El gobierno de los Estados Unidos requerirá que cada agencia civil cree una política pública para la divulgación de vulnerabilidad de program, así como una estrategia para manejar cualquier debilidad potencial de seguridad reportada por los investigadores.
En la declaración publicada en línea, la Agencia de Seguridad de la Ciberseguridad e Infraestructura (CISA) del Departamento de Seguridad Nacional de EE. UU. Expresó su preocupación de que la falta de políticas de divulgación de la mayoría de las agencias civiles genere confusión, falta de fe en que los problemas se solucionen y el temor Posible acción lawful. El requisito de una política de divulgación de vulnerabilidad (VDP) significará que cada informador de vulnerabilidades sabrá qué esperar cuando encuentre e informe una falla de program.
«Un VDP permite a las personas que han 'visto algo' 'decir algo' a quienes pueden arreglarlo», CISA dijo en su anuncio. «Deja en claro que una agencia da la bienvenida y autoriza la investigación de seguridad de buena fe en sistemas específicos con acceso a Internet».
La medida es la más reciente del gobierno de los Estados Unidos para trabajar con investigadores de seguridad y piratas informáticos para encontrar y tapar las debilidades en sus sistemas conectados a Online. En 2016, por ejemplo, el Departamento de Defensa de EE. UU. Anunció su política de divulgación digital y lanzó el desafío Hack the Pentagon, la primera recompensa por errores del gobierno federal. Desde entonces, cada rama del ejército ha tenido un desafío de recompensa por errores.
Sin una política de divulgación de vulnerabilidad, los investigadores de buena fe no presentarán información sobre una debilidad de seguridad fuera de dichos programas, dice Chris Wysopal, director de tecnología del proveedor de seguridad de software program Veracode.
«(No tener) VDP es definitivamente un efecto escalofriante de recibir buena información de investigadores cooperativos», dice Wysopal. «No saben si una organización será amigable con los investigadores que contactan con información de vulnerabilidad».
Cambio de juego
El esfuerzo es un cambio significativo en la forma en que las agencias gubernamentales tratan los informes de vulnerabilidad. Ni siquiera hace una década, los federales presentaron cargos contra muchos reporteros de vulnerabilidad. En 2005, por ejemplo, los fiscales federales acusaron al especialista en tecnología de la información Eric McCarty de piratería informática después de que utilizó una vulnerabilidad de aplicación website para acceder a un puñado de registros en el sitio world wide web de la Universidad de California. McCarty informó el problema a la prensa.
La industria privada también se ha dirigido a investigadores. En 2017, una empresa de marketing and advertising por correo electrónico realizó una investigación de seguridad Chris Vickery, ahora en Upguard, por descubrir que la compañía había dejado 1.4 mil millones de cuentas de correo electrónico en un servidor en la nube de acceso público, registros que señalaban a la compañía como una operación significativa de spam.
En typical, las agencias federales no tienen una forma official de permitir que los investigadores de seguridad u otros terceros les envíen información sobre vulnerabilidades. Y si un investigador o grupo externo presentó un problema, no hay un proceso para manejar ese informe y actuar en consecuencia, el CISA declaró en el borrador del documento, Directiva operativa vinculante 20-01, Desarrollar y publicar una política de divulgación de vulnerabilidad.
«Estas circunstancias crean un ambiente que retrasa o desalienta al público a informar posibles problemas de seguridad de la información al gobierno, lo que puede evitar que estos problemas sean descubiertos y reparados antes de que sean explotados o divulgados públicamente», dijo la agencia.
La Directiva operativa vinculante requiere que las agencias civiles creen un contacto de seguridad con 15 días y publiquen una política de divulgación de vulnerabilidad dentro de los 6 meses. El BOD también exige que las agencias recopilen datos sobre vulnerabilidades reportadas y la rapidez con la que se corrigen. El DHS está solicitando comentarios sobre la regla propuesta hasta el 27 de diciembre.
«Si está estructurado adecuadamente, los VDP pueden proporcionar un canal seguro para divulgaciones que no informan prematuramente a los adversarios de fallas en sitios web o aplicaciones», dice Brian Fox, director de tecnología y cofundador de la firma de administración de software program Sonatype. «El programa VDP necesitaría una documentación clara sobre lo que está permitido en lo que respecta a encontrar y explotar una vulnerabilidad. Junto con un protocolo de comunicación sólido, los investigadores y los equipos del programa VDP pueden trabajar de manera segura a través de esfuerzos de remediación sin implicaciones políticas o de seguridad nacional».
Si bien la regla propuesta es un buen primer paso, no espere ver un aumento en los intentos de encontrar vulnerabilidades en los sitios de producción, dice Wysopal de Veracode.
«No creo que los investigadores prueben sitios gubernamentales sin un VDP explícito», dice. «Se percibe el riesgo de que el gobierno sea más reasonable a tener problemas de seguridad expuestos que las corporaciones».
Un comentario público puede ser enviado a través de GitHub.
contenido relacionado
Revisa El borde, La nueva sección de Darkish Looking through para características, datos de amenazas y perspectivas en profundidad. La historia principal de hoy: «Una causa que le interesa necesita su ayuda de ciberseguridad«.
Periodista de tecnología veterano de más de 20 años. Ex ingeniero de investigación. Escrito para más de dos docenas de publicaciones, incluidas CNET Information.com, Dark Looking through, MIT's Technological innovation Evaluate, Well-known Science y Wired News. Cinco premios para el periodismo, incluyendo Mejor fecha límite … Ver biografía completa
Más ideas
