Full disclosure. ¿Sí o no?

Hola,

Uno de los debates más longevos en el mundo de la seguridad es aquel que dirime si las vulnerabilidades deben ser publicadas con todo lujo de detalles sin contar con los fabricantes, o si por el contrario los problemas deben resueltos colaborando en privado con los afectados sin que trascienda ningún tipo de detalle hasta que las medidas correctoras estén disponibles.

Esta misma semana Tavis Ormandy lanzó a la lista de Full Disclosure detalles de un problema de seguridad en el centro de ayuda de Microsoft Windows en el que se describe con todo lujo de detalles el procesado incorrecto de secuencias de escape malformadas en el componente afectado, lo que a la postre puede facilitar el compromiso de sistemas Windows en una gama tan amplia que se inicia en XP Home Edition y que acaba en Microsoft Windows Server 2003 Datacenter Edition. Poco tiempo después Microsoft respondió al anuncio de Ormandy con un artículo publicado en su centro de respuesta ante incidentes, en el que la compañía se queja del escaso tiempo que Ormandy les ha dado para resolver el problema (apenas 4 días) lo que, en opinión de Microsoft, incrementa el riesgo de ataques y coloca en situación de riesgo a sus clientes.

Microsoft tiene todo el derecho del mundo a pensar que cuatro días no son suficientes y a posicionarse en contra del full disclosure, como ha hecho en su artículo. También cualquier lector tiene el derecho a pensar que Microsoft comete un error importante al hablar constantemente de un investigador de Google, cuando Ormandy ha realizado el aviso a título particular y no representando a su empleador, como también Ormandy tiene libertad para escoger los plazos y los métodos para avisar de sus descubrimientos. Es precisamente esta rica libertad de opinión y manobra lo que hace que la resolución de problemas de seguridad sea un campo en el que nunca llueve a gusto de todos.

Esta no es ni será la única vez en la que veremos en lo alto del tapete un debate sobre la conveniencia del full disclosure. La razón subyacente es la dispersión de opinión y su enorme variabilidad, desde claramente posicionada en los extremos hasta alineada con las múltiples posiciones intermedias de la enorme amalgama de opinión existente entre la desaprobación y el apoyo incondicional a la liberación pública y detallada de los problemas de seguridad.

En lo que a mí respecta quizás me encuentre en una posición intermedia, aquella que defiende la liberación controlada de vulnerabilidades resueltas con el fabricante siempre y cuando el fabricante responda de una manera continuada en el tiempo en tiempo y forma, sin demorar innecesariamente la resolución de los problemas. Para estos casos es posible que la única manera de espolear el proceso de resolución sea lanzar las vulnerabilidades al público, por mal que le pese al fabricante afectado, entendiendo como errónea la visión en la que el full disclosure sólo implica la puesta en riesgo de los clientes, ya que el conocimiento público de los problemas provoca habitualmente la comunicación pública de medidas de mitigación que de otro modo no serían conocidas por los clientes hasta que los problemas hayan sido resueltos, pero que sí podrían estar siendo aprovechados por los atacantes que hayan logrado conocer los detalles durante el proceso de resolución, o incluso anteriormente.

Independientemente de mis preferencias, que no dejan de ser estrictamente personales, comprendo y respeto otras posiciones, y no dejo de pensar que la existencia de opiniones contrapuestas es una constante en cualquier campo de actividad profesional que debemos aprovechar para enriquecer nuestro conocimiento fomentado los debates sanos y productivos.

Un saludo,
Autor: Sergio Hernando
Fuente: Seguridad de la Información y Auditoría de Sistemas