Digital Bond es una empresa que, si bien dispone de varios tipos de servicios en su portfolio, su investigación en el ámbito de vulnerabilidades en sistemas SCADA/ICS destaca entre el resto, sobretodo en estos últimos años. La empresa ha modificado su política de publicación de información de vulnerabilidades, eliminando puntos y siendo más radicales en su nueva visión, ya que desde el 1 de septiembre de este año: ellos decidirán que hacen con las vulnerabilidades que encuentren, si informar de ellas totalmente, parcialmente, con algunos detalles, con menos...lo que les de la gana. ¿Marketing? Quién sabe...
Las vulnerabilidades en sistemas SCADA bien sabemos que no son como el resto de vulnerabilidades, sobretodo atendiendo a su posible impacto, que a veces podría resultar incluso fatal. Debido a su criticidad, los investigadores de seguridad que han centrado sus últimas actividades en esta línea de trabajo, como por ejemplo Rubén Santamarta de sobra conocido por todos nosotros, siempre han ido con pies de plomo, con máximo respeto hacia el fabricante y con todos sus esfuerzos depositados en llevar a cabo una solución conjunta si es necesario, ya sea colaborando con CERTs o contactando directamente con los afectados. Cada fabricante se toma las vulnerabilidades de formas diversas, y Rubén seguro que nos podría contar mil anécdotas de este tipo, como muchas que ha relatado ya en 48Bits o su blog Reversemode. Algunas se merecerían incluso un Pwnie Award a "respuesta desternillante por parte de un fabricante".
Sobre el tema de publicación de información o disclosure, podréis volver a echar un ojo tanto a este post como al video del RootedPanel: Full-Disclosure que tuvo lugar en la pasada Rooted CON 2011. Si todavía no habéis tenido oportunidad de verlo, merece la pena escuchar los puntos de vista de todos los integrantes de la mesa.
En el siguiente post de Errata Security (traducido al castellano a continuación), Robert David Graham nos resume a la perfección el estado actual en el que se encuentran muchos investigadores los cuales, la mayoría de las veces que intentan ir con la bondad y responsabilidad por delante, se encuentran con un muro de muchos metros de altura construido por unos fabricantes con mezcla de miedo y en algunos casos, prepotencia.
Digital Bond, que investiga vulnerabilidades SCADA/ICS, ha publicado una de las políticas de vulnerabilidades más responsables: http://www.digitalbond.com/about-us/vulnerability-disclosure-policy/
En resumen, vendría a decir que:
- Respetamos los acuerdos con los clientes.
- Por otra parte, haremos lo que nos da la gana con las vulnerabilidades descubiertas.
Estos últimos años, los investigadores de vulnerabilidades (o los no-investigadores que quieren ser tenidos en cuenta por los investigadores) han intentado proponer maneras de minimizar el daño de lo obtenido tras la investigación de vulnerabilidades, maximizando el bien. No lo han conseguido. En su lugar, han cumplido reglas que únicamente serían de provecho para los fabricantes de los productos vulnerables, que se aferran a la "publicación responsable" para encubrir o retrasar la publicación de la vulnerabilidad. Después de tener al FBI llamando a nuestras puertas amenazándonos en su intento de prevenir la publicación de información sobre vulnerabilidades, se acabó el ser amables con los fabricantes.
Podréis consultar la política de publicación de vulnerabilidades de Digital Bond actualizada en este enlace. Como veréis, ahora ocupa mucho menos que la de antes, pero el mensaje es mucho más claro y directo.
0 comments :
Publicar un comentario