12 dic. 2020

Divulgación de vulnerabilidades responsable en el ámbito público

Imagínese caminar por su vecindario en el fresco amanecer y ver una casa al final de la cuadra envuelta en llamas. Miras alrededor. Nadie más parece haberse dado cuenta todavía. ¿Qué haces? Es probable que llame al 911, comparta la dirección de la casa en llamas y se quede para ayudar si es necesario.

Ahora, imagine visitar una aplicación web del gobierno, por ejemplo, sitio web.gob.ar, en una tarde agradable y notar una vulnerabilidad de redireccionamiento abierto en el sitio. Buscas cómo reportar. Nada en el sitio sugiere cómo informar esto. ¿Qué haces? Si te gusta la ciberseguridad, puedes enviar un breve correo electrónico a [email protected], intentar con algunos otros contactos, y cuando todo rebota, tuitear algo picante sobre website.gob.ar.

No tiene por qué ser así. Un redireccionamiento abierto, que puede usarse para dar apariencia de legitimidad a contenido malicioso fuera del sitio, puede no estar a la altura de un incendio, pero las vulnerabilidades graves en los sistemas de Internet causan impactos negativos en el mundo real todos los días.

En muchos casos, un ojo entrenado puede detectar deficiencias críticas y, sin embargo, no tener a nadie a quien informar. No debería ser difícil informar al gobierno de los posibles problemas de ciberseguridad, pero lo será a menos que tengamos la intención de hacerlo más fácil.


En noviembre de 2019, CISA (La Agencia de Infraestructura y Ciberseguridad de EE.UU.) solicitó comentarios sobre un borrador para una directiva, que requeriría que la mayoría de las agencias del poder ejecutivo de EE.UU. crearan una política de divulgación de vulnerabilidades (VDP - Vulnerability Disclosure Policy). Un VDP les dice a quienes encuentran fallas en la infraestructura digital de una agencia dónde enviar un informe, qué tipos de pruebas están autorizadas, para qué sistemas y qué comunicación esperar en respuesta.

Nunca antes se había hecho una ronda de comentarios públicos sobre una directiva, pero dado que el tema es la "coordinación con el público", esta lo merecía. Se recibieron más de 200 recomendaciones de más de 40 fuentes únicas: investigadores de seguridad individuales, académicos, agencias federales, empresas de tecnología, sociedad civil e incluso miembros del Congreso. Cada uno mejoró el borrador de la directiva, su guía de implementación y una plantilla de VDP.

  • Varios preguntaron si las aplicaciones móviles que las agencias ofrecen al público estarían dentro del alcance de los VDP.
  • Algunos comentarios sugirieron formas de pensar sobre los problemas que eliminarían la ambigüedad en torno al alcance (incluye vulnerabilidades y configuraciones incorrectas), los requisitos de informes (se detienen cuando todo está dentro del alcance) y cómo responder a los informes de vulnerabilidad anónimos (no se hace; son anónimos).
  • Varios comentarios discutieron el uso de "plazos establecidos", preocupados porque la directiva no exija plazos específicos para la remediación. Arreglar una vulnerabilidad no siempre es un botón, y la exigencia de fechas límite puede crear incentivos perversos en los que una vulnerabilidad de menor gravedad pero más antigua tiene prioridad organizativa sobre los errores más nuevos pero más críticos. Los plazos también pueden provocar arreglos apresurados. La directiva final deja en claro que el objetivo de establecer cronogramas objetivo en los procedimientos de manejo de divulgación de vulnerabilidades es ayudar a las organizaciones a establecer y rastrear métricas de desempeño; no son fechas de remediación obligatorias. Se habla mucho más sobre este tema en la guía de implementación). 

Aunque no todas las sugerencias condujeron a un cambio directo, cada comentario ayudó a pensar más profundamente sobre la coordinación de vulnerabilidades en una organización pública. Luego de la ronda de preguntas, CISA emitió la versión final del BOD 20-01: "Mejora de la identificación, administración y corrección de vulnerabilidades". A continuación, se muestra una comparación de todo lo que cambió entre el borrador y el conjunto final de documentos. 

Los VDP son una buena práctica de seguridad y rápidamente se han convertido en estándar de la industria. Incluso en el gobierno, otros han aprovechado los beneficios de trabajar con investigadores de seguridad antes.

Más recientemente, publicaron una guía para los administradores electorales para configurar sus propios VDP. En CISA, creen que una mejor seguridad de los sistemas informáticos gubernamentales solo se puede lograr cuando las personas tienen la oportunidad de ayudar.

BOD 20-01 es parte del compromiso para hacer que la divulgación de vulnerabilidades al poder ejecutivo civil sea tan fácil conceptualmente como marcar el 911. Según el documento, las agencias públicas toman medidas para facilitar su alcance. Esto incluye agregar un contacto de seguridad en el registrador .gob.ar, publicar su VDP públicamente (que puede incluir un formulario web para recibir informes de vulnerabilidad) y agregar security.txt a su sitio web principal (y otros, según se desee). 

Una nota final para aquellas personas que encuentran y reportan vulnerabilidades: vemos su trabajo, queremos ayudar y lo apreciamos.

Por eso hemos creado la iniciativa Los Investigadores de Seguridad NO somos delincuentes y la PROPUESTA DE PROYECTO DE LEY PARA LA DESPENALIZACIÓN DE LA INVESTIGACIÓN EN SEGURIDAD DE LA INFORMACIÓN

1 comentario:

  1. Muy buena nota. Hace un par de años detecté una falla en la página de EPEC (Empresa de energía en Córdoba). Escribí a un correo de contacto, nunca me respondieron y la falla la arreglaron. Por suerte, el tema se cerró ahí.

    ResponderBorrar

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!