Github, propiedad de Microsoft, eliminó rápidamente el código, que explotaba vulnerabilidades aparentemente utilizadas por hackers chinos para entrar en una serie de empresas.
El problema es que las empresas hacen como si hicieran algo pero no hacen nada. Microsoft es experta en eso, y deja las vulnerabilidades ahí meses o años. Y no te olvides que mientras tanto cobran.
Los primeros dicen que lo irresponsable es revelar la vulnerabilidad. Los otros dicen que lo irresponsable es vender algo roto (el software) y no hacer nada para repararlo.
#2#3 Full disclosure es precisamente el nombre de una de las listas de correo más antiguas en las que se publican vulnerabilidades, pero en realidad prácticamente la totalidad de revelaciones (disclosures) que se hacen son de forma responsable.
Tú envías un correo a la empresa dueña del producto, a su departamento de SIRT o similar y enseguida te van a decir si rechazan que es un fallo o te van a dar un código CVE que básicamente indica que reconocen el problema y que se va a intentar arreglar y va a quedar en un archivo de fallos de seguridad para su consulta en el futuro.
A partir de ahí es la cortesía que se quiera tener con la empresa la que marca los tiempos, lo normal es darles un mes aunque en muchos casos, Microsoft incluido, si el fallo en mínimamente importante van a intentar solucionarlo antes. Otra cosa es, como ha pasado en muchas ocasiones, que el fallo no se arregle del todo o que incluso el parche genere nuevos vectores de ataque. Hay algún caso conocido por ejemplo con qmail, que tras un parche de seguridad quedo un bug que no fue conocido durante una década y que seguramente algún grupo estuvo explotando durante ese tiempo.
Publicar disclosures aunque sea parciales o pruebas de concepto antes de que el fallo esté corregido es, desde mi punto de vista, una irresponsabilidad enorme, que no afecta en gran parte a la empresa desarrolladora pero que expone en cierto grado según el fallo que sea, a un número de clientes que nada tienen que ver y que seguro en muchos casos ni siquiera tienen un departamento dedicado de ciberseguridad para manejar el problema en el que se les puede meter.
#4 Aunque no me dedico a ello sé que es más complejo de lo que he explicado.
Evidentemente, quien publique vulnerabilidades de una central nuclear es para meterlo en cárcel. Pero salvo excepciones estoy de acuerdo con un full. El problema es que las empresas de software están mal acostumbradas y los clientes otro tanto.
Yo no veo al gerente de un hotel comprando extintores defectuosos, ¿no? Se informa de qué empresa tiene buenos extintores y los compra, sin regatear. Se deja asesorar por especialistas en seguridad que cobran una pasta, y si no demanda, que ahí están los abogados. ¿Por qué cuando es software pillan la primera oferta de la empresa más cutre? Y Microsoft siempre ha sido muy cutre en seguridad.
Hasta 30.000 empresas solo en USA con los datos comprometidos. krebsonsecurity.com/2021/03/at-least-30000-u-s-organizations-newly-hac
¿Y se volverá a ir Microsoft de rositas? ¿Y le seguirán comprando productos a Microsoft? Que se jodan ambos.
Salvo alguna excepción, lo repito, para mí responsible y tras un tiempo full, y que aprendan de una vez tanto desarrollador como cliente.
#5 Pero es que en software la seguridad por defecto no existe. Nadie te va a vender un software con garantía 100% de no contener fallos de seguridad. Y si alguien te lo intenta vender así te está engañando.
Y da igual que hoy sea microsoft, hace un mes fue solarwinds y el mes anterior fue otro. Y en software libre tienes fallos de seguridad a diario. En este caso de microsoft son 30.000 organizaciones afectadas. Por citar un ejemplo con fallos de wordpress o joomla han habido números muchos mayores.
Y por ejemplo el caso de la central nuclear lo mismo está funcionando su correo con exchange y por una mala gestión los servidores de correo están en una red interna desde la cual se puede saltar a una más crítica. Quiero decir con esto que sin quererlo, el investigador que descubre y publica sin dar tiempo a arreglar puede estar indirectamente creando situaciones peligrosas.
#7Pero es que en software la seguridad por defecto no existe. Nadie te va a vender un software con garantía 100% de no contener fallos de seguridad. Y si alguien te lo intenta vender así te está engañando.
De acuerdo, 100% seguro no hay nada. Pero hombre, estamos de acuerdo que el software hoy en día es lo suficientemente importante como para tomarse más en serio algunos fallos. Si seguimos así vamos camino de un gran colapso de nuestros sistemas críticos, y no será por sustos que nos hemos llevado.
Quiero decir con esto que sin quererlo, el investigador que descubre y publica sin dar tiempo a arreglar puede estar indirectamente creando situaciones peligrosas.
Con eso estoy de acuerdo y por eso digo que es algo complejo de medir.
Pero después de tantos años de desarrollo de software no me trago que no lo puedan hacer mejor. Cuando hay dinero o mucho prestigio de por medio sí que lo hacen bien. Centrales energéticas tienen muy pocos fallos conocidos, aviones, las bolsas... ahí sí funciona el software.
Pero del resto, las empresas van en una huida hacia delante sin cabeza. Van cuesta abajo a velocidad supersónica a ver quién es la que ofrece la última feature chachipilungui. Que echen un poco el freno. Es perfectamente posible porque han habido años en que Microsoft sí lo ha hecho mejor y se han puesto a mejorar sus montañas de software.
*En el caso de las centrales nucleares lo tienen bien montado. Pocas centrales verás con un correo exchange hacia el exterior, y si lo tiene será alguna oficina sin conexión a los sistemas críticos.
Comentarios
Lo suyo es decírselo a la empresa
#1 Lo suyo es "full disclosure". Que Microsoft elimine código que considere "inconveniente" no es de recibo.
#1 Eso es una discusión antiquísima.
Lo que tu dices se llama revelación responsable. https://es.wikipedia.org/wiki/Revelaci%C3%B3n_responsable
El problema es que las empresas hacen como si hicieran algo pero no hacen nada. Microsoft es experta en eso, y deja las vulnerabilidades ahí meses o años. Y no te olvides que mientras tanto cobran.
A parte de la comunidad de hackers se les hinchó la nariz y empezaron a hacer revelación completa. https://es.wikipedia.org/wiki/Revelaci%C3%B3n_completa
Los primeros dicen que lo irresponsable es revelar la vulnerabilidad. Los otros dicen que lo irresponsable es vender algo roto (el software) y no hacer nada para repararlo.
Y después está lo que hizo el señor de la noticia, que es algo en medio, una prueba de concepto. https://es.wikipedia.org/wiki/Prueba_de_concepto
Las grandes empresas de software intentan hacer creer que lo único viable es la revelación responsable.
#2 Yo soy partidario de un responsible y tras una semana full, jaja
#2 #3 Full disclosure es precisamente el nombre de una de las listas de correo más antiguas en las que se publican vulnerabilidades, pero en realidad prácticamente la totalidad de revelaciones (disclosures) que se hacen son de forma responsable.
Tú envías un correo a la empresa dueña del producto, a su departamento de SIRT o similar y enseguida te van a decir si rechazan que es un fallo o te van a dar un código CVE que básicamente indica que reconocen el problema y que se va a intentar arreglar y va a quedar en un archivo de fallos de seguridad para su consulta en el futuro.
A partir de ahí es la cortesía que se quiera tener con la empresa la que marca los tiempos, lo normal es darles un mes aunque en muchos casos, Microsoft incluido, si el fallo en mínimamente importante van a intentar solucionarlo antes. Otra cosa es, como ha pasado en muchas ocasiones, que el fallo no se arregle del todo o que incluso el parche genere nuevos vectores de ataque. Hay algún caso conocido por ejemplo con qmail, que tras un parche de seguridad quedo un bug que no fue conocido durante una década y que seguramente algún grupo estuvo explotando durante ese tiempo.
Publicar disclosures aunque sea parciales o pruebas de concepto antes de que el fallo esté corregido es, desde mi punto de vista, una irresponsabilidad enorme, que no afecta en gran parte a la empresa desarrolladora pero que expone en cierto grado según el fallo que sea, a un número de clientes que nada tienen que ver y que seguro en muchos casos ni siquiera tienen un departamento dedicado de ciberseguridad para manejar el problema en el que se les puede meter.
#4 Aunque no me dedico a ello sé que es más complejo de lo que he explicado.
Evidentemente, quien publique vulnerabilidades de una central nuclear es para meterlo en cárcel. Pero salvo excepciones estoy de acuerdo con un full. El problema es que las empresas de software están mal acostumbradas y los clientes otro tanto.
Yo no veo al gerente de un hotel comprando extintores defectuosos, ¿no? Se informa de qué empresa tiene buenos extintores y los compra, sin regatear. Se deja asesorar por especialistas en seguridad que cobran una pasta, y si no demanda, que ahí están los abogados. ¿Por qué cuando es software pillan la primera oferta de la empresa más cutre? Y Microsoft siempre ha sido muy cutre en seguridad.
Hasta 30.000 empresas solo en USA con los datos comprometidos. krebsonsecurity.com/2021/03/at-least-30000-u-s-organizations-newly-hac
¿Y se volverá a ir Microsoft de rositas? ¿Y le seguirán comprando productos a Microsoft? Que se jodan ambos.
Salvo alguna excepción, lo repito, para mí responsible y tras un tiempo full, y que aprendan de una vez tanto desarrollador como cliente.
#4 #5 El enlace con el desastre de Microsoft: https://krebsonsecurity.com/2021/03/at-least-30000-u-s-organizations-newly-hacked-via-holes-in-microsofts-email-software/
*Por cierto, creo que Full disclosure ya está prohibido en algunos países. ¿Alguien lo sabe?
#5 Pero es que en software la seguridad por defecto no existe. Nadie te va a vender un software con garantía 100% de no contener fallos de seguridad. Y si alguien te lo intenta vender así te está engañando.
Y da igual que hoy sea microsoft, hace un mes fue solarwinds y el mes anterior fue otro. Y en software libre tienes fallos de seguridad a diario. En este caso de microsoft son 30.000 organizaciones afectadas. Por citar un ejemplo con fallos de wordpress o joomla han habido números muchos mayores.
Y por ejemplo el caso de la central nuclear lo mismo está funcionando su correo con exchange y por una mala gestión los servidores de correo están en una red interna desde la cual se puede saltar a una más crítica. Quiero decir con esto que sin quererlo, el investigador que descubre y publica sin dar tiempo a arreglar puede estar indirectamente creando situaciones peligrosas.
#7 Pero es que en software la seguridad por defecto no existe. Nadie te va a vender un software con garantía 100% de no contener fallos de seguridad. Y si alguien te lo intenta vender así te está engañando.
De acuerdo, 100% seguro no hay nada. Pero hombre, estamos de acuerdo que el software hoy en día es lo suficientemente importante como para tomarse más en serio algunos fallos. Si seguimos así vamos camino de un gran colapso de nuestros sistemas críticos, y no será por sustos que nos hemos llevado.
Quiero decir con esto que sin quererlo, el investigador que descubre y publica sin dar tiempo a arreglar puede estar indirectamente creando situaciones peligrosas.
Con eso estoy de acuerdo y por eso digo que es algo complejo de medir.
Pero después de tantos años de desarrollo de software no me trago que no lo puedan hacer mejor. Cuando hay dinero o mucho prestigio de por medio sí que lo hacen bien. Centrales energéticas tienen muy pocos fallos conocidos, aviones, las bolsas... ahí sí funciona el software.
Pero del resto, las empresas van en una huida hacia delante sin cabeza. Van cuesta abajo a velocidad supersónica a ver quién es la que ofrece la última feature chachipilungui. Que echen un poco el freno. Es perfectamente posible porque han habido años en que Microsoft sí lo ha hecho mejor y se han puesto a mejorar sus montañas de software.
*En el caso de las centrales nucleares lo tienen bien montado. Pocas centrales verás con un correo exchange hacia el exterior, y si lo tiene será alguna oficina sin conexión a los sistemas críticos.
#5 Sabes que se escudan en que hackers hay un huevo.