La odisea de (intentar) hacer las cosas bien…

Hace unos días, Antonio Sanz comentaba en su post “He descubierto una vulnerabilidad: ¿Y ahora qué?” las distintas opciones que existen cuando se encuentra una vulnerabilidad de seguridad.

En este post, pretendo contar mi experiencia acerca de un responsible-disclosure que llevo coordinando desde octubre de 2013. Para situar al lector en contexto, decir que en dicho mes encontré un par de fallos de seguridad en un dispositivo HMI (Human-Machine-Interface) perteneciente a un sistema de control industrial. Explotando las dos vulnerabilidades de manera simultánea, la situación se puede volver algo “peliaguda” para el operador del sistema, lo que no es ningún tipo de consuelo si tenemos en cuenta la finalidad de los sistemas que son vulnerables.

Nada más encontrar la vulnerabilidad, realicé una pequeña búsqueda de buzones de contacto de la empresa, para ponerme a hablar directamente con ellos y agilizar el trámite. A día de hoy, todavía espero respuesta.

La segunda opción fue contactar con el ICS-CERT, la organización encargada de lidiar con este tipo de problemas en cuanto a sistemas industriales se refiere. Amablemente, al día siguiente nos comunicaron que se iban a poner en contacto con el fabricante para poder solucionar el problema.

Sin embargo, no es oro todo lo que reluce, y tras varios intentos infructuosos de contactar con el fabricante, ICS-CERT decidió gestionar el incidente con otro CERT, ya que sería más fácil para este último ponerse en contacto con la empresa en cuestión. Tras verificar qué versiones del dispositivo son vulnerables, miramos el reloj y nos damos cuenta de que ya estamos en Navidades, con lo que entre vacaciones y fiestas, retomamos las conversaciones un 8 de enero de 2014, cuando nos dicen que van a preguntar al otro CERT para ver el estado de la vulnerabilidad.

La siguiente noticia que tenemos es un 13 de febrero, cuando nos confirman que el fabricante ha verificado la existencia de la vulnerabilidad y nos comunican que van a investigar si ésta afecta a más equipos, mientras trabajan para solucionarla; contactamos con otro CERT, gubernamental, para ver si a ellos les hacen más caso, pero parece que no… Nosotros, por nuestra parte seguimos insistiendo para conocer el estado del incidente, hasta que un 29 de abril nos confirman que el estado sigue siendo el mismo que en febrero.

Más tarde, en mayo nos informan de que el fabricante ha hecho públicas las vulnerabilidades, y que ICS-CERT va a crear un advisory (toma ya, nosotros callados y estos van y…). Ya en junio, el mismo ICS-CERT nos comunica que las vulnerabilidades sólo afectan a los productos vendidos internacionalmente (si yo fuera desconfiado, sospecharía…), y que el fabricante no notificará a sus clientes nacionales, pero sí a los extranjeros; la fecha estimada para ello es mitad de junio o principios de julio (por suerte para ellos, en el correo no dicen si será este julio, o el de dentro de diez años, cuando el producto ya esté obsoleto, y por tanto, nadie lo tenga).

En resumen, llevamos desde octubre de 2013 y hemos llegado a julio de 2014 y la vulnerabilidad es conocida desde hace nueve meses por parte del fabricante. Sin embargo, el cliente final, quien es realmente vulnerable, no lo sabe. Por estos motivos, hemos decidido hacer pública la vulnerabilidad en los próximos días. Seguid conectados. Para animar la espera, podéis comentar vuestras experiencias al reportar vulnerabilidades en los comentarios de esta entrada.

PD Nada que reprochar ni al ICS-CERT ni a ningún otro de los CERT que han intentado, junto a nosotros, hacer las cosas bien… creemos que el principal, y único, problema, lo ha aportado el fabricante…

Comments

  1. Muy buenas tardes a todos,

    Me temo que la historia que cuentas es la tónica habitual (no es la primera vez que la oigo, ni creo que sea la última).

    Las opciones al final son bastante limitadas: o te lías la manta a la cabeza con el full disclosure (sabiendo que les has dado tiempo más que de sobras), y te arriesgas a posibles acciones legales … o te esperas.

    Me salta la curiosidad legal (aviso obvio: IANAL, I Am Not A Lawyer) de lo que sucedería si una empresa supiera de la existencia de una vulnerabilidad en su software, y por motivos empresariales decidiera retrasar su corrección más allá de lo que se podría definir como debida diligencia.

    Si otra entidad fuera afectada por ese fallo y sufriera un daño … ¿podría demandar a la empresa con garantías de éxito?. Es más (sabiendo lo trolls que son los abogados en EE.UU.) ¿podría dicha entidad demandar aunque no hubiera sido afectada por «haberles puesto en riesgo de forma innecesaria»?.

    En mi opinión, toda vulnerabilidad que es conocida y parcheada hace más seguro Internet para todos. Yo abogo por el responsible disclosure, pero es necesario crear un procedimiento que demande garantías para todas las partes (investigadores, CERTs, empresas y público), y que obligue a cada uno a hacer su trabajo.

    Un saludo,

    Antonio

  2. Pues me parece lamentable que se tome con tanta desgana un tema así. Algún día la jugada les saldrá mal y, en lugar de un CERT, será un grupo de hackers quienes se encarguen de «publicar» la vulnerabilidad.

  3. Como siempre esto lo que hace es que la gente terminen vendiendo su trabajo pues en muchos casos no recibe ni el merito, ni dinero, solo problemas, es mi experiencia y la de muchos por lo que veo también, como siempre hay casos buenos pero aquí en España es peor todavía.

    Tendría que haber un organismo que obligase a esas empresas sobre todo si son de un software que use mucha gente, a corregir esas vulnerabilidades, pues resulta que los que estamos en peligro somos los usuarios y encima sin saberlo.

    Ademas tal como están las cosas y los problemas que hay seguro que la gente esta vendiéndolas, ganando dinero en tiempos de crisis y sobre todo evitando problemas y quebraderos de cabeza legales.

    Como siempre lo ponen fácil para que ganen los de siempre, las Grandes empresas y gobiernos que son los que pueden pagar esas sumas por los exploits, y tener ellos el acceso, por eso no les interesa que se corrijan.