Hace un par de semanas pudimos leer en la prensa de los EEUU el caso de un investigador de ciberseguridad que fue detenido por el FBI a punta de pistola por haber descubierto una gran cantidad de datos médicos en un servidor FTP inseguro. (Link a la noticia)
Otra de las noticias que ponen de manifiesto lo complicado y peligroso que puede llegar a ser el reporte de vulnerabilidades la veíamos también hace ya unos días cuando se publicó que un joven estudiante universitario era condenado por su investigación con el protocolo de comunicación TETRA y el reporte a un cuerpo policial de Eslovenia. (Link a la noticia)
En este caso ni siquiera se había vulnerado un sistema de encriptación ya que se estaba utilizando la red sin aplicar el correspondiente cifrado en los equipos. Además el joven reportó la vulnerabilidad durante tres años, pero fue cuando decidió hacerlo público cuando las miradas se centraron sobre él.
Estas noticias junto con muchas otras hacen que las personas que trabajan investigando y tratando de mejorar la seguridad en redes y sistemas se planteen la venta de las vulnerabilidades en mercados negros (Esto se está viendo con especial fuerza estos días en los que un usuario vende passwords de servicios como LinkedIn, MySpace o VK a 1BTC) en lugar de su reporte ético a la empresa interesada, algo que además de convertirlos en delincuentes puede llegar a ser muy lucrativo.
Pero no todo son malas experiencias…
Hoy me gustaría escribir sobre las empresas que han tomado nota de que la mejor forma de proteger sus sistemas, además de claro esta mucho conocimiento e inversión, es con el apoyo de la comunidad.
Muchas as empresas usan el conocimiento de la comunidad para proteger sus sistemas. Click Para Twittear
Para ello voy a hablaros de una vulnerabilidad básica que encontré en una empresa de antivirus muy conocida por todos y de cómo su equipo gestiono el reporte.
Soy usuario del programa de antivirus ESET Smart security, hace aproximadamente un año caducaba mi suscripción, lo que hizo que el propio programa me mandara a una página de compra para actualizar mi suscripción.
Es en ese proceso donde se producia el fallo, que sin entrar en detalles podemos decir que dejaba al descubierto una pequeña parte de informacion sensible de la BBDD.
Al ver esto hice un par de capturas de pantalla y decidí ponerme en contacto con ESET, no conocía a nadie que trabajase allí, así que contacte con la cuenta oficial de ESET España por Twitter.
Tras una rápida respuesta por parte del equipo de comunicación les mande un correo más detallado del fallo (El cual además firme digitalmente con egarante para asegurarme ante futuros problemas)
En ese momento no recibí respuesta (Cosa normal ya que era por la tarde) pero al día siguiente me sorprendió un email de alguien a quien si conocía bastante, ya que es uno de los referentes de la ciberseguridad en España, se trataba de Joaquín Molina AKA @Kinomakino que justo acababa de fichar por ESET.
En el correo que me mando, y que por temas de confidencialidad no voy a pegar aquí básicamente me daba las gracias por el aviso responsable (Ya solo con eso me habría bastado) pero además me contaba algunas particularidades del sistema y las soluciones que estaban adoptando para corregir el problema, por ultimo me invito a darle alguna sugerencia si me apetecía.
En un par de días me escribió de nuevo una vez que la vulnerabilidad había sido parcheada, me animo a probarlo, y no solo eso sino, que me adelanto que me iban a hacer un “regalito” por el “responsable disclosure”.
Unos días después recibí una serie de regalos, algo que agradezco enormemente.
Es importante decir, que eset de momento no cuenta con un programa de recompensas por la búsqueda de vulnerabilidades.
Por lo que cuando hice el aviso no esperaba recibir nada como recompensa, sino que lo hice por que considere que era lo correcto, por supuesto tampoco esperaba que fueran a llamar a la policía acusándome de haber intentado hackear sus sistemas, ya que claramente no era eso lo que había hecho.
Con este post (Que no es un post patrocinado por eset, ni por nadie) me gustaría hacer pensar a los responsables de empresas que reciban la notificación de una vulnerabilidad en sus sistemas, no es necesario que hagáis regalos o enviéis cantidades de dinero al investigador que os notifique (Aunque se agradece y mucho) pero lo menos que podéis hacer sin excepción es dar las gracias. La persona que ha notificado no es un criminal, si lo fuera habría vendido la vulnerabilidad, lo que podría haber ocasionado perdidas millonarias en la empresa, sin embargo ha mandado un email explicando el problema y ofreciendo su ayuda desinteresada para solucionarlo.
Afortunadamente cada día son más las compañías concienciadas con esto, que invierten en equipos de ciberseguridad y agradecen los avisos responsables que reciben por parte de la comunidad.
Un caso que me llamó la atención especialmente es el de la entidad Bancaria ING que desde hace aproximadamente un año lanzo su programa “responsible disclosure” siendo así la primera entidad bancaria en España que cuenta con un programa de este tipo.
Este programa no busca hacer rico al investigador que reporte algo, sino que según ellos mismos aseguran: “busca detectar y corregir posibles fallos cuya solución suponga una mejora de los servicios que se ofrecen clientes. El objetivo es que los sistemas sigan a la vanguardia de la seguridad en un entorno en constante cambio y evolución, una apuesta por la innovación para adaptarse y mejorar con la sociedad.”
Uno de los precursores de esta iniciativa en ING es Alejandro Ramos, un profesional de la seguridad muy conocido por todos, algo que entredeja ver las buenas iniciativas y profesionales que surgen en nuestro país.
Espero que la cosa siga mejorando y que se tome como ejemplo lo que muchas empresas hacen de forma correcta y agradecen la ayuda que en la mayoría de los casos es desinteresada.
Y vosotros ¿Que pensáis, estáis a favor de reportar o preferís guardarla para otros usos? Dejar vuestros comentarios #SeAbreElDebate
Saludos
Tal vez te interese ver estos post!:
