¿Prestigio… o problemas?

mina_de_mirnaVaya por delante que cualquier parecido de lo que les voy a contar con la realidad es pura coincidencia. Vamos, que se trata de una situación hipotética, que no se trata de un caso “tengo un amigo que”. Vamos con ello.

Imagine que usted descubre un día, por casualidad o mientras investigaba, un gran problema de seguridad en el software o hardware de uno de los grandes. Cuando digo grande, me refiero grande en ambos sentidos; uno de esos que hacen desplomarse las cotizaciones en bolsa del afectado: Microsoft, Sony, Dell, Google, Hewlett Packard, Oracle, Intel, etc. Vamos, un problema de los gordos para una compañía de las gordas.

Podemos asumir que el primer paso que muchos darían, excepto aquellos interesados por aprovechar el problema de seguridad in the wild —a los que vamos a dejar de lado en este hilo de suposiciones— sería ponerse en contacto con la compañía para comunicarle el hallazgo. Sin embargo, aunque es razonable esperar una respuesta positiva por parte de ésta, no podemos descartar que descubrir algo que puede suponerle una terrible migraña al fabricante ponga en acción a su equipo de abogados, y éste te llame a ti, amenazándote con una demanda y una posible indemnización millonaria por daños y perjuicios a la marca si el tema se hace público. Que tengan o no razón nos da lo mismo; meterse en algo así es un problema ganes o pierdas.

Así que, previniendo eso, la comunicación con el proveedor se hace de manera segura, y tomando todas las precauciones razonables para que éste no pueda averiguar la procedencia del mensaje, le hacemos llegar a la empresa en cuestión el problema. Pasan los días, pero nada pasa. No hay anuncios oficiales, no hay ningún tipo de parche de seguridad; como si nada hubiese pasado, un mes, dos meses, tres meses, y nada, absolutamente nada. Vacío.

Llegado este punto, usted ha hecho todo lo que es razonable, y dado que está totalmente en contra de que la seguridad pueda alcanzarse a través de la oscuridad (Security thru obscurity), se plantea hacer público su hallazgo. No hay nada peor que un problema de seguridad que el fabricante no ve la necesidad de parchear, porque no es público. Al final siempre habrá gente que lo conozca, dispuesta a aprovecharlo. Siempre.

Claro que aquí volvemos al problema del inicio: exponerse a una demanda millonaria, aparte de vayaustedasaber qué técnicas de desprestigio personal que pueden afectar seriamente a su vida profesional (entre otras cosas). La primera opción sería recurrir al anonimato; colgar la vulnerabilidad en cualquier foro, dando los detalles de la vulnerabilidad y la respuesta de la empresa, y poner todas las medidas posibles para ser virtualmente ilocalizable. Claro que eso tiene dos pegas: la primera, que renuncia usted a cualquier tipo de prestigio o reconocimiento por el descubrimiento, y la segunda, que siempre quedan huellas y por tanto la posibilidad de que den con usted.

Es obvio que se trata de una hipótesis, y que la empresa no tiene porqué comportarse de esa manera, pero eso es algo a lo que no vale la pena arriesgarse. A la vista de todo lo anterior, ¿renunciaría usted a la publicación de la vulnerabilidad, dejando que unas semanas, meses o años más tarde fuese otro quien se llevase los laureles… y los problemas? ¿Dejaría un problema de esta magnitud tapado?

¿Qué haría usted?

(La fotografía es del mayor agujero del mundo, una mina de diamantes en Mirna, en Siberia [Google maps])

(Hemos visto que la práctica totalidad de las cuentas de Hotmail suscritas al blog por e-mail no han sido verificadas. Si es su caso, por favor revise la carpeta de correo basura y verifique la suscripción. Pasen un buen fin de semana.)

Comments

  1. http://xavitxu says

    Yo, tal y como esta el asunto, no haria nada. Si pretenden eso por mi perfecto. Me callo. Ni lo publico pero lo se. Quiza pueda ponerle remedio sin contar con ellos. Ya se apañaran si se enteran los malos y lo siento por el resto.

    Un saludo.

  2. ¿como una deficiencia del fabricante puede llegar a ser un problema para el descubridor? ¿que pueden hacer contra el descubridor? no lo veo.

    Por otra parte, consideremos la posibilidad de sacarle beneficio al tema:
    – Anunciar al fabricante que se ha encontrado una importante falla de seguridad y ofrecer la información conseguida, previa remuneración.
    – Negada la anterior posibilidad, diseñar un middleware que solvente la falla de seguridad, y ponerlo en venta.
    Pero todo ello clarito clarito, de tal forma que el fabricante en ningun momento te pueda imputar actuación de mala fe o delictiva.
    Pero la posibilidad mas remuneradora es poner a la venta un pack que permita explotar la vulnerabilidad, pues nadie paga mas que las mafias de la informática.
    Porque el uso de pateras para el tráfico humano es delictivo, pero la fabricación de pateras no. De hecho, hay gente que se ha forrado fabricando pateras.

  3. Pedro, con un bufete de abogados por medio, una gran empresa puede hacer un montón de cosas, con o sin razón, y todas ellas pueden darle a cualquiera más de un dolor de cabeza, empezando por denunciarte por ingeniería inversa y violación de patentes, entre otras muchas cosas.