{"id":17113,"date":"2019-12-06T07:20:53","date_gmt":"2019-12-06T15:20:53","guid":{"rendered":"http:\/\/www.palada.net\/index.php\/2019\/12\/06\/news-10849\/"},"modified":"2019-12-06T07:20:53","modified_gmt":"2019-12-06T15:20:53","slug":"news-10849","status":"publish","type":"post","link":"http:\/\/www.palada.net\/index.php\/2019\/12\/06\/news-10849\/","title":{"rendered":"El t\u00edo Sam abre los brazos a hackers amigables"},"content":{"rendered":"<p><img decoding=\"async\" src=\"https:\/\/sophos.files.wordpress.com\/2019\/12\/shutterstock_1400329901.png\"\/><\/p>\n<p><strong>Credit to Author: Naked Security| Date: Wed, 04 Dec 2019 09:08:59 +0000<\/strong><\/p>\n<div class=\"entry-content\">\n<p>Todos los cazadores de vulnerabilidades est\u00e1n a punto de recibir un bonito regalo de Navidad: el gobierno federal de EEUU finalmente quiere su informaci\u00f3n. Los sitios web y los departamentos de ciberseguridad poco \u00fatiles pronto ser\u00e1n cosa del pasado, gracias a un nuevo reglamento de la Agencia de Ciberseguridad e Infraestructura (CISA).<\/p>\n<p>La Agencia, que forma parte del Departamento de Seguridad Nacional, emiti\u00f3 un sorprendente tuit el 27 de noviembre anunciando que obligar\u00eda a las agencias federales a recibir y responder a los informes de errores de ciberseguridad del p\u00fablico en general:<\/p>\n<div class=\"embed-twitter\">\n<blockquote class=\"twitter-tweet\" data-width=\"550\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\">When things are easier to do, more people will do them. Reporting vulnerabilities shouldn\u2019t be hard. That\u2019s why we issued a draft directive that will require most agencies in the executive branch to publish a vulnerability disclosure policy, or VDP. <a href=\"https:\/\/t.co\/YaoeShhehO\">https:\/\/t.co\/YaoeShhehO<\/a><\/p>\n<p>&mdash; Cybersecurity and Infrastructure Security Agency (@CISAgov) <a href=\"https:\/\/twitter.com\/CISAgov\/status\/1199742025677053952?ref_src=twsrc%5Etfw\">November 27, 2019<\/a><\/p>\n<\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/div>\n<p><a href=\"https:\/\/cyber.dhs.gov\/bod\/20-01\/\">La directiva operativa vinculante 20-01<\/a> finalmente otorgar\u00eda a los &#8220;piratas inform\u00e1ticos \u00fatiles&#8221; un sentido de legitimidad al informar sobre errores a las agencias del gobierno federal en los Estados Unidos, resolviendo algunos problemas que CISA admite en el documento. Dice:<\/p>\n<p style=\"padding-left:40px;\"><em>La elecci\u00f3n de revelar una vulnerabilidad puede ser un ejercicio de frustraci\u00f3n para el informante cuando una agencia no ha definido una pol\u00edtica de divulgaci\u00f3n de vulnerabilidades, el efecto es que aquellos que ayudar\u00edan a garantizar la seguridad del p\u00fablico son rechazados.<\/em><\/p>\n<p>La directiva reconoce que los investigadores a menudo no saben c\u00f3mo informar un error cuando las agencias no incluyen un canal de divulgaci\u00f3n autorizado en forma de p\u00e1gina web o direcci\u00f3n de correo electr\u00f3nico. No deber\u00edan tener que buscar la informaci\u00f3n de contacto personal de los empleados de seguridad, se\u00f1ala.<\/p>\n<p>La comunicaci\u00f3n despu\u00e9s de un informe de error es igual de importante, dice CISA. Una respuesta inadecuada a un informe de error, o la falta total de respuesta, puede hacer que un investigador informe del error en otro lugar fuera del control de la agencia.<\/p>\n<p>Quiz\u00e1s el error m\u00e1s atroz que cometen las agencias es amenazar con acciones legales. La directiva admite que el gobierno federal tiene la reputaci\u00f3n de ser duro y defensivo en respuesta a los informes de errores. Una respuesta agresiva contra el uso no autorizado tambi\u00e9n puede ahogar un flujo \u00fatil de informes de errores, dice.<\/p>\n<p>El informe establece una distinci\u00f3n entre un programa de informe de vulnerabilidad y una iniciativa de recompensa por errores pagados. Aunque a menudo es \u00fatil, este \u00faltimo no es obligatorio, dice.<\/p>\n<p>Lo que ahora es obligatorio es un sistema para recibir informes no solicitados sobre errores de seguridad. Eso significa actualizar el registro de los dominios .gov con un contacto de seguridad para cada dominio registrado. Las agencias deben utilizar personal capacitado para gestionar esas direcciones de correo electr\u00f3nico.<\/p>\n<p>Las agencias deben realizar las actualizaciones necesarias dentro de los 15 d\u00edas posteriores a la aplicaci\u00f3n de la directiva. Luego, 180 d\u00edas despu\u00e9s de que entre en juego, deben publicar una pol\u00edtica oficial de divulgaci\u00f3n de vulnerabilidades en su sitio web que defina qu\u00e9 sistemas est\u00e1n dentro del alcance, los tipos de pruebas permitidos y una descripci\u00f3n de c\u00f3mo enviar informes de vulnerabilidad.<\/p>\n<p>El protocolo tambi\u00e9n debe informar a los investigadores cu\u00e1ndo pueden esperar una respuesta y comprometerse a hacerles saber lo que est\u00e1 sucediendo a medida que la agencia corrige el error.<\/p>\n<p>Finalmente, debe prometer no demandar a los investigadores de seguridad por informar sobre vulnerabilidades de seguridad.<\/p>\n<p>El documento obliga a las agencias a incluir todos los sistemas de accesibles desde Internet recientemente lanzados en el futuro, y todos los sistemas accesibles desde Internet existentes deben incluirse en dos a\u00f1os.<\/p>\n<p>Las agencias no pueden retener los errores de forma indefinida seg\u00fan los t\u00e9rminos de la directiva, porque sus pol\u00edticas deben permitir a los investigadores informar de los errores en otros lugares despu\u00e9s de un per\u00edodo de tiempo razonable.<\/p>\n<p>CISA tambi\u00e9n protege los informes de errores contra el uso por parte de los esp\u00edas. Proh\u00edbe expl\u00edcitamente a las agencias canalizarlos al Vulnerabilities Equities Process (VEP). Esta es una iniciativa del gobierno que decide si usar errores de seguridad para un bien p\u00fablico mayor o mantenerlos en secreto como armas potenciales contra otros.<\/p>\n<p>Aunque ampliamente bien recibida, la propuesta de directiva de CISA recibi\u00f3 una respuesta mesurada de Katie Moussouris, CEO de la compa\u00f1\u00eda de seguridad Luta Security, quien dijo que los plazos eran demasiado largos:<\/p>\n<div class=\"embed-twitter\">\n<blockquote class=\"twitter-tweet\" data-width=\"550\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\">This is the most important part of this new directive from <a href=\"https:\/\/twitter.com\/CISAgov?ref_src=twsrc%5Etfw\">@CISAgov<\/a> :<br \/>\u201cSubmissions are for defensive purposes; they don\u2019t go to the Vulnerabilities Equities Process.  \u201c<\/p>\n<p>I\u2019m not thrilled with the timelines on this though, which lead VERY heavily towards using bug bounty platforms <a href=\"https:\/\/t.co\/PtmS1WRbyq\">https:\/\/t.co\/PtmS1WRbyq<\/a><\/p>\n<p>&mdash; Katie Moussouris (@k8em0) <a href=\"https:\/\/twitter.com\/k8em0\/status\/1200069484087631872?ref_src=twsrc%5Etfw\">November 28, 2019<\/a><\/p>\n<\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/div>\n<p>Su hilo de Twitter advierte a las agencias que simplemente no recurran a un programa de recompensas de errores de terceros mientras se esfuerzan por cumplir con los requisitos de la directiva. A\u00fan as\u00ed, como ella menciona, algunas organizaciones federales los han usado en el pasado. El Pent\u00e1gono us\u00f3 los servicios de recompensas de errores de HackerOne para encontrar errores en sus sistemas.<\/p>\n<p>Aunque el gobierno puede avanzar a un ritmo glacial para implementar esta nueva iniciativa, es mejor que algunas pol\u00edticas en el sector privado, como vimos cuando los investigadores tuvieron <a href=\"https:\/\/nakedsecurity.sophos.com\/2018\/08\/13\/how-a-cryptocurrency-destroying-bug-almost-didnt-get-reported\/?cmp=701j0000001YAKPAA4\">problemas para informar de errores<\/a> a proyectos de c\u00f3digo abierto como Bitcoin Cash.<\/p>\n<\/p><\/div>\n<p><a href=\"http:\/\/feedproxy.google.com\/~r\/sophos\/dgdY\/~3\/01gkh6MjNwc\/\" target=\"bwo\" >http:\/\/feeds.feedburner.com\/sophos\/dgdY<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p><img decoding=\"async\" src=\"https:\/\/sophos.files.wordpress.com\/2019\/12\/shutterstock_1400329901.png\"\/><\/p>\n<p><strong>Credit to Author: Naked Security| Date: Wed, 04 Dec 2019 09:08:59 +0000<\/strong><\/p>\n<p>Todos los cazadores de vulnerabilidades est\u00e1n a punto de recibir un bonito regalo de Navidad: el gobierno federal de EEUU finalmente quiere su informaci\u00f3n. Los sitios web y los departamentos de ciberseguridad poco \u00fatiles pronto ser\u00e1n cosa del pasado, gracias a un nuevo reglamento de la Agencia de Ciberseguridad e Infraestructura (CISA). La Agencia, que [&amp;#8230;]&lt;img src=&#8221;http:\/\/feeds.feedburner.com\/~r\/sophos\/dgdY\/~4\/01gkh6MjNwc&#8221; height=&#8221;1&#8243; width=&#8221;1&#8243; alt=&#8221;&#8221;\/&gt;<\/p>\n","protected":false},"author":4,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"colormag_page_container_layout":"default_layout","colormag_page_sidebar_layout":"default_layout","footnotes":""},"categories":[10378,10377],"tags":[19963,20385],"class_list":["post-17113","post","type-post","status-publish","format-standard","hentry","category-security","category-sophos","tag-actualidad","tag-eeuu"],"_links":{"self":[{"href":"http:\/\/www.palada.net\/index.php\/wp-json\/wp\/v2\/posts\/17113","targetHints":{"allow":["GET"]}}],"collection":[{"href":"http:\/\/www.palada.net\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"http:\/\/www.palada.net\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"http:\/\/www.palada.net\/index.php\/wp-json\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"http:\/\/www.palada.net\/index.php\/wp-json\/wp\/v2\/comments?post=17113"}],"version-history":[{"count":0,"href":"http:\/\/www.palada.net\/index.php\/wp-json\/wp\/v2\/posts\/17113\/revisions"}],"wp:attachment":[{"href":"http:\/\/www.palada.net\/index.php\/wp-json\/wp\/v2\/media?parent=17113"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"http:\/\/www.palada.net\/index.php\/wp-json\/wp\/v2\/categories?post=17113"},{"taxonomy":"post_tag","embeddable":true,"href":"http:\/\/www.palada.net\/index.php\/wp-json\/wp\/v2\/tags?post=17113"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}