MERCADO DE LAS VULNERABILIDADES. ¿NEGOCIO O MEJORAN LA SEGURIDAD?

MERCADO DE LAS VULNERABILIDADES. ¿NEGOCIO O MEJORAN LA SEGURIDAD?

Por una parte, que las vulnerabilidades sean conocidas redunda en la mejora de la seguridad de software, puesto que son corregidas con presteza, por los proveedores de software.  Pero debido al coste que conlleva la detección y corrección de las mismas, esto solo es abordable por grandes firmas de software. Una  alternativa es la que ha puesto en marcha la empresa de seguridad TippingPoint, filial de HP atravé de la iniciativa Zero Day initiative. “La cual se centra en la adquisición de vulnerabilidades 0day a investigadores  en múltiples productos de software, ofreciéndoles una gratificación en función de la gravedad de la vulnerabilidad y del producto que se trate.”[1]

TippingPoint persigue con esta iniciativa, incorporar los conocimientos y datos derivados de esta vulnerabilidades para incorporarlos en sus productos de seguridad perimetral, ofreciendo un software mucho más seguro a sus clientes.

Iniciativas de este tipo, como los bug bounties, son llevadas a cabo por muchas empresas dedicas a la tecnología, como  Appel, Adobe,Google, Microsoft, Cisco y un largo etc. tiene sus propios programas de recompensas para investigadores de seguridad externos.

El problema y las dudas que plantean este tipo de iniciativas, es la venta de vulnerabilidades en el mercado negro, que afectan por igual a las corporaciones como a la industria, pero esta última sufriría mayor impacto debido a la alta dependencia de los sistemas. Los entornos industriales son bastantes reticente a divulgar vulnerabilidades como a la liberación del sus códigos y a la realización de pruebas de sus equipos e impiden en la medida de lo posible la divulgación de sus fallos.[2]

Si los fabricantes de sistemas de control industrial adoptasen las iniciativas de las empresas de software sus dispositivos y sistemas serían más seguros.

Otro temor a estas iniciativas, es que los ciberdelicuentes, pueden seguir y supervisar el desarrollo de los hackers e investigadores que publican sus descubrimientos y trabajos en foros y sitios webs y aún teniendo  buenas intenciones, su trabajo puede ser mal utilizado y sin darse cuenta pueden estar ayudando a diversos grupos a crear nuevas amenazas.

Por otra parte el número de vulnerabilidades decrece a medida que estas son de dominio público y de acceso libre. Como vemos podemos encontrar razones de peso en uno y otro sentido respecto a la divulgación o no de las vulnerabilidades. Pero parece claro que cuando el software es utilizado masivamente por la población, como los SO más extendidos, navegadores y aplicaciones de uso generalizado, las iniciativas tipo Zero Day initiative o programas de recompensas redundan un software más seguro  y los fabricante de software puede parchear y corregir más rápidamente las fallas de sus productos, permitiéndole a su vez lanzar productos en un menor tiempo, pero externalizando la seguridad de su software ‘inseguro’ a terceros. Esta misma política carece de sentido por los costes que conlleva, cuando el software no es utilizado por el número suficiente de usuarios. Como por ejemplo los sistemas de control industrial, en estos casos, estaría justificada la postura de divulgar exclusivamente las vulnerabilidades que de una u otra forma acabarán descubriéndose, mientras que el resto no se divulgan y se corrigen en las sucesivas versiones del software.

...