En
los últimos días se han realizado importantes anuncios de vulnerabilidades, no
exentos de cierta polémica, en productos de Kaspersky y FireEye.
Gran parte de la polémica ha
venido por la forma en que han sido comunicados. Lejos de la conocida como
comunicación responsable.
El primero partió del conocido investigador
de Google Tavis Ormandy, que a través de un twit anunciaba que había conseguido
un exploit para las versiones 15 y 16 de los antivirus de Kaspersky, que podría
permitir a un atacante conseguir acceso sencillo a los sistemas.
Okay, first Kaspersky exploit finished, works great on 15 and 16. Will mail report after dinner. /cc @ryanaraine pic.twitter.com/IpifiWpoEU
— Tavis Ormandy (@taviso) septiembre 5, 2015
@ryanaraine It's a remote, zero interaction SYSTEM exploit, in default config. So, about as bad as it gets.
— Tavis Ormandy (@taviso) septiembre 5, 2015
Según el propio Tarvis ya ha desplegado una actualización, con lo que ha dado una respuesta al problema en menos de 24 horas.
Kaspersky tell me they're rolling out a fix globally right now, that was less than 24hrs.
— Tavis Ormandy (@taviso) septiembre 6, 2015
Otro aviso ha venido de parte de Kristian
Erik Hermansen, que publicó los detalles de una vulnerabilidad en el software
de FireEye que podría permitir a un atacante obtener acceso no autorizado a archivos
del sitio remoto. Incluso publicó una prueba de concepto en la que mostraba
como aprovechar la vulnerabilidad.
Incluso iba algo más lejos y
aseguraba haber encontrado otras tres vulnerabilidades que podrían permitir
acceso remoto como root. Indicando que las cuatro vulnerabilidades estaban en
venta.
El investigador asegura estar
bastante descontento con la forma de actuación y respuesta de FireEye ante avisos
de seguridad. Ante lo que reclama un programa de recompensas por
vulnerabilidades para facilitar la información a la compañía.
Una vez más la polémica sobre la
comunicación responsable sale a la luz. Por una parte parece se entiende que el
proceso de una comunicación privada a la compañía afectada con la información
del problema y dando un tiempo razonable para su solución ayuda a la mejora de
la seguridad de los productos sin poner en riesgo a los usuarios.
Al contrario, cualquier
comunicación pública de una vulnerabilidad puede facilitar a atacantes
malintencionados obtener información que permita desarrollar un exploit para
aprovechar la vulnerabilidad. Algo que puede poner en riesgo a los usuarios.
Pero de igual forma el tiempo y trabajo
de los investigadores independientes merece ser recompensado, para ello han
nacido los programas de recompensas por vulnerabilidades también conocidos como
"bug bounty programs". De
esta forma, los fabricantes ofrecen recompensas económicas a los investigadores
que reportan vulnerabilidades bajo ciertas condiciones y por supuesto, que no
se hagan públicos hasta que se hayan solucionado.
Son muchos los fabricantes que ya
ofrecen programas de recompensas por vulnerabilidades, como Google, Facebook,
Microsoft o Mozilla entre otras. También han surgido varios sitios web a través
de los cuales diferentes compañías permiten coordinar el acceso a este tipo de programas
de recompensas: HackerOne,
bugcrowd o InternetBug Bounty.
Más información:
Zero-day vulnerabilities reportedly found in
Kaspersky and FireEye security products
Researcher discloses zero-day vulnerability in
FireEye
Researcher to FireEye: If you're not paying,
I'm not talking
Antonio Ropero
Twitter: @aropero
No hay comentarios:
Publicar un comentario