• Tweet

Existe un mito sobre los especialistas de seguridad: la mayoría de los proveedores no serán capaces de reparar vulnerabilidades lo suficientemente rápido como se requiere, debido a esto, se han utilizado amenazas de acceso público con la finalidad de forzarlos a actuar.

La realidad es que la mayoría de los proveedores están tratando de ser mejores en el manejo de vulnerabilidades. La mayoría de los especialista de seguridad no necesitan de amenazas para realizar su trabajo, así pues, la problemática nace con los especialisats de seguridad.

En tal caso, se agradece a los investigadores quienes son motivados por el interés público, mismos que en la mayoría de veces no se les reconoce su labor.

También se reconoce que la comunidad de proveedores necesitan aumentar la calidad de su software comercial de tal manera que disminuyan las vulnerabilidades.

A continuación se listan algunos puntos que son parte de este mito, en estos puntos se describe cómo es que los investigadores interactúan con los creadores del software.

1.- Ser capaz de solucionar el problema en dos días. Muchos especialistas de seguridad consideran que pueden hacer que los proveedores trabajen rápido amenazándolos de publicar el problema. En realidad, cuando un especialista de seguridad reporta una vulnerabilidad, esta puede ser reparada con tan sólo cambiar dos líneas de código, reparar el problema llevaría 20 minutos. Sin embargo, pasan semanas para que el usuario final tenga la solución. Reparar el problema puede requerir que el proveedor analice si la vulnerabilidad pertenece a una versión o plataforma en particular, si afecta o no a todas las versiones; o verificar si el código fuente presenta un problema similar. El proveedor tiene la obligación de proporcionar soporte para reparar dichas vulnerabilidades tanto para diversas versiones como para todas las plataformas.

Como ejemplo, Oracle ha tenido 78 actualizaciones para una simple vulnerabilidad, mismo que ha tomado mas de 5 días.

2..- Entre más me de a conocer, más trabajo obtendré. Muchos especialistas de seguridad piensan que entre más vulnerabilidades descubran y las hagan públicas, más emplearan a los proveedores como consultores. En realidad, la mayoría de los especialistas de seguridad son los últimos a los que se les escucha debido a que la discreción es parte importante para ellos.

A menudo, son mejores especialistas de seguridad aquellos que acostumbran llamar a la prensa para avisar de su nueva vulnerabilidad, que aquellos que tienen como lema: ¨soy lo que soy por lo que hice.¨ Los especialistas de seguridad prudentes son aquellos empleados que recomendamos a nuestros clientes.

3.- Debo conseguir crédito para las vulnerabilidades que encuentro. La mayoría de los proveedores acreditan a los especialistas de seguridad de acuerdo a las vulnerabilidades que descubren, lo anterior con la finalidad de que los especialistas continúen trabajando con dichas vulnerabilidades. Los proveedores agradecen a los especialistas publicando la frase “Gracias por trabajar con nosotros”. El mito es que los especialistas siempre buscan el reconocimiento.

La realidad es que cuando un especialistas pone en riesgo a los proveedores creando el exploit que afecta a la vulnerabilidad antes de que el mismo proveedor repare el problema, los proveedores de forma ridícula comentan al respecto, “Gracias por poner a nuestros clientes en riesgo”. No hemos tenido un cliente preguntando por detalles del exploit, por más que se desee, la información no es un punto suficiente para incrementar el riesgo.

En la mayoría de los casos, los proveedores pueden dar más crédito a los al especialista del que se merece.

La realidad es que la mayoría de los investigadores no son bien intencionados, y no todos los proveedores son indiferentes a la problemática. Lastra realidad, es que el principal propósito de todos en este juego seria proteger a los clientes que utilizan dichos productos.