miércoles, agosto 30, 2017

Como reportar una vulnerabilidad en un software o una web de forma efectiva

Muchas veces al navegar una web podemos encontrar errores, estos pueden ser simplemente de ortografía, un enlace roto o algún problema de seguridad.

Sobre los primeros problemas no habría mayor inconveniente, históricamente las webs tenían su famosa dirección "webmaster@...". Pero sobre los problemas de seguridad es un agujero negro en donde cualquier cosa puede pasar.

Al hablar de seguridad nos referimos a muchas cosas. Puede ser de una vulnerabilidad o problema inofensivo hasta algo realmente grave. Y hay muchas historias no muy agradables que hacen que muchos sean reticentes a reportar o que al hacerlo realicen ciertas acciones que generen más sospechas que tranquilidad.

Si bien no hay algo claro, definido y estándar, muchos aconsejan no reportar por experiencias negativas. Otros deciden hacerlo igualmente, pero en pocas palabras, todo depende de la situación.

Se puede recibir la grata respuesta de un agradecimiento, hasta una desagradable noticia de una acusación.

En principio no se debe considerar a la persona que reporta como un enemigo, ni tampoco como alguien que busca un perjuicio. Claro está todo depende de que es lo que reporta y que acciones realizó para llegar a esas conclusiones, si esas acciones son legales o no o en que circunstancias.


Una interesante guía para el reporte de vulnerabilidades es la que se encuentra en el GitHub de la Fundación Sadosky, la misma se denomina "Procedimiento para el reporte y difusión de vulnerabilidades" y permite aclarar un poco como manejarse de forma "correcta" evitando cualquier susceptibilidad.

Vale también aclarar que esto no quita que nuestra acción delate algún problema mayor o permita ser utilizada mal intencionadamente como chivo expiatorio de otra cuestión, es por esto que ya muchas personas han dejado de reportar, y de cierta forma termina volviendo todo más inseguro.

En 2011 Chema Alonso ha publicado algo al respecto muy interesante, crear un archivo similar a robots.txt pero para avisar las intenciones del administrador del sitio.

Por último una interesante guía es "The CERT Guide to Coordinated Vulnerability Disclosure", donde se desarrolla de forma bastante técnica el proceso de reporte de vulnerabilidades.

En conclusión, es importante entender las circunstancias y poder evaluar que es lo que corresponde, no hay de momento una receta ni esta todo tan estructurado de forma tal que otorgue garantías a ambas partes. Es por esto que si bien existen algunos documentos de referencia lo importante es la decisión que tome cada uno.

No hay comentarios:

Publicar un comentario

Compartí tu comentario, es una forma de agradecer para que se sigan publicando más entradas. Se admiten mensajes anónimos.

Recibe las actualizaciones en tu correo