88 - Informar vulnerabilidades como parte de la responsabilidad social - 30/08/2008


Autor: Lic. Cristian F. Borghello

http://www.segu-info.com.ar

La irresponsabilidad, negligencia, desidia, falta de educación y los objetivos comerciales exagerados son los principales motivos por los cuales empresas, desarrolladores, administradores y usuarios se ven perjudicados al cometer errores comunes.

Esta semana diversos usuarios nos informaron de un problema en el manejo de los datos privados en la empresa de telefonía celular Claro [1].

El error se debía [2] al diseño y a la programación del sitio web que permite a los usuarios su registro para solicitar el iPhone (en este momento en mantenimiento) [3]. Es decir que no se trataba de una vulnerabilidad sino de errores de diseño (principalmente) y programación que permitía a cualquier persona acceder a datos privados de otra.

Aunque pueda parecer extraño que una compañía de estas características presente un error tan grave, esta situación es normal cuando existen prisas comerciales y de marketing que obligan al departamento de desarrollo (¿y de seguridad?) a publicar aplicaciones sin las medidas de seguridad adecuadas, incluso cuando ellas violan la leyes de Protección de Datos Personales [4].

Luego de intentar comunicarnos por correo utilizando las direcciones comunes de contacto para estas situaciones (webmaster, admin, suporte, abuse, etc.), enviamos un correo a la persona responsable de Relaciones Públicas, encargada de lanzar al mercado la nota de prensa informando sobre el lanzamiento de iPhone en Argentina [5].

Segu-Info no ha recibido hasta el momento (30-08-2008 13:00 hs) ninguna respuesta a los correos enviados. Al no recibir respuesta, establecimos contacto con una persona del departamento de desarrollo de la empresa, quien prefiere mantenerse en el anonimato.

Esta comunicación permitió que la página original sea colocada en mantenimiento mostrando el mensaje "Momentaneamente interrumpido..." [3]. Es importante remarcar que esta comunicación fue en un solo sentido ya que nunca se recibió respuesta oficial desde la empresa.

Este caso demuestra irresponsabilidad de una empresa multinacional para manejar datos privados, aún cuando ellos están protegidos por la legislación. También demuestra el poder del marketing y de la necesidad de comercializar productos a cualquier costo, en un mercado globalizado donde "llegar primero" es la frase de cabecera.

Ahora bien, más allá de este caso quiero detenerme en la responsabilidad social de cada usuario al momento de encontrar estos casos (muy comunes por otro lado).

Las vulnerabilidades y errores en sitios web son normales y la mayoría de ellos no son difíciles de hallar, incluso sin quererlo y haciendo algo tan sencillo como colocar caracteres inválidos en un campo de búsqueda.

La ética y la responsabilidad del usuario indicaría que estos casos deberían ser informados a la brevedad y con los detalles suficientes para que el responsable de la aplicación solucione el problema y minimice el impacto en su sitio y a sus usuarios.

Suponiendo que la desidia (y las experiencias negativas anteriores) no venzan y se decida reportar el caso, al intentar hacerlo se encuentran ciertos problemas, a saber:

  1. Imposibilidad de encontrar un canal de comunicación y de contactar al responsable, como sucedió en el caso de Claro.
  2. Se comunica el problema pero no se recibe respuesta. Esta es la situación más común y es probable que el caso luego se conozca cuando alguien decida aprovechar en su favor el error que se pretendía informar.
  3. Se comunica el problema pero la ignorancia y la prepotencia de la persona que recibe la comunicación es tal que "mata al mensajero", ignorando los errores informados. Esto me sucedió esta semana cuando intenté informar un error de permisos en un sitio web que es utilizado para alojar malware que está infectado a miles de usuarios a través de correos de Angelina Jolie [6].
  4. Se recibe la información y se realiza una denuncia contra el informante, debido a que se cree que hubo mala intención al intentar denunciar el caso. La respuesta normal en este caso es: "¿y tú, como encontraste eso?, seguro que sos un hacker".
  5. Se recibe la denuncia y se "soluciona" el problema de una forma chapucera para sacarse el tema de encima, lo que demuestra el poco interés por las soluciones reales.
  6. Se recibe la denuncia, se responde a la misma amablemente, se solicitan detalles y se soluciona el problema. Lamentablemente este es el caso menos usual. Los sitios que responden suelen ser aquellos en los cuales su imagen corporativa depende de la web [7].

Como podemos ver la mayoría de las experiencias suelen ser negativas y pueden, incluso, perjudicar al informante o al desarrollador del sitio de alguna manera. Ante esta perspectiva puede entenderse porqué tan pocas personas reportan errores y vulnerabilidades en sitios web.No se considera en estos casos a las personas malintencionadas que encuentran una vulnerabilidad y la aprovechan para beneficio propio.

Para finalizar, una pequeña guía para reportar errores y vulnerabilidades:

  1. Encontrar un medio de comunicación con el sitio/aplicación y su responsable.
  2. Identificarse, con esto se puede dar idea de la seriedad y buenas intenciones que se persiguen. El anonimato (si bien a veces es deseable) suele poner nervioso a la mayoría.
  3. Explicar brevemente el problema y las consecuencias del mismo, sin dar demasiados detalles debido a que no se conoce con quien se está tratando o quien puede estar escuchando o leyendo.
  4. Esperar respuesta. Si la misma no llega ya se conoce la (i)responsabilidad del sitio. Si se desea se podría reintentar por otros canales de comunicación.
  5. Si se recibe respuesta amable solicitando más detalles, tratar de identificar de quien se trata y si esto es suficiente para dar detalles sobre el fallo.
  6. Explicar con detalles el caso y si se conoce la solución recomendarla humildemente. Si todo sale bien, habrás logrado un nuevo amigo.
  7. Evitar hacer públicos los detalles del fallo y sus formas de explotación, ya que otras personas malintencionadas podrían aprovecharse del mismo. Por ejemplo, en el caso de Claro, se publicaron detalles en el Foro de Segu-Info y los mismos fueron eliminados.
  8. Si se espera ser rico o famoso con algo de todo esto, el error debería ser del tamaño del hallado por Kaminsky en DNS o Courtney Love en el protocolo BGP [8].

Irónicamente, la responsabilidad social es algo que no abunda en la era en donde las redes sociales se han convertido en el juguete preferido de millones de internautas.

Quizás analizando los casos en donde la irresponsabilidad de una organización puede afectar nuestra vida, nos demos cuenta que nosotros también podemos ayudar a resolver parte del problema.

[1] CLARO: Divulgación de datos personales
http://www.segu-info.com.ar/foro/?q=claro

[2] Claro, regala tus datos personales
http://seguinfo.blogspot.com/2008/08/claro-regala-tus-datos-personales.html

[3] Reserva el iPhone en Claro
http://www.claro.com.ar/iphonereservas/

[4] CLARO: Divulgación de datos personales
http://www.segu-info.com.ar/legislacion

[5] Claro trae el nuevo IPHONE 3G a Argentina
http://www.claro.com.ar/instituc/noticias/claro_trae_iphone.html

[6] Video de Angelina Jolie desnuda
http://blogs.eset-la.com/2008/07/30/angelina-jolie-invade-correo/

[7] Respuesta de sitios web
http://blogs.eset-la.com/laboratorio/2008/08/01/perfiles-falsos-hi5-utilizados-para-publicidad/
http://blogs.eset-la.com/laboratorio/2008/05/06/sitios-conocidos-promocionar-viagra/
http://blogs.eset-la.com/laboratorio/2008/03/14/respuesta-unicef-eset/

[8] Casos famosos hallados
http://seguinfo.blogspot.com/2008/08/habl-kaminsky-en-black-hat.html
http://seguinfo.blogspot.com/2008/08/vulnerabilidad-en-bgp-otra-vez-la-misma.html
http://seguinfo.blogspot.com/2008/08/revelado-otro-mayor-agujero-de.html

Buenos Aires, 30 de agosto de 2008

Con más de 24 años de experiencia compartiendo la mejor información de Seguridad

Contacto