Fecha de publicación: 12/13/07
Hora de publicación: 1:01 PM
Categoría: Comunidad online | Colaboradores externos
Comentarios: RSS 2.0
Por Fausto Cepeda
“¡Pásele, pásele, pásele! Lleve su vulnerabilidad güerito, es una oferta, es una promoción”. Sólo agréguenle un tono de “vagonero” del metro. Un poco de humor antes de comentarles de la venta (que no se lleva a cabo en el metro todavía) de debilidades en un sitio de Internet.
¿Es justo que si yo descubro una debilidad en un software, me paguen por eso? ¿El tiempo que alguien invierte en descubrir una vulnerabilidad debe ser pagado con un “gracias” y una nota de reconocimiento en el sitio del fabricante? ¿Tanto tiempo para eso? Obviamente si es un criminal y no un investigador el que descubre la debilidad, la explotará seguramente para sacarle algún provecho económico y ahí estará su recompensa al tiempo invertido.
El sitio de Internet Wabisabilabi (parece traba-lenguas) tiene una especie de e-Bay de debilidades, donde el que descubre una debilidad la puede subastar en línea al mejor postor. Según el sitio Wabisabilabi dice que sólo se las vende a gente “respetable”.
En fin, por un lado tenemos al investigador o desarrollador que descubre una debilidad y que éticamente se la manda el fabricante, no esperando ninguna remuneración económica. Por otro lado tenemos al mismo investigador que decide venderla y que se le pague por su tiempo invertido. ¿Qué debemos hacer? Aquí es cuestión de ética y habrá numerosas opiniones sobre lo que es correcto hacer: enviar la debilidad sin esperar nada a cambio o venderla. He ahí la cuestión.
Por cierto, me intriga saber quiénes son los “respetables” que compran las debilidades, el sitio en cuestión dice que son “investigadores de seguridad” quienes las compran. Puede ser, pero en primera: cómo le hacen para verificar la “respetabilidad” del comprador? Y en segunda: cuántos investigadores de seguridad pagan cuatro mil dólares por una debilidad (eso es más o menos lo que cuestan)? Sobre todo pensando que para cuestiones de investigación o pruebas se pueden encontrar varias en la red de forma gratuita, cierto?
Así es que yo más bien pongo en duda la ética de este sitio porque creo que la mayoría de estos compradores son realmente criminales o gente con malas intenciones.
La noticia en: http://www.pcworld.com/businesscenter/article/140471/security_vulnerabilities_for_sale_to_the_highest_bidder.html
Fausto Cepeda es ingeniero en Sistemas Computacionales por el ITESM, CCM. Es Maestro de Seguridad de la Información por la Universidad de Londres en el Reino Unido. Ha sido Consultor de Seguridad y actualmente es Analista de Sistemas en la Oficina de Seguridad Informática del Banco de México. También cuenta con la certificación de seguridad CISSP (Certified Information Systems Security Professional).
December 16th, 2007 at 7:48 pm
Lamentablemente de nada sirve comentarle al dueño de una página los errores que tiene, ¿¿Para que te “regalen” un correo casi SPAM diciéndote -Gracias Fallín, nos ahorraste 423 mil dólares en posibles pérdidas, muy amable…?? Ahora bien, la navidad está cerca, y a nadie le cae mal un aguinaldo de más de 40 mil varos. Hay hackers de sobra en este cybermundo, sinceramente el que esté enterado de esta página, conozca vulnerabilidades y en vez de subastarlas prefiera decirle al dueño del dominio de Bimbo o de Wal-Mart que su página puede sufrir pérdidas de datos fácilmente, más que persona ética sería un idiota, por no decirlo más feo. La única duda que tengo es: Wabisabilabi es una página legal?? y de qué país es??
December 17th, 2007 at 11:49 pm
Hola Christian. La página está basada en Suiza y los dueños dicen que es legal porque sólo le venden vulnerabilidades a personas “respetables” y así al parecer evitan acusaciones de que es ilegal; resta por ver cómo le hacen para ver que el comprador es un “investigador de seguridad respetable”. En fin. Saludos.
December 20th, 2007 at 9:02 am
Ok, es un caso interesante, de seguro dará mucho más de qué hablar…