Un llamado a coordinar mejor la divulgación de una vulnerabilidad

Por Chris Betz

Durante años, nuestros clientes han estado en las trincheras contra los ataques cibernéticos en un panorama digital cada vez más complejo. Hemos estado con usted, al igual que los demás. Y seguiremos estando con usted.  A menudo, las fuerzas oscuras tratan de socavar y perturbar la tecnología y la gente, tratando de debilitar a los dispositivos y servicios en los que las personas dependen y confían. Así como se planean actos maliciosos, también lo son las contra-medidas implementadas por empresas como Microsoft. Estos esfuerzos tienen como objetivo proteger a todos contra un amplio espectro de actividades que van desde las estafas por phishing que se centran en engaños de ingeniería social, hasta sofisticados ataques de adversarios persistentes y determinados. (Y sí, la gente tiene un papel que desempeñar – contraseñas seguras, buenas políticas y prácticas, mantenerse al día con lo mejor de su capacidad, detección y respuesta, etc., pero vamos a guardar esos temas para otro día).     

Con todo lo que está pasando, este es un momento para que los investigadores de seguridad y empresas de software se unan y no permanezcan divididos sobre estrategias de protección importantes, como la divulgación de vulnerabilidades y su solución. 

En cuanto a la industria del software en general y la responsabilidad de cada jugador, creemos en la Divulgación coordinada de vulnerabilidades (CVD).  Este es un tema que la profesión de la tecnología de seguridad ha debatido durante años. En última instancia, la colaboración de vulnerabilidades entre los investigadores y los proveedores se trata de limitar el campo de oportunidades para que los clientes y sus datos estén mejor protegidos contra los ataques cibernéticos.

Quienes están a favor de una divulgación pública completa creen que este método empuja a los proveedores de software a corregir las vulnerabilidades más rápidamente y hace que los clientes desarrollen y adopten medidas para protegerse. No estamos de acuerdo. Liberar información sin contexto o un camino indicado a nuevas protecciones, presionen indebidamente un entorno técnico ya complicado. Es necesario evaluar plenamente la vulnerabilidad potencial, diseñar y evaluar contra un panorama de amenazas más amplio, y emitir una "solución" antes de darse a conocer al público, incluyendo aquellos que utilizan la vulnerabilidad para orquestar un ataque. En esto sí estamos de acuerdo. 

La filosofía y la acción CVD no funciona hoy en día, ya que una empresa – Google – ha publicado información sobre una vulnerabilidad en un producto de Microsoft, dos días antes de nuestra solución prevista en nuestra cadencia conocida y coordinada de Martes de actualizaciones, a pesar de haberles solicitado que se abstengan.  En concreto, le pedimos a Google trabajar con nosotros para proteger a los clientes al no publicar datos hasta el martes, 13 de enero, cuando vamos a liberar una solución. Aunque el seguimiento está dentro de los tiempos anunciados por Google para hacer divulgaciones, su decisión parece menos un principio y más como un "te pillé", siendo los clientes los que pueden sufrir como resultado. Lo que es correcto para Google no siempre es adecuado para los clientes. Pedimos a Google hacer de la protección de los clientes nuestro principal objetivo colectivo. 

Microsoft ha creído durante mucho tiempo que una divulgación coordinada es el enfoque adecuado, ya que minimiza el riesgo para los clientes. Creemos que aquellos que divulgan plenamente una vulnerabilidad antes de que una solución esté ampliamente disponible están haciendo un flaco favor a millones de personas y los sistemas en los que dependen.  Otras empresas e individuos creen que la plena divulgación es necesaria, ya que obliga a los clientes a defenderse, a pesar de que la gran mayoría no realiza ninguna acción, dependiendo en gran medida de un proveedor de software para liberar una actualización de seguridad. Incluso para aquellos capaces de tomar medidas preparatorias, el riesgo se incrementa significativamente al anunciar públicamente la información que un delincuente cibernético podría utilizar para orquestar un ataque y asume que los encargados de tomar una acción están conscientes del problema. De las vulnerabilidades divulgadas de forma privada mediante prácticas coordinadas de divulgación y fijadas cada año por todos los proveedores de software, hemos encontrado que casi ninguna se explota antes de que un "fix o solución" se haya proporcionado a los clientes, e incluso después de hacerlo público sólo una muy pequeña cantidad llega a explotarse. Por el contrario, el historial de vulnerabilidades divulgadas públicamente antes de que un fix esté disponible para los productos afectados es mucho peor; con mayor frecuencia los delincuentes cibernéticos orquestan ataques contra aquellos que no tienen o no pueden protegerse a sí mismos.

Otro aspecto del debate CVD tiene que ver con la sincronización – específicamente la cantidad de tiempo aceptable antes de que un investigador comunique ampliamente la existencia de una vulnerabilidad.  La opinión sobre este punto es muy variable. Nuestro enfoque y que hemos pedido que otros lo adopten, es que los investigadores trabajen con el proveedor para entregar una actualización que proteja a los clientes antes de soltar detalles de la vulnerabilidad. Es cierto que hay casos en los que la falta de respuesta por parte de un proveedor desafía ese plan, pero aún así la atención debe centrarse en la protección de los clientes. Usted puede ver nuestros valores en acción a través de nuestros propios expertos en seguridad que encuentran y reportan vulnerabilidades en productos de muchas empresas, algunas de las cuales recibimos el crédito, y muchas que no son reconocidas públicamente. No creemos correcto que si nuestros investigadores de seguridad encuentran vulnerabilidades en productos de la competencia, apliquen presión para que un fix se produzca en un plazo determinado, y luego públicamente revelen información que podría ser utilizada para explotar la vulnerabilidad y atacar a los clientes antes de crear una solución.

Responder a las vulnerabilidades de seguridad puede ser un proceso complejo, extenso y laborioso.  Como proveedor de software esta es un área en la que tenemos años de experiencia. Parte de la complejidad en la discusión de los tiempos tiene sus raíces en la variedad de ambientes que nosotros como profesionales de la seguridad debemos tener en cuenta: impacto en el mundo real en entornos de cliente, el número de plataformas soportadas en las que existe el problema y ??la complejidad de la revisión. Las vulnerabilidades no son todas iguales ni se rigen de acuerdo con una medida bien definida. Y una actualización de un servicio en línea puede tener diferente complejidad y dependencias que van desde una solución a un producto de software hasta una plataforma de software liberada hace una década en la que decenas de miles de personas han creado aplicaciones o dispositivos de hardware. Una colaboración inteligente toma estos atributos en cuenta. 

Para lograr que las estrategias de seguridad importantes protejan a los clientes, tenemos que trabajar juntos. Agradecemos y reconocemos la positiva colaboración, intercambio de información y orientación hacia los resultados existente con muchos jugadores de seguridad hoy.  Pedimos que los investigadores den a conocer en privado vulnerabilidades a los proveedores de software, trabajando con ellos hasta que una solución esté disponible antes de compartir los detalles públicamente. Es en esa sociedad que los clientes obtienen el mayor beneficio. Las políticas y enfoques que limitan o hacen caso omiso de esa asociación no benefician a los investigadores, proveedores de software ni a nuestros clientes. Se trata de un juego de suma cero, donde todas las partes pierden.

Seamos realistas, no hay software perfecto. Es, después de todo, hecho por seres humanos. Microsoft tiene la responsabilidad de trabajar en el mejor interés de nuestros clientes para hacer frente a los problemas de seguridad de forma rápida, exhaustiva y de una manera que sirva para que el vasto ecosistema que ofrece la tecnología impacte positivamente en las vidas de la gente. El software es algo orgánico en donde los patrones y prácticas de uso cambian, y los nuevos sistemas se construyen encima de los productos que prueban (y en algunos casos superan) los límites de su diseño original. En muchos sentidos, esa es la parte emocionante del software en el mundo en rápida evolución en el que vivimos. Esta afirmación no es de ninguna manera una renuncia a nuestra responsabilidad.  Es nuestro trabajo construir el mejor software posible y protegerlo de forma continua con nuestra mejor capacidad. Todos estamos en el mismo barco.

Chris Betz
Director Senior, MSRC
Computación Confiable

[Nota: En nuestra propia política de CVD (disponible en microsoft.com/cvd), mencionamos excepciones para los casos en los que podríamos lanzar un aviso acerca de una vulnerabilidad en el software de un tercero antes de que una actualización esté lista, incluso cuando los detalles técnicos sean conocidos al público, cuando existe evidencia de la explotación de una vulnerabilidad sin solución y cuando el proveedor no responde a las solicitudes de análisis.]