21 diciembre 2012

Venta de exploits: ¿Mejora o empeora la seguridad?


Hace algún tiempo leí en un medio anglosajón una reflexión sobre si el floreciente mercado de exploits había ayudado o no a mejorar el panorama de la seguridad informática. Lamentablemente no he sido capaz de encontrar el enlace (si alguien también leyó ese post y lo comparte en comentarios, se lo agradecería)

Muy atrás queda el año 2002 cuando Idefense (ahora en manos de Verisign) lanzó su programa de compra de exploits que revolucionó las reglas del juego. Posteriormente le siguieron otras empresas como TippingPoint que también ofrecieron dinero x exploits / vulnerabilidades.

Tal vez haya sido VUPEN quien mejor haya sabido elegir su modelo de negocio, ya que su volumen de facturación alcanza cifras escandalosas y han llegado a un grado de profesionalización increíble.

Hoy día casi cualquier empresa de cierto nivel tiene un programa de recompensas o bug bounty: Facebook, Mozilla o Google son ejemplos directos.

Por lo que he podido leer hay dos corrientes de opinión al respecto: de un lado quién dice que incentivar la búsqueda de vulnerabilidades fomenta la inseguridad. Del otro lado, quienes dicen que gracias a ese tipo de programas ha aflorado de una forma controlada un mercado que ya existía y que ha permitido avanzar positivamente.

En este punto, retomo el título del post y lanzo la pregunta: Venta de exploits: ¿Mejora o empeora la seguridad?

Podéis votar en la encuesta:


Venta de exploits: ¿Mejora o empeora la seguridad?

9 comments :

Antonio Sanz dijo...

En mi opinión la venta de vulnerabilidades complica bastante el mercado de la seguridad. Antes, un investigador obtenía fama, y la empresa para la que trabajaba reconocimiento por su tarea. Esa fama revertía en contratos, y todo el ecosistema era feliz (sobre todo los usuarios finales).

El pagar por las vulnerabilidades empezó siendo una buena forma de incentivar que hubiera investigadores que se dedicaran a ello de forma profesional (o incluso de recompensar económicamente a la gente que se lo curra, que para nada me parece mal).

El problema es que han ido apareciendo cosas como Flame, Duqu, Stuxnet ... ¿os suena la palabra "ciberguerra"?. Ahora los exploits se guardan como oro en paño, para venderlos no a las propias empresas (muy loable la iniciativa ZDI de HP, dicho sea de paso), sino que se subastan al mejor postor, o incluso se reservan para cuando haga falta.

Un ejemplo de este caso es la última Pwn2Own, en la que la gente de VUPEN demostró un exploit de Chrome, pero como Google dijo que tenía que entregar la documentación del PoC para cobrar el premio ellos respondieron que "ni de coña, esto lo vendo a mis clientes por un pastizal" (http://9to5google.com/2012/03/07/vupen-conquers-chrome-at-pwn2own-security-conference-google-must-pay-cash-reward-for-french-teams-hack/)

Al final la búsqueda de vulnerabilidades va a quedar reducida al entorno académico y al underground, porque el dinero va a permeabilizar a todos los profesionales del sector.

Futuro negro veo, compañeros ...

Antonio Rodríguez dijo...

La venta de exploits es algo natural e inevitable en la evolución de la informática. Ya existía desde mucho antes en mercados negros, así que que las propias casas los compren ahora me parece positivo, ya no solo por que minimiza que se vendan a mafias, si no que tambien, al contrario que fomentar la busqueda de exploits, fomenta la preocupacion de las compañias por securizar sus productos.

Ademas eso de que fomentar que se busquen se vea como algo malo me parece una tontería. Es como decirle a un niño "no entres ahi, que te come el coco" en lugar de explicarle por qué no debe hacerlo. El problema no desaparece por mirar a otro lado.

Ácas. dijo...

En principio he optado por votar por 'mejora', aunque no estoy totalmente de acuerdo. En principio mejora la seguridad ya que una recompensa económica incita a buscar vulnerabilidades porque te ves recompensado por el tiempo que has "perdido" buscándolas.

Sin embargo, empeora, porque como hemos podido ver algunos seguidores de TheHackerNews.com (perdón si no está permitido publicar links), a veces, muchos reportan la misma vulnerabilidad que tú, con lo cual no te recompensan a pesar de que hayas encontrado una vulnerabilidad que SIGUE EXISTIENDO. Eso empeora la seguridad porque acabas vendiendo tus vulnerabilidades en mercados negros.

Buen artículo como siempre :)

Román Ramírez dijo...

Es una pregunta un poco polarizada, la verdad. Como bien indica Antonio vender exploits es algo "neutral", el tema preocupante de verdad y que hace el mundo más o menos inseguro es: "a quién se lo vendes" y, sobre todo, "para qué lo usa".

Julio dijo...

depende a quien se la vendas

Antonio Rodríguez dijo...

Un investigador no deja de ganar "fama" y reconocimento por la existencia de un mercado de exploits. Solo que ahora puede tener una comensación económica por su trabajo (realmente ha hecho un trabajo), y es más fácil que se materialize en un contrato, ya que las empresas de software ahora no solo necesitan gente para desarrollar, si no tambien gente especializada en encontrar esos fallos de seguridad que pueda haber (más puestos de trabajo, y más reconocimiento a la profesión de seguridad). Siempre es más beneficioso a la larga tener en plantilla gente dedicada a eso que confiar en la "comunidad" para que reporte los fallos descubiertos, como se hacía hasta ahora.

Vender al mejor postor siempre existirá, pero cuanta más gente este trabajando en ello legítimamente, tambien será más difícil encontrar 0days por la gente que los vende en mercado negro.

Casos como el de Vupen, aunque se nieguen a venderlo al propio fabricante porque no paga lo que piden, al menos dan a conocer la existencia del fallo. El mero hecho de saber que existe, aunque no se conozca el PoC ya es una mejora en seguridad.

enric dijo...

Todo lo que sea incrementar el conocimiento es bueno. Si fomenta que la gente (los que sabeis) intenten encontrar vulnerabilidades, en realidad se está haciendo un ejercicio intelectual considerable. Que se puede vender al lado oscuro? pues es verdad, pero no será siempre, ni todo los que lo encuentran fallos. Lo que se haga a posteriori ya es otra pregunta.

Joxean Koret dijo...

En mi opinión, tiene sus ventajas y sus inconvenientes. Por una parte, el mercado _legal visible_ evita tener conflictos ético-morales (y repito, el legal visible, no me refiero a las mafias ni al mercado legal 'invisible') y ayuda a tener "un trabajo normal" regularizado.

Pero, por otra parte, también evita que muchas vulnerabilidades y exploits para las mismas se publiquen porque, si lo haces, no podrías cobrar por ello. Con lo cuál, el conocimiento público se ve mermado. Si bien, vendiendo exploits/vulnerabilidades a empresas que se dedican a reportar los bugs, tienes la oportunidad de publicar detalles, exploits, etc... una vez que la vulnerabilidad se ha corregido. Aunque esto se suele traducir en años después de que has encontrado la falla.

Resumiendo (esta es solo mi opinión): ¿Es positivo que exista un mercado de vulnerabilidades y/o exploits? Sí. ¿Ayuda a aumentar el conocimiento público? No. Solo ayuda a las grandes empresas que pueden pagar por dicho conocimiento.

Joxean Koret dijo...

Olvidaba hablar de los bug bounties: Los precios que se suelen pagar en dichos programas, por lo general, no son ni de lejos los precios reales de mercado. Por eso directamente los había ignorado.