in

Abre el telón de las recompensas por errores



Recientemente, ha habido mucha cobertura mediática sobre el software espía Pegasus y las vulnerabilidades emergentes de cero clics. La divulgación pública y la discusión de estos exploits ha dado como resultado vulnerabilidades y divulgaciones generales (CVE), así como posibles parches creados por los proveedores afectados. Esta última noticia plantea una pregunta sobre la que he estado reflexionando durante un tiempo: ¿Cuál es el mejor modelo para fomentar la divulgación rápida de vulnerabilidades para que las partes puedan mitigar el riesgo más rápido?

Si ha estado en ciberseguridad tanto tiempo como yo, es posible que conozca una lista de correo de seguridad llamada Divulgación completa. En su apogeo, el propósito era servir como un lugar para que los investigadores publicaran sus resultados cuando descubrieran una vulnerabilidad, incluida la fuente de la vulnerabilidad y las técnicas de explotación. La idea era que cuanto más rápido se puedan compartir estas vulnerabilidades o debilidades dentro de la comunidad, más rápido las personas podrán asegurar todo aquello de lo que son responsables. En ese momento, estaba trabajando en un producto de seguridad que tenía como objetivo detectar amenazas. Al tener acceso a estos resultados desde el principio, pudimos crear reglas para identificar la actividad maliciosa más rápido y brindar un mejor servicio a nuestros clientes.

Con el tiempo, el enfoque de divulgación de vulnerabilidades comenzó a evolucionar hacia lo que llamaré «divulgación responsable». Cuando un investigador encuentra una vulnerabilidad, el curso de acción esperado es ponerse en contacto con el fabricante del producto vulnerable, alertarlo sobre el problema y acordar un plazo razonable para que se resuelva el problema. Después de que el fabricante emitió oficialmente un parche o recomendó un control compensatorio, el investigador pudo publicar sus resultados. Si el proveedor no ha solucionado la vulnerabilidad dentro del período acordado, el investigador es libre de publicar sus resultados públicamente. Este enfoque funcionó bastante bien, ya que les dio a los proveedores la capacidad de tomar medidas correctivas antes de que una vulnerabilidad se volviera de conocimiento común, pero sus pies todavía estaban en el fuego para educar y proteger a los usuarios.

Avance rápido hacia el aumento de la digitalización y las consecuencias no deseadas de una explosión en el delito cibernético, y la necesidad de divulgación es más fuerte que nunca. En un momento en el que es fundamental que los profesionales y los consumidores de Infosec comprendan las amenazas y las vulnerabilidades, están en la oscuridad. Los hallazgos ya no se comparten abiertamente. En cambio, el fenómeno de la recompensa por errores se está extendiendo y inyectando más de 40 millones de dólares en las billeteras de los piratas informáticos solo en 2020, según el operador de recompensas por errores HackerOne. Eso es un aumento del 143% desde que HackerOne informó por última vez estos datos en 2018.

Las empresas privadas ofrecen programas de recompensas por errores para atraer a investigadores que puedan ayudarlos a proteger mejor sus propios productos, lo que suena genial en principio. Pero las cosas pueden salir mal aquí. Si, después de la evaluación, la empresa determina que las razones comerciales no van a solucionar la vulnerabilidad, pueden esconder el problema debajo de la alfombra. No hay ningún incentivo para que la empresa arregle su producto, por lo que los usuarios permanecen expuestos.

Otro aspecto problemático con los programas de recompensas por errores es que existe una alta probabilidad de que no fue solo el investigador quien encontró esta vulnerabilidad. La persona más infame vende lo que sabe o crea un exploit para la vulnerabilidad y lo vende en la web oscura, lo que facilita aún más que otros exploten más rápido. Los programas de divulgación de vulnerabilidades devalúan los productos de los piratas informáticos porque ya no tienen día cero a la venta. Todo el mundo lo sabe, y los expertos en seguridad y los proveedores pueden empezar a escribir reglas y firmas y desarrollar otros métodos para detectar y prevenir un exploit. Reemplazar los programas de recompensas de errores por programas de divulgación de vulnerabilidades puede mantener las vulnerabilidades vivas por más tiempo, si no indefinidamente.

La creciente actividad de las autoridades encargadas de hacer cumplir la ley para derribar activamente a los delincuentes aumenta aún más la complejidad de la discusión. Durante años se ha creído que los programas de divulgación de vulnerabilidades pueden frustrar las actividades de aplicación de la ley al poner en peligro un caso en el que el objetivo es protegerse de los actores del estado-nación mediante la recopilación de pruebas y búsquedas de atribuciones. Pero a menos que se crea que la debilidad o vulnerabilidad se está explotando como parte de una serie de delitos importantes, enjuiciar a los delincuentes tiene poco valor para la mayoría de las empresas. Cuando pensamos en lo que les importa a los CISO y a quienes trabajamos en su nombre, se reduce el riesgo para la empresa. El intercambio de información sobre los puntos débiles y los puntos débiles de los productos permite y acelera este proceso.

Entonces, ¿dónde vamos desde aquí? Propongo que retiremos el telón de los programas de recompensas por errores. Comencemos una discusión sobre los pros y los contras de ir directamente a una empresa y ofrecer resultados de investigación a cambio de una recompensa, en lugar de divulgar los resultados en una comunidad. Mucho ha cambiado desde que se lanzó la lista de distribución completa hace casi 20 años. Incluyendo modelos de negocio que utilizan exploits no revelados como producto, con la consecuencia no deseada de facilitar operaciones nefastas. Examinemos los comportamientos que queremos fomentar, las barandillas que deberían estar en su lugar y cómo definimos esta comunidad: sin control y completamente abierta o escrutada de cualquier manera.

Tiene que haber un medio feliz. ¿Qué piensas?

What do you think?

Written by Alan Kim

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

GIPHY App Key not set. Please check settings

CyberheistNews Vol. 11 # 42 [EYE OPENER] Por qué las pruebas de seguridad por sí solas no son suficientes

La puntuación de las transmisiones Bluetooth permite el seguimiento de dispositivos móviles