosure. Si, además, el software reviste de cierta importancia, mayor irresponsabilidad si la búsqueda de vulnerabilidades no se realiza a nivel interno, porque quizá los investigadores no deberían trabajar en paralelo a las empresas, sino dentro de ellas. Y, por supuesto, se deberían recompensar las aportaciones ajenas.

Unknown dijo...

Hola, enhorabuena a Lorenzo y Alberto por la moderación de la mesa, así como a Román y a la organización del Congreso. Hubo opiniones coincidentes y algunas totalmente divergentes, pero de eso se trataba, no?. A vuestra disposición para lo que necesitéis. Me faltó proporcionaros nuestro contacto en caso de descubrir algún problema en nuestras tecnologías, así que aquí la tenéis: security@mcafee,com.

Me encantó ver a tanta gente conocida por allí!

Un saludo y hasta la próxima!

Fernando
@f_vegaviejo

Anónimo dijo...

Buenas,

Gracias por el resumen Lorenzo, desde luego el Full-Discloure siempre será tema de debate y mas, si están las dos partes sentadas en la mesa. Los que descubren las vulnerabilidades y los que se ven afectados.