Divulgación responsable - Responsible disclosure
En seguridad informática , la divulgación responsable (también conocida como divulgación coordinada de vulnerabilidades) es un modelo de divulgación de vulnerabilidades en el que una vulnerabilidad o un problema se divulga solo después de un período de tiempo que permite que la vulnerabilidad o el problema se parcheen o remenden. Este período distingue el modelo de la divulgación completa .
Los desarrolladores de hardware y software a menudo requieren tiempo y recursos para reparar sus errores. A menudo, son los piratas informáticos éticos los que encuentran estas vulnerabilidades. Los piratas informáticos y los científicos de seguridad informática opinan que es su responsabilidad social concienciar al público sobre las vulnerabilidades de alto impacto. Ocultar estos problemas podría provocar una sensación de falsa seguridad . Para evitarlo, las partes involucradas unen fuerzas y acuerdan un plazo para reparar la vulnerabilidad y prevenir daños futuros. Dependiendo del impacto potencial de la vulnerabilidad, el tiempo esperado necesario para que se desarrolle y aplique una solución de emergencia o solución alternativa y otros factores, este período puede variar entre unos pocos días y varios meses. Es más fácil parchear el software utilizando Internet como canal de distribución.
La divulgación responsable no satisface a los investigadores de seguridad que esperan ser compensados financieramente, mientras que informar las vulnerabilidades al proveedor con la expectativa de una compensación puede verse como una extorsión. Si bien se ha desarrollado un mercado de vulnerabilidades, la comercialización de vulnerabilidades sigue siendo un tema muy debatido relacionado con el concepto de divulgación de vulnerabilidades. Hoy en día, los dos actores principales en el mercado de vulnerabilidades comerciales son iDefense, que inició su programa de contribución de vulnerabilidades (VCP) en 2003, y TippingPoint , con su iniciativa de día cero (ZDI) iniciada en 2005. Estas organizaciones siguen el proceso de divulgación responsable con el material comprado. Entre marzo de 2003 y diciembre de 2007, un promedio de 7.5% de las vulnerabilidades que afectan a Microsoft y Apple fueron procesadas por VCP o ZDI. Las firmas independientes que apoyan financieramente la divulgación responsable mediante el pago de recompensas por errores incluyen Facebook , Google , Mozilla y Barracuda Networks .
Vendor-sec era una lista de distribución responsable. Muchos, si no todos, los grupos del CERT coordinan las divulgaciones responsables.
Políticas de divulgación
Google Project Zero tiene un plazo de divulgación de 90 días que comienza después de notificar a los proveedores sobre la vulnerabilidad, y los detalles se comparten en público con la comunidad defensiva después de 90 días, o antes si el proveedor publica una solución.
ZDI tiene un plazo de divulgación de 120 días que comienza después de recibir una respuesta del proveedor.
Ejemplos de
Vulnerabilidades de seguridad seleccionadas resueltas mediante la aplicación de divulgación responsable:
- Ataque de colisión MD5 que muestra cómo crear certificados de CA falsos, 1 semana
- Tarjeta de regalo de Starbucks, condición de doble gasto / carrera para crear créditos adicionales gratuitos, 10 días (Egor Homakov)
- Dan Kaminsky descubrimiento de envenenamiento de caché de DNS , 5 meses
- MBTA vs.Anderson , estudiantes del MIT encuentran vulnerabilidad en la seguridad del metro de Massachusetts, 5 meses
- Radboud University Nijmegen rompe la seguridad de las tarjetas MIFARE Classic, 6 meses
- La vulnerabilidad Meltdown , vulnerabilidad de hardware que afecta a los microprocesadores Intel x86 y algunos microprocesadores basados en ARM , 7 meses.
- La vulnerabilidad Spectre , vulnerabilidad de hardware con implementaciones de predicción de rama que afecta a microprocesadores modernos con ejecución especulativa , permitiendo que procesos maliciosos accedan a los contenidos de memoria mapeados de otros programas, 7 meses.
- La vulnerabilidad ROCA , que afecta a las claves RSA generadas por una biblioteca Infineon y Yubikeys , 8 meses.
Ver también
- Denuncia de irregularidades
- Sensibilidad de la información
- Sombrero blanco (seguridad informática)
- Defensa cibernética proactiva
- Equipo de respuesta a emergencias informáticas
- Protección de infraestructura crítica