{"id":7172,"date":"2017-08-20T21:30:07","date_gmt":"2017-08-20T19:30:07","guid":{"rendered":"https:\/\/www.metafrase.es\/?p=7172"},"modified":"2017-08-20T21:30:07","modified_gmt":"2017-08-20T19:30:07","slug":"divulgacion-coordinada-vulnerabilidades","status":"publish","type":"post","link":"https:\/\/www.metafrase.com\/blog\/divulgacion-coordinada-vulnerabilidades\/","title":{"rendered":"Divulgaci\u00f3n Coordinada de Vulnerabilidades"},"content":{"rendered":"<h2 style=\"text-align: center\">Colaboraci\u00f3n de David Bonilla<\/h2>\n<p><a href=\"https:\/\/twitter.com\/david_bonilla\" target=\"_blank\" rel=\"noopener\">David Bonilla<\/a>\u00a0es un emprendedor espa\u00f1ol del mundo del software que ha sabido construir una comunidad alrededor suya a quienes inspira y deleita semanalmente desde hace a\u00f1os con un bolet\u00edn semanal al que pod\u00e9is suscribiros haciendo click en el enlace de la <a href=\"http:\/\/eepurl.com\/eqGj6\" target=\"_blank\" rel=\"noopener\">awes\u00f3mica Bonilista<\/a>.<\/p>\n<p>No contento con esto, organiza una CONF espectacular (a la que es muy dif\u00edcil asistir) llamada <a href=\"http:\/\/www.tarugoconf.com\/\" target=\"_blank\" rel=\"noopener\">tarugoconf<\/a> (no perdemos la esperanza de poder ir un a\u00f1o de estos) y hoy, en la Bonilista ha tocado un tema que toc\u00e1bamos hace poco en el blog, el <a href=\"https:\/\/www.metafrase.es\/blog\/bug-bounty-hacking-etico\/\" target=\"_blank\" rel=\"noopener\">Bug bounty<\/a>, y que est\u00e1 de m\u00e1s actualidad que nunca con el esc\u00e1ndalo de Lexnet.<\/p>\n<p>Nos ha encantado el art\u00edculo que ha escrito hoy, y le hemos pedido permiso para reproducirlo en nuestro blog. Con todos ustedes, el magn\u00edfico art\u00edculo de David Bonilla:<\/p>\n<p>&nbsp;<\/p>\n<h1 style=\"text-align: center\"><span style=\"color: #202020;font-family: arial\"><strong>Don&#8217;t look Don&#8217;t tell<\/strong><\/span><\/h1>\n<div>\n<p>Hace un par de semanas, intentamos\u00a0reconstruir\u00a0<a href=\"http:\/\/mailchi.mp\/bonillaware\/lexnet\" target=\"_blank\" rel=\"noopener\">la cadena de responsabilidades que llev\u00f3 a la concepci\u00f3n y desarrollo de LexNet<\/a>\u00a0-un software que nunca\u00a0debi\u00f3 existir- s\u00f3lo para llegar a la conclusi\u00f3n de que el actual ministro de Justicia no era, ni mucho menos, el principal culpable.<\/p>\n<p><!--more--><\/p>\n<p>De lo que s\u00ed es responsable es de la p\u00e9sima gesti\u00f3n posterior, por parte de la Administraci\u00f3n que dirige, de la divulgaci\u00f3n de la vulnerabilidad del sistema. Especialmente, cuando\u00a0<a href=\"https:\/\/www.elconfidencial.com\/tecnologia\/2017-08-02\/justicia-lexnet-orfila-seguridad_1423771\/\" target=\"_blank\" rel=\"noopener\">un estudiante de 20 a\u00f1os descubri\u00f3 un servidor del ministerio, p\u00fablico y sin ninguna restricci\u00f3n de acceso<\/a>, que conten\u00eda miles documentos relacionados con el proyecto y permit\u00eda acceder con permisos de administrador al panel de monitorizaci\u00f3n de LexNet.\u00a0Una cagada tan grande que avergonzar\u00eda hasta a un\u00a0comercial de\u00a0<a href=\"https:\/\/jimmyjazz.wordpress.com\/2008\/01\/29\/trabajando-para-una-carnica\/\" target=\"_blank\" rel=\"noopener\">consultora inform\u00e1tica\u00a0<em>c\u00e1rnica<\/em><\/a>.<\/p>\n<p>El chaval les avis\u00f3 del agujero de seguridad por Twitter, pero poco despu\u00e9s borr\u00f3 los mensajes para que la vulnerabilidad no se hiciera viral. Dio igual, la reacci\u00f3n del Ministerio fue termonuclear: en vez de reconocer el error, declararon que lo que hab\u00eda ocurrido no era ning\u00fan fallo\u00a0sino un delito\u00a0y, el 1 de agosto, presentaron una denuncia ante la Brigada de Investigaci\u00f3n Tecnol\u00f3gica de la Polic\u00eda Nacional en la Comisar\u00eda\u00a0de Canillas en Madrid.<\/p>\n<p><img fetchpriority=\"high\" decoding=\"async\" class=\"aligncenter lazyload\" src=\"data:image\/gif;base64,R0lGODlhAQABAAAAACH5BAEKAAEALAAAAAABAAEAAAICTAEAOw==\" alt=\"What?\" width=\"400\" height=\"226\" align=\"center\" data-file-id=\"2017\" data-src=\"https:\/\/gallery.mailchimp.com\/374c664073e1a1fa3deca53b4\/images\/6acecce2-8948-4065-b3b5-efcc40b367d5.gif\"><\/p>\n<p>Esta an\u00e9cdota nos recuerda\u00a0que<strong>\u00a0la gesti\u00f3n de vulnerabilidades inform\u00e1ticas en nuestra Administraci\u00f3n est\u00e1 anticuada desde hace m\u00e1s 15 a\u00f1os<\/strong>, algo que puede parecernos hasta normal, pero que sorprendentemente tambi\u00e9n ocurre en el 99% de las empresas tecnol\u00f3gicas de este pa\u00eds.<\/p>\n<p>Para intentar explicar por qu\u00e9, debemos remontarnos unos 20 a\u00f1os en la historia de la inform\u00e1tica. En\u00a0<a href=\"https:\/\/www.softonic.com\/articulos\/regreso-al-pasado-internet-en-1997\" target=\"_blank\" rel=\"noopener\">aquel lejano 1997<\/a>,<strong>\u00a0si reportabas un fallo de seguridad en el mejor de los casos te ignoraban y, en el peor, te demandaban<\/strong>.<\/p>\n<p>Amparadas por la opacidad y la falta de informaci\u00f3n del gran p\u00fablico, las compa\u00f1\u00edas sol\u00edan negar la existencia de esos fallos y no hac\u00edan un gran esfuerzo por solventarlos. S\u00f3lo se ocupaban de ella cuando los\u00a0<em>chicos malos<\/em>\u00a0aprovechaban la vulnerabilidad y su inacci\u00f3n para intentar obtener un beneficio econ\u00f3mico o, simplemente, hacer da\u00f1o. Entonces, los portavoces de esas grandes corporaciones convocaban a los medios para pedir disculpas, anunciaban un parche para tapar el agujero y echaban la culpa de todos los males de los usuarios a \u00ablos malvados hackers\u201d.\u00a0<strong>La seguridad inform\u00e1tica no se ve\u00eda como un problema de software sino de relaciones p\u00fablicas<\/strong>.<\/p>\n<p><img decoding=\"async\" class=\"aligncenter size-full wp-image-7176 lazyload\" src=\"data:image\/gif;base64,R0lGODlhAQABAAAAACH5BAEKAAEALAAAAAABAAEAAAICTAEAOw==\" alt=\"\" width=\"400\" height=\"225\" data-src=\"http:\/\/www.metafrase.com\/blog\/wp-content\/uploads\/sites\/4\/2017\/08\/boni2.gif\"><\/p>\n<p>Los\u00a0<em>chicos buenos<\/em>\u00a0llegaron a la conclusi\u00f3n de que la \u00fanica forma de conseguir que esas grandes corporaciones se tomaran en serio los fallos de seguridad que afectaban a sus usuarios era causarles un GRAN problema de relaciones p\u00fablicas. As\u00ed naci\u00f3 el\u00a0<strong><em>full disclosure<\/em><\/strong>\u00a0o divulgaci\u00f3n completa de vulnerabilidades, consistente en publicar no s\u00f3lo la existencia de un problema de seguridad sino todos los detalles del mismo.<\/p>\n<p>A partir de ese momento, cada vulnerabilidad se convirti\u00f3 en una carrera entre los departamentos de seguridad de las empresas y los\u00a0<em>crackers\u00a0<\/em>para ver que llegaba primero, el parche que la solucionaba o el\u00a0<em>exploit\u00a0<\/em>que la aprovechaba. El problema es que, a pesar de contar con muchos menos recursos, en demasiadas ocasiones eran los segundos \u2013los\u00a0<em>chicos malos<\/em>&#8211; los que ganaban.<\/p>\n<p>Por eso, en el a\u00f1o 2000, el\u00a0<em>hacker<\/em>\u00a0conocido como Rain Forest Puppy escribi\u00f3 una propuesta sobre c\u00f3mo podr\u00eda funcionar una pol\u00edtica de divulgaci\u00f3n coordinada de vulnerabilidades o\u00a0<strong><em>responsible disclosure\u00a0<\/em><\/strong>que, b\u00e1sicamente, propon\u00eda enviar primero todos los detalles de un fallo de seguridad a los desarrolladores del software y, despu\u00e9s de un tiempo prudencial \u2013al menos 30 d\u00edas-, hacerlos p\u00fablicos.<\/p>\n<p>Desde entonces, hace 17 a\u00f1os, la divulgaci\u00f3n coordinada de vulnerabilidades se convirti\u00f3 en un est\u00e1ndar de la industria, apoyada por empresas como\u00a0<strong>Microsoft<\/strong>,\u00a0<strong>Adobe<\/strong>\u00a0o\u00a0<strong>Google<\/strong>\u00a0que incluso tienen programas de\u00a0<em>bug bounty<\/em>\u00a0y recompensan econ\u00f3micamente a aquellos que descubran vulnerabilidades de seguridad en su software.\u00a0<a href=\"https:\/\/pages.bugcrowd.com\/hubfs\/Bugcrowd-2017-State-of-Bug-Bounty-Report.pdf\" target=\"_blank\" rel=\"noopener\">La recompensa media en 2016 fue de 451 d\u00f3lares<\/a>, y llega hasta los 1.776 d\u00f3lares cuando el fallo reportado es cr\u00edtico. CACAHUETES, comparado con el coste reputacional y econ\u00f3mico que podr\u00edan sufrir estas compa\u00f1\u00edas si dichas vulnerabilidades fueran explotadas por los\u00a0<em>chicos malos<\/em>.<\/p>\n<p>Pero no hace falta ser una gran corporaci\u00f3n para tener una pol\u00edtica de divulgaci\u00f3n coordinada: lo tiene desde una publicaci\u00f3n independiente como\u00a0<a href=\"https:\/\/www.theatlantic.com\/responsible-disclosure-policy\/\" target=\"_blank\" rel=\"noopener\">The Atlantic<\/a>\u00a0hasta una startup espa\u00f1ola como\u00a0<a href=\"https:\/\/mailtrack.io\/es\/responsible-vulnerability\" target=\"_blank\" rel=\"noopener\">Mailtrack<\/a>. Incluso\u00a0<a href=\"https:\/\/github.com\/bugcrowd\/disclosure-policy\" target=\"_blank\" rel=\"noopener\">existe una plantilla<em>\u00a0open source<\/em>\u00a0en Git Hub<\/a>, disponible para que cualquiera quiera adaptarla y usarla.<br \/>\n<img decoding=\"async\" class=\"aligncenter lazyload\" src=\"data:image\/gif;base64,R0lGODlhAQABAAAAACH5BAEKAAEALAAAAAABAAEAAAICTAEAOw==\" alt=\"Suena bien\" width=\"480\" height=\"352\" data-file-id=\"2029\" data-src=\"https:\/\/gallery.mailchimp.com\/374c664073e1a1fa3deca53b4\/images\/e825e043-4d39-4940-89cb-372b6b9a9917.gif\"><br \/>\nPor supuesto, aunque la divulgaci\u00f3n coordinada de vulnerabilidades es un\u00a0<em>win-win<\/em>\u00a0para todas las partes implicadas, algunos prefieren vivir en el pasado m\u00e1s rancio, como por ejemplo nuestra Administraci\u00f3n u\u00a0<strong>Oracle<\/strong>. En 2015,\u00a0<strong>Mary Ann Davidson<\/strong>\u00a0-responsable de seguridad de la compa\u00f1\u00eda- public\u00f3\u00a0<a href=\"https:\/\/web.archive.org\/web\/20150811052336\/https:\/blogs.oracle.com\/maryanndavidson\/entry\/no_you_really_can_t\" target=\"_blank\" rel=\"noopener\">un\u00a0<em>rant<\/em>\u00a0de 3.000 palabras en contra de los que usuarios que reportaban agujeros de seguridad<\/a>, incluyendo sus propios clientes.<\/p>\n<p>Seg\u00fan Davidson, la mayor\u00eda de fallos reportados no eran cr\u00edticos o ya eran conocidos por su equipo y los usuarios que investigaban el comportamiento de su software para hayarlos estaban incumpliendo los t\u00e9rminos de la licencia de uso de Oracle y les exig\u00eda que dejaran de hacerlo. Esos t\u00e9rminos imped\u00edan no ya que revelaran cualquiera vulnerabilidad, sino que incluso probaran la seguridad e integridad de un software por el que hab\u00edan pagado.\u00a0<em>Don\u2019t look Don\u2019t tell<\/em>.<br \/>\n<img loading=\"lazy\" decoding=\"async\" class=\"aligncenter size-full wp-image-7175 lazyload\" src=\"data:image\/gif;base64,R0lGODlhAQABAAAAACH5BAEKAAEALAAAAAABAAEAAAICTAEAOw==\" alt=\"\" width=\"580\" height=\"341\" sizes=\"(max-width: 580px) 100vw, 580px\" data-src=\"http:\/\/www.metafrase.com\/blog\/wp-content\/uploads\/sites\/4\/2017\/08\/boniarticle.jpg\" data-srcset=\"https:\/\/www.metafrase.com\/blog\/wp-content\/uploads\/sites\/4\/2017\/08\/boniarticle.jpg 580w, https:\/\/www.metafrase.com\/blog\/wp-content\/uploads\/sites\/4\/2017\/08\/boniarticle-300x176.jpg 300w\"><br \/>\nPero\u00a0<strong>si impides que los\u00a0<em>chicos buenos\u00a0<\/em>busquen vulnerabilidades en tu software, s\u00f3lo lo har\u00e1n los chicos malos<\/strong>. A un cracker checheno, la licencia de uso de Oracle o lo que piense Mary Ann Davidson le importa tanto como la frecuencia de autobuses entre Betanzos y Peteiro.<\/p>\n<p>Poseer una pol\u00edtica de divulgaci\u00f3n coordinada de vulnerabilidades no har\u00e1 nuestro software m\u00e1s seguro ni impedir\u00e1 que los\u00a0<em>chicos malos\u00a0<\/em>intenten reventarlo en beneficio propio, pero en el caso de que los\u00a0<em>chicos buenos<\/em>\u00a0decidan ayudarnos, les explicar\u00e1 c\u00f3mo hacerlo y les dar\u00e1 unas m\u00ednimas garant\u00edas de que nos les tratar\u00e1s ni como gilipollas ni como delincuentes.<\/p>\n<p><strong>Una divulgaci\u00f3n coordinada o responsable de vulnerabilidades s\u00f3lo funcionar\u00e1 si hay un desarrollo de software coordinado y responsable<\/strong>. Teniendo en cuenta que es una iniciativa que no cuesta dinero sino que lo ahorra, es un dislate que una empresa privada no la tenga, pero en el caso de una Administraci\u00f3n P\u00fablica es, sencillamente, inaceptable.<\/p>\n<p>&nbsp;<\/p>\n<\/div>\n<p><!--more--><\/p>\n<p><!--more--><\/p>\n<div>\n<div style=\"text-align: center\"><strong>\u00bfTe ha gustado este texto?\u00a0Ay\u00fadale a llegar\u00a0a m\u00e1s gente:<\/strong><\/div>\n<\/div>\n<p class=\"p1\" style=\"text-align: center\"><a id=\"fblike-\" title=\"Like Don&#039;t look Don&#039;t tell #Bonilista on Facebook\" href=\"http:\/\/us2.campaign-archive.com\/social-proxy\/facebook-like?u=374c664073e1a1fa3deca53b4&amp;id=7dbc9f7673&amp;url=http%3A%2F%2Fmailchi.mp%2Fbonillaware%2Fdont-look-dont-tell&amp;title=Don%27t%20look%20Don%27t%20tell%20%23Bonilista&amp;e=4795657c82\" rel=\"socialproxy noopener\" target=\"_blank\"><img loading=\"lazy\" decoding=\"async\" src=\"data:image\/gif;base64,R0lGODlhAQABAAAAACH5BAEKAAEALAAAAAABAAEAAAICTAEAOw==\" alt=\"Like Don&#039;t look Don&#039;t tell #Bonilista on Facebook\" width=\"48\" height=\"20\" border=\"0\" class=\"lazyload\" data-src=\"http:\/\/cdn-images.mailchimp.com\/fb\/like.gif\"><\/a>\u00a0<a href=\"http:\/\/twitter.com\/share?url=http%3A%2F%2Fmailchi.mp%2Fbonillaware%2Fdont-look-dont-tell&amp;text=Don%27t+look+Don%27t+tell+%23Bonilista&amp;count=none\" target=\"_blank\" rel=\"noopener\"><img loading=\"lazy\" decoding=\"async\" src=\"data:image\/gif;base64,R0lGODlhAQABAAAAACH5BAEKAAEALAAAAAABAAEAAAICTAEAOw==\" alt=\"share on Twitter\" width=\"55\" height=\"20\" border=\"0\" class=\"lazyload\" data-src=\"http:\/\/cdn-images.mailchimp.com\/social_connect_tweet.png\"><\/a>\u00a0<a id=\"gplusone-\" href=\"http:\/\/us2.campaign-archive.com\/social-proxy\/google-plus-one?u=374c664073e1a1fa3deca53b4&amp;id=7dbc9f7673&amp;url=http%3A%2F%2Fmailchi.mp%2Fbonillaware%2Fdont-look-dont-tell&amp;title=Don%27t%20look%20Don%27t%20tell%20%23Bonilista&amp;gpo=true&amp;e=4795657c82\" rel=\"socialproxy noopener\" target=\"_blank\"><img loading=\"lazy\" decoding=\"async\" src=\"data:image\/gif;base64,R0lGODlhAQABAAAAACH5BAEKAAEALAAAAAABAAEAAAICTAEAOw==\" alt=\"Google Plus One Button\" width=\"32\" height=\"20\" border=\"0\" class=\"lazyload\" data-src=\"http:\/\/cdn-images.mailchimp.com\/google-plusone.png\"><\/a><br \/>\n(Ilustraci\u00f3n original cortes\u00eda del\u00a0<em>dibujolari<\/em>\u00a0<strong><a href=\"https:\/\/twitter.com\/hugotobio\" target=\"_blank\" rel=\"noopener\">Hugo Tobio<\/a><\/strong>)<\/p>\n<p style=\"text-align: center\"><strong>\u00a1Apoyar a la Bonilista es f\u00e1cil!<\/strong>\u00a0S\u00f3lo tienes que\u00a0<strong><a title=\"Empanadas Mil\u00e1n Dopico\" href=\"http:\/\/www.milandopico.com\/\" target=\"_blank\" rel=\"noopener\">comer empanadas<\/a><\/strong><strong>\u00a0<\/strong>o<strong>\u00a0<\/strong>gestionar tu wiki con<strong>\u00a0<a href=\"https:\/\/www.comalatech.com\/?utm_source=newsletter&amp;utm_campaign=bonilista&amp;utm_medium=email\" target=\"_blank\" rel=\"noopener\">software awes\u00f3mico<\/a><\/strong>.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Colaboraci\u00f3n de David Bonilla David Bonilla\u00a0es un emprendedor espa\u00f1ol del mundo del software que ha sabido construir una comunidad alrededor suya a quienes inspira y deleita semanalmente desde hace a\u00f1os con un bolet\u00edn semanal al que pod\u00e9is suscribiros haciendo click en el enlace de la awes\u00f3mica Bonilista. No contento con esto, organiza una CONF espectacular [&hellip;]<\/p>\n","protected":false},"author":12,"featured_media":7175,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"inline_featured_image":false,"footnotes":""},"categories":[2],"tags":[30,31,32,33,34],"class_list":["post-7172","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-blog","tag-bonilista","tag-david-bonilla","tag-ingenieria-del-software","tag-lexnet","tag-vulnerabilidades"],"_links":{"self":[{"href":"https:\/\/www.metafrase.com\/blog\/wp-json\/wp\/v2\/posts\/7172","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.metafrase.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.metafrase.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.metafrase.com\/blog\/wp-json\/wp\/v2\/users\/12"}],"replies":[{"embeddable":true,"href":"https:\/\/www.metafrase.com\/blog\/wp-json\/wp\/v2\/comments?post=7172"}],"version-history":[{"count":0,"href":"https:\/\/www.metafrase.com\/blog\/wp-json\/wp\/v2\/posts\/7172\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.metafrase.com\/blog\/wp-json\/wp\/v2\/media\/7175"}],"wp:attachment":[{"href":"https:\/\/www.metafrase.com\/blog\/wp-json\/wp\/v2\/media?parent=7172"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.metafrase.com\/blog\/wp-json\/wp\/v2\/categories?post=7172"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.metafrase.com\/blog\/wp-json\/wp\/v2\/tags?post=7172"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}