Site icon Sophos News

El tío Sam abre los brazos a hackers amigables

Todos los cazadores de vulnerabilidades están a punto de recibir un bonito regalo de Navidad: el gobierno federal de EEUU finalmente quiere su información. Los sitios web y los departamentos de ciberseguridad poco útiles pronto serán cosa del pasado, gracias a un nuevo reglamento de la Agencia de Ciberseguridad e Infraestructura (CISA).

La Agencia, que forma parte del Departamento de Seguridad Nacional, emitió un sorprendente tuit el 27 de noviembre anunciando que obligaría a las agencias federales a recibir y responder a los informes de errores de ciberseguridad del público en general:

La directiva operativa vinculante 20-01 finalmente otorgaría a los “piratas informáticos útiles” un sentido de legitimidad al informar sobre errores a las agencias del gobierno federal en los Estados Unidos, resolviendo algunos problemas que CISA admite en el documento. Dice:

La elección de revelar una vulnerabilidad puede ser un ejercicio de frustración para el informante cuando una agencia no ha definido una política de divulgación de vulnerabilidades, el efecto es que aquellos que ayudarían a garantizar la seguridad del público son rechazados.

La directiva reconoce que los investigadores a menudo no saben cómo informar un error cuando las agencias no incluyen un canal de divulgación autorizado en forma de página web o dirección de correo electrónico. No deberían tener que buscar la información de contacto personal de los empleados de seguridad, señala.

La comunicación después de un informe de error es igual de importante, dice CISA. Una respuesta inadecuada a un informe de error, o la falta total de respuesta, puede hacer que un investigador informe del error en otro lugar fuera del control de la agencia.

Quizás el error más atroz que cometen las agencias es amenazar con acciones legales. La directiva admite que el gobierno federal tiene la reputación de ser duro y defensivo en respuesta a los informes de errores. Una respuesta agresiva contra el uso no autorizado también puede ahogar un flujo útil de informes de errores, dice.

El informe establece una distinción entre un programa de informe de vulnerabilidad y una iniciativa de recompensa por errores pagados. Aunque a menudo es útil, este último no es obligatorio, dice.

Lo que ahora es obligatorio es un sistema para recibir informes no solicitados sobre errores de seguridad. Eso significa actualizar el registro de los dominios .gov con un contacto de seguridad para cada dominio registrado. Las agencias deben utilizar personal capacitado para gestionar esas direcciones de correo electrónico.

Las agencias deben realizar las actualizaciones necesarias dentro de los 15 días posteriores a la aplicación de la directiva. Luego, 180 días después de que entre en juego, deben publicar una política oficial de divulgación de vulnerabilidades en su sitio web que defina qué sistemas están dentro del alcance, los tipos de pruebas permitidos y una descripción de cómo enviar informes de vulnerabilidad.

El protocolo también debe informar a los investigadores cuándo pueden esperar una respuesta y comprometerse a hacerles saber lo que está sucediendo a medida que la agencia corrige el error.

Finalmente, debe prometer no demandar a los investigadores de seguridad por informar sobre vulnerabilidades de seguridad.

El documento obliga a las agencias a incluir todos los sistemas de accesibles desde Internet recientemente lanzados en el futuro, y todos los sistemas accesibles desde Internet existentes deben incluirse en dos años.

Las agencias no pueden retener los errores de forma indefinida según los términos de la directiva, porque sus políticas deben permitir a los investigadores informar de los errores en otros lugares después de un período de tiempo razonable.

CISA también protege los informes de errores contra el uso por parte de los espías. Prohíbe explícitamente a las agencias canalizarlos al Vulnerabilities Equities Process (VEP). Esta es una iniciativa del gobierno que decide si usar errores de seguridad para un bien público mayor o mantenerlos en secreto como armas potenciales contra otros.

Aunque ampliamente bien recibida, la propuesta de directiva de CISA recibió una respuesta mesurada de Katie Moussouris, CEO de la compañía de seguridad Luta Security, quien dijo que los plazos eran demasiado largos:

Su hilo de Twitter advierte a las agencias que simplemente no recurran a un programa de recompensas de errores de terceros mientras se esfuerzan por cumplir con los requisitos de la directiva. Aún así, como ella menciona, algunas organizaciones federales los han usado en el pasado. El Pentágono usó los servicios de recompensas de errores de HackerOne para encontrar errores en sus sistemas.

Aunque el gobierno puede avanzar a un ritmo glacial para implementar esta nueva iniciativa, es mejor que algunas políticas en el sector privado, como vimos cuando los investigadores tuvieron problemas para informar de errores a proyectos de código abierto como Bitcoin Cash.

Exit mobile version