Divulgación completa (seguridad informática)
En el campo de la seguridad informática, los investigadores independientes a menudo descubren fallas en el software de las que se puede abusar para provocar un comportamiento no deseado; estos defectos se denominan vulnerabilidades. El proceso mediante el cual el análisis de estas vulnerabilidades se comparte con terceros es objeto de mucho debate y se conoce como la política de divulgación del investigador. Divulgación completa es la práctica de publicar análisis de vulnerabilidades de software lo antes posible, haciendo que los datos sean accesibles para todos sin restricciones. El objetivo principal de difundir ampliamente la información sobre las vulnerabilidades es que las víctimas potenciales estén tan informadas como quienes las atacan.
En su ensayo de 2007 sobre el tema, Bruce Schneier afirmó: "La divulgación completa, la práctica de hacer públicos los detalles de las vulnerabilidades de seguridad, es una muy buena idea". El escrutinio público es la única forma confiable de mejorar la seguridad, mientras que el secreto solo nos hace menos seguros". Leonard Rose, cocreador de una lista de correo electrónico que reemplazó a bugtraq para convertirse en el foro de facto para difundir avisos, explica: "No creemos en la seguridad por oscuridad y, hasta donde sabemos, la divulgación es la única forma de garantizar que todos, no solo los internos, tengan acceso a la información que necesitamos."
El debate sobre la divulgación de vulnerabilidades
La controversia en torno a la divulgación pública de información confidencial no es nueva. El tema de la divulgación completa se planteó por primera vez en el contexto de la cerrajería, en una controversia del siglo XIX sobre si las debilidades en los sistemas de bloqueo deben mantenerse en secreto en la comunidad de cerrajeros o revelarse al público. Hoy en día, existen tres políticas principales de divulgación bajo las cuales se pueden clasificar la mayoría de las demás: No divulgación, Divulgación coordinada y Divulgación completa.
Las principales partes interesadas en la investigación de vulnerabilidades tienen sus políticas de divulgación moldeadas por diversas motivaciones, no es raro observar campañas, marketing o cabildeo para que se adopte su política preferida y castigar a quienes disienten. Muchos investigadores de seguridad prominentes favorecen la divulgación completa, mientras que la mayoría de los proveedores prefieren la divulgación coordinada. La no divulgación generalmente es favorecida por los proveedores de exploits comerciales y los piratas informáticos blackhat.
Divulgación coordinada de vulnerabilidades
La divulgación coordinada de vulnerabilidades es una política según la cual los investigadores acuerdan informar vulnerabilidades a una autoridad coordinadora, que luego informa al proveedor, realiza un seguimiento de las correcciones y mitigaciones, y coordina la divulgación de información con las partes interesadas, incluido el público. En algunos casos, la autoridad coordinadora es el proveedor. La premisa de la divulgación coordinada suele ser que nadie debe ser informado sobre una vulnerabilidad hasta que el proveedor del software diga que es el momento. Si bien a menudo hay excepciones o variaciones de esta política, la distribución debe ser inicialmente limitada y los proveedores tienen acceso privilegiado a la investigación no pública.
El nombre original de este enfoque era "divulgación responsable", basado en el ensayo del director de seguridad de Microsoft, Scott Culp, "Es hora de poner fin a la anarquía de la información" (en referencia a la divulgación completa). Más tarde, Microsoft pidió que el término se elimine gradualmente a favor de la "Divulgación coordinada de vulnerabilidades" (CVD).
Aunque el razonamiento varía, muchos profesionales argumentan que los usuarios finales no pueden beneficiarse del acceso a la información sobre vulnerabilidades sin la guía o los parches del proveedor, por lo que los riesgos de compartir la investigación con actores maliciosos son demasiado grandes para obtener muy pocos beneficios. Como explica Microsoft, "[Divulgación coordinada] sirve a los mejores intereses de todos al garantizar que los clientes reciban actualizaciones completas y de alta calidad para las vulnerabilidades de seguridad, pero que no estén expuestos a ataques maliciosos mientras se desarrolla la actualización". 34;
Divulgación completa
La divulgación completa es la política de publicar información sobre vulnerabilidades sin restricciones lo antes posible, haciendo que la información sea accesible al público en general sin restricciones. En general, los defensores de la divulgación completa creen que los beneficios de la investigación de vulnerabilidades disponible gratuitamente superan los riesgos, mientras que los opositores prefieren limitar la distribución.
La disponibilidad gratuita de información sobre vulnerabilidades permite a los usuarios y administradores comprender y reaccionar ante las vulnerabilidades de sus sistemas, y permite a los clientes presionar a los proveedores para que corrijan las vulnerabilidades que, de otro modo, los proveedores no sentirían ningún incentivo para resolver. Hay algunos problemas fundamentales con la divulgación coordinada que la divulgación completa puede resolver.
- Si los clientes no saben sobre vulnerabilidades, no pueden solicitar parches, y los proveedores no experimentan ningún incentivo económico para corregir vulnerabilidades.
- Los administradores no pueden tomar decisiones informadas sobre los riesgos para sus sistemas, ya que se restringe la información sobre vulnerabilidades.
- Investigadores maliciosos que también conocen el defecto tienen un largo período de tiempo para seguir explotando el defecto.
El descubrimiento de una falla o vulnerabilidad específica no es un evento mutuamente excluyente, varios investigadores con diferentes motivaciones pueden descubrir y descubren las mismas fallas de manera independiente.
No existe una forma estándar de hacer que la información sobre vulnerabilidades esté disponible para el público; los investigadores a menudo usan listas de correo dedicadas al tema, artículos académicos o conferencias de la industria.
No divulgación
La no divulgación es la política de que la información de vulnerabilidad no debe compartirse, o solo debe compartirse bajo un acuerdo de no divulgación (ya sea contractual o informalmente).
Los defensores comunes de la no divulgación incluyen proveedores de exploits comerciales, investigadores que tienen la intención de explotar las fallas que encuentran y defensores de la seguridad a través de la oscuridad.
Debate
Argumentos en contra de la divulgación coordinada
Los investigadores a favor de la divulgación coordinada creen que los usuarios no pueden hacer uso del conocimiento avanzado de las vulnerabilidades sin la guía del proveedor, y que la mayoría se beneficia mejor limitando la distribución de la información sobre vulnerabilidades. Los defensores argumentan que los atacantes poco calificados pueden usar esta información para realizar ataques sofisticados que de otro modo estarían más allá de su capacidad, y el beneficio potencial no supera el daño potencial causado por actores malintencionados. Solo cuando el proveedor haya preparado una guía que incluso los usuarios menos sofisticados puedan digerir, la información se hará pública.
Este argumento presupone que el descubrimiento de vulnerabilidades es un evento mutuamente excluyente, que solo una persona puede descubrir una vulnerabilidad. Hay muchos ejemplos de vulnerabilidades que se descubren simultáneamente, a menudo explotadas en secreto antes de que otros investigadores las descubran. Si bien puede haber usuarios que no puedan beneficiarse de la información sobre vulnerabilidades, los defensores de la divulgación total creen que esto demuestra un desprecio por la inteligencia de los usuarios finales. Si bien es cierto que algunos usuarios no pueden beneficiarse de la información sobre vulnerabilidades, si están preocupados por la seguridad de sus redes, están en condiciones de contratar a un experto para que los ayude, como contrataría a un mecánico para que lo ayude. un coche.
Argumentos en contra de la no divulgación
Normalmente, la no divulgación se usa cuando un investigador tiene la intención de usar el conocimiento de una vulnerabilidad para atacar los sistemas informáticos operados por sus enemigos, o para intercambiar el conocimiento de una vulnerabilidad con un tercero con fines de lucro, que normalmente lo usará para atacar a sus enemigos..
Los investigadores que practican la confidencialidad generalmente no se preocupan por mejorar la seguridad o proteger las redes. Sin embargo, algunos defensores argumentan que simplemente no quieren ayudar a los proveedores y afirman que no tienen la intención de dañar a otros.
Si bien los defensores de la divulgación completa y coordinada declaran objetivos y motivaciones similares, simplemente discrepan sobre la mejor manera de lograrlos, la no divulgación es totalmente incompatible.
Contenido relacionado
Gramófono (desambiguación)
Software gratuito
Recocida(feminine)