2018-10-16 - Divulgación coordinada de fallos de seguridad

Mosaico (piezas que encajan) Ya pasó el tiempo en que alguien hacía un gran descubrimiento de seguridad y lo publicaba en algún sitio para ganar fama y notoriedad: aunque pasa de vez en cuando, lo habitual es comunicarlo al interesado para que lo resuelva y luego llevarse el crédito de alguna forma (fama, pero también cobros de los programas de detección de fallos que casi todas las empresas tienen), o ¡ay! tratar de obtener algún tipo de beneficio económico en el mercado negro de vulnerabilidades.

Con eso en mente, vale la pena echarle un ojo a Your TL;DR Summary of The CERT Guide to Coordinated Vulnerability Disclosure donde se comenta sobre la publicación del CERT [PDF] The CERT Guide to Coordinated Vulnerability Disclosure.

Son interesantes los principios: reducir el daño, asumir la benevolencia (del informante), evitar sorpresas, incentivar el comportamiento deseado, tener en cuenta las consideraciones éticas, mejorar el proceso y concentrarse en mejorar las cosas y no en alcanzar la ‘última verdad verdadera’.

Reduce Harm - (Balance) the ability for system defenders to take action while avoiding an increase in attacker advantage.

Presume Benevolence - Assume that any individual who has taken the time and effort to reach out to a vendor or a coordinator to report an issue is likely benevolent and sincerely wishes to reduce the risk posed by the vulnerability.

Avoid Surprise - Clearly communicating expectations across all parties involved in a CVD process.

Incentivize Desired Behavior - Incentives can take many forms…recognition, gifts, money, employment.

Ethical Considerations - The Usenix’ System Administrators’ Code of Ethics includes an ethical responsibility “to make decisions consistent with the safety, privacy, and well-being of my community and the public, and to disclose promptly factors that might pose unexamined risks or dangers.”

Process Improvement - Capture ideas that worked well and note failures. A successful CVD program feeds vulnerability information back into the vendor’s Software Development Lifecycle, (and) helps encourage the search for and reporting of vulnerabilities while minimizing harm to users.

CVD as a Wicked Problem - The goal of a solution is not to find an ultimate truth about the world, rather it is to improve conditions for those who inhabit it.

Interesante.

Escrito el 2018-10-16
Categorías: seguridad
Tags: seguridad fallos vulnerabilidades coordinación divulgación