El tio Sam abre los brazos a hackers amigables

December 4, 2019

Todos los cazadores de vulnerabilidades estan a punto de recibir un bonito regalo de Navidad: el gobierno federal de EEUU finalmente quiere su informacion. Los sitios web y los departamentos de ciberseguridad poco utiles pronto seran cosa del pasado, gracias a un nuevo reglamento de la Agencia de Ciberseguridad e Infraestructura (CISA).

La Agencia, que forma parte del Departamento de Seguridad Nacional, emitio un sorprendente tuit el 27 de noviembre anunciando que obligaria a las agencias federales a recibir y responder a los informes de errores de ciberseguridad del publico en general:

When things are easier to do, more people will do them. Reporting vulnerabilities shouldn’t be hard. That’s why we issued a draft directive that will require most agencies in the executive branch to publish a vulnerability disclosure policy, or VDP. https://t.co/YaoeShhehO

— Cybersecurity and Infrastructure Security Agency (@CISAgov) November 27, 2019

La directiva operativa vinculante 20-01 finalmente otorgaria a los “piratas informaticos utiles” un sentido de legitimidad al informar sobre errores a las agencias del gobierno federal en los Estados Unidos, resolviendo algunos problemas que CISA admite en el documento. Dice:

La eleccion de revelar una vulnerabilidad puede ser un ejercicio de frustracion para el informante cuando una agencia no ha definido una politica de divulgacion de vulnerabilidades, el efecto es que aquellos que ayudarian a garantizar la seguridad del publico son rechazados.

La directiva reconoce que los investigadores a menudo no saben como informar un error cuando las agencias no incluyen un canal de divulgacion autorizado en forma de pagina web o direccion de correo electronico. No deberian tener que buscar la informacion de contacto personal de los empleados de seguridad, senala.

La comunicacion despues de un informe de error es igual de importante, dice CISA. Una respuesta inadecuada a un informe de error, o la falta total de respuesta, puede hacer que un investigador informe del error en otro lugar fuera del control de la agencia.

Quizas el error mas atroz que cometen las agencias es amenazar con acciones legales. La directiva admite que el gobierno federal tiene la reputacion de ser duro y defensivo en respuesta a los informes de errores. Una respuesta agresiva contra el uso no autorizado tambien puede ahogar un flujo util de informes de errores, dice.

El informe establece una distincion entre un programa de informe de vulnerabilidad y una iniciativa de recompensa por errores pagados. Aunque a menudo es util, este ultimo no es obligatorio, dice.

Lo que ahora es obligatorio es un sistema para recibir informes no solicitados sobre errores de seguridad. Eso significa actualizar el registro de los dominios .gov con un contacto de seguridad para cada dominio registrado. Las agencias deben utilizar personal capacitado para gestionar esas direcciones de correo electronico.

Las agencias deben realizar las actualizaciones necesarias dentro de los 15 dias posteriores a la aplicacion de la directiva. Luego, 180 dias despues de que entre en juego, deben publicar una politica oficial de divulgacion de vulnerabilidades en su sitio web que defina que sistemas estan dentro del alcance, los tipos de pruebas permitidos y una descripcion de como enviar informes de vulnerabilidad.

El protocolo tambien debe informar a los investigadores cuando pueden esperar una respuesta y comprometerse a hacerles saber lo que esta sucediendo a medida que la agencia corrige el error.

Finalmente, debe prometer no demandar a los investigadores de seguridad por informar sobre vulnerabilidades de seguridad.

El documento obliga a las agencias a incluir todos los sistemas de accesibles desde Internet recientemente lanzados en el futuro, y todos los sistemas accesibles desde Internet existentes deben incluirse en dos anos.

Las agencias no pueden retener los errores de forma indefinida segun los terminos de la directiva, porque sus politicas deben permitir a los investigadores informar de los errores en otros lugares despues de un periodo de tiempo razonable.

CISA tambien protege los informes de errores contra el uso por parte de los espias. Prohibe explicitamente a las agencias canalizarlos al Vulnerabilities Equities Process (VEP). Esta es una iniciativa del gobierno que decide si usar errores de seguridad para un bien publico mayor o mantenerlos en secreto como armas potenciales contra otros.

Aunque ampliamente bien recibida, la propuesta de directiva de CISA recibio una respuesta mesurada de Katie Moussouris, CEO de la compania de seguridad Luta Security, quien dijo que los plazos eran demasiado largos:

This is the most important part of this new directive from @CISAgov :
“Submissions are for defensive purposes; they don’t go to the Vulnerabilities Equities Process. “

I’m not thrilled with the timelines on this though, which lead VERY heavily towards using bug bounty platforms https://t.co/PtmS1WRbyq

— Katie Moussouris (@k8em0) November 28, 2019

Su hilo de Twitter advierte a las agencias que simplemente no recurran a un programa de recompensas de errores de terceros mientras se esfuerzan por cumplir con los requisitos de la directiva. Aun asi, como ella menciona, algunas organizaciones federales los han usado en el pasado. El Pentagono uso los servicios de recompensas de errores de HackerOne para encontrar errores en sus sistemas.

Aunque el gobierno puede avanzar a un ritmo glacial para implementar esta nueva iniciativa, es mejor que algunas politicas en el sector privado, como vimos cuando los investigadores tuvieron problemas para informar de errores a proyectos de codigo abierto como Bitcoin Cash.