viernes, abril 15, 2011

¿Debe un CERT jugar a esto?

Durante la semana pasada me estuvieron poniendo en Facebook, twitter y en mi correo personal un advisory que había sacado INTECO, el CERT nacional por excelencia, dentro de la sección de Avisos de Seguridad Técnicos, y me pareció tal chorrada, que no he podido contenerme para escribir este post.

Vaya por delante que conozco a bastantes de los técnicos que allí trabajan y sé que son buenos profesionales, pero en este caso, la elección de lo que se debe publicar me parece erronea, pues juega casi a ser un blog. Y eso no es lo que debe ser un CERT, aunque pueda contar con un blog para profundizar o debatir sobre cuestiones en otro nivel de comunicación.

Un CERT, es un Centro de Emergencia y Respuesta Temprana ante incidencias, y cuando hablamos de Inteco, estamos hablando de un CERT nacional, con soporte de dinero público, que debe ocuparse de eso, de las emergencias de seguridad de España, y no de hacer publicidad a VUPEN, y me explico.

La compañía VUPEN, igual que muchas otras empresas de seguridad a lo largo del mundo, ofrece para sus clientes un servicio de exploiting, de patching, de información, sobre vulnerabilidades descubiertas por ellos, exploits realizados por ellos o workarrounds de fortificación de estos fallos. Así, empresas como ZDI, Core o Immunity desarrollan exploits sobre vulnerabilidades descubiertas por ellos, o no, que ofertan a sus suscriptores, tal y como vimos en el ejemplo de Canvas de Immunity con Apple Safari.


Figura 1: Expediente de Apple Safari con 0day y exploit disponible para sus clientes publicado por VUPEN

De hecho, el informe que publicó Inteco, en la sección de Artículos de Seguriad técnicos, no difiere prácticamente en nada con el que publicaron un mes atrás con las vulnerabilidades de Apple Safari 5.0.3, con el que VUPEN ganó el Pwn2Own, qué también eran de nivel crítico, y también habían puesto a disposición de sus clientes un exploit. Ese es su business, y lo hacen prácticamente a diarío con todo los productos.


Figura 2: Últimos expedientes publicados por VUPEN

Ahora bien, la pregunta que me viene es... ¿Por qué publicar el 0day de ie9 en RTM y no el 0day de Apple Safari en versión final o el de Google Chrome del día 12?

Sin embargo, en la sección de artículos técnicos, el CERT nacional no ha dicho nada de la operación Lizamoon, que tiene a día de hoy, más de 5.000 Urls afectadas en España.


Figura 3: más de 5.000 URLs en dominio .es afectadas

Según la web, INTECO-CERT tiene como finalidad es servir de apoyo preventivo y reactivo en materia de seguridad en tecnologías de la información y la comunicación tanto a entidades como a ciudadanos, y estas cosas sí son importantes para los ciudadanos.

Tampoco ha dicho nada de que Apple, con la actualización de iOS a la versión 4.3 ha dejado sin parches de seguridad a muchisimos ciudadanos españoles con móviles 3G (perdonad que no os de los datos, pues no los tengo, pero habría que buscar el número exacto de dispositivos que se vendieron).

También me llama la atención de que avisen de la actualización de Google Chrome, algo que por defecto es automático, y sin embargo no alerten de que las empresas deben probar antes sus aplicaciones, y que Google Chrome puede ser configurado para que la actualización sea controlada, y no cuando Google decida.

No creo que esta sección esté teniendo el rigor que una sección como esta debería tener en un CERT, ya que, lo más triste, es que VUPEN no ha publicado el expediente de seguridad aún, ni hay CVE aún, ni nada, solo un twitt y una referencia en una entrevista que, desde Inteco, ya sirve para hacer una aviso de seguridad técnico y calificarlo de "Nuevo 0day en IE9". ¿A vosotros os parece que se debe "jugar" a esto desde un CERT?

Saludos Malignos!

24 comentarios:

Anónimo dijo...

A lo mejor por que IE los usan muchos más usuarios que Safari, vete tu a saber

Chema Alonso dijo...

La cuota de ie9 en España es menor que la de Apple safi en todos los productos Apple.

Anónimo dijo...

Además, lo califican de zero day (no solo Inteco, sino en la fuente original, que ni es ténica ni es nada...).

No es un zero day. "exploit code has not been spotted in the wild. "

Por tanto, el riesgo no es "tanto".

Anónimo dijo...

Maligno: pero en ese aviso/artículo, no se hace referencia a IE9, si no a todas las versiones, por lo que la cuota estoy seguro que será bastante más superior que la de Safari/Chrome/cualquier otro.

Saludos

Chema Alonso dijo...

@anónimo, en el twit de Vupen dice claramente ie9, y es la única fuente.

Anónimo dijo...

Cierto que el Twitt indica que solo es en IE9, pero eso de que solo exista esa fuente, no se, puede que nosotros solo tengamos esa fuente y otros usuarios tengan otras fuentes.

Anónimo dijo...

Maligno: no es por llevarte la contraria ;) pero en VUPEN dicen "...However, the vulnerability is not limited to the latest version of Microsoft's browser. The security hole is also present in IE8, 7 and 6, for which Vupen has not made a working exploit.".

S2

jDSL dijo...

La liberación de información (reportes) acerca de las vulnerabilidades más que ser una labor previamente concertada no puede convertirse en una cadena comercial desde una entidad como un CERT. Me parece a titulo personal que este tipo de cosas suceden con el animo de generar expectativa o de hacer creer que se hace una excelente labor, llegando a exagerar la realidad.

Anónimo dijo...

Tengo una duda, ¿Esta gente vende esos fallos a cualquier persona? En caso afirmativo, ¿es legal?

Anónimo dijo...

Al margen de tu opinion sobre los CERTs...

Macho que no te has leido ni la entrevista entera del link que posteas!!

"The flaw affects Internet Explorer 9, 8, 7, and 6, and results from a use-after-free error within the 'mshtml.dll' library when processing a specific combination of HTML and JavaScript code." Vupen advises all IE users to disable JavaScript or use another Web browser which is not affected by the vulnerability.

Anónimo dijo...

Lo del Lizamoon. Si añades src= en la consulta a Google devuelve 143 resultados y no 5.000 :-P

src=http://lizamoon.es site:es

Chema Alonso dijo...

@anónimo, la entrevista original es en alemán, la otra es una referencia. en cualquier caso solo tienen exploit no publico para ie9. Si se publica algo de referencia, oídas, o dichas, vamos a hacer un Cert de palo.

saludos!

Chema Alonso dijo...

@juanma, y si contamos las empresas españolas que sirven sus webs por .com o .net salen miles... :)

saludos.!

lost-perdidos dijo...

Pues yo sí estoy de acuerdo.

Anónimo dijo...

A mi me parece que un CERT no debe hacer eso, independientemente de si el pufo es de Microsoft, Apple, Google o de software pepito.

Saludos.

Anónimo dijo...

Espero que te pague bien el post Spectra porque estas siendo de lo más demagogo!.

Chema Alonso dijo...

@anónimo, demagogo en sus publicaciones está siendo esa sección del Cert .

Spectra, como ya sabes, me paga cero por este post.

saludos!

Soy otro anónimo dijo...

Ingresos indirectos o directos, o pon tú aquí que yo ya te pondré allí.
Ahora, deberías decir que Spectra no te paga un duro directamente.

Bien es verdad que cada uno gana dinero como puede (siempre dentro de la legalidad claro) o quiere.

Lo que me gustaría saber es si hubieses montado este cirio en caso de que los papeles se hubiesen cambiado, es decir, si la empresa no fuese Microsoft.

Bueno, para empezar estoy seguro que casi ni te hubieras enterado y en cualquier caso sería algún tipo de post jocoso y no uno tan serio y dando caña seria como este porque, ya se sabe que cada uno arrima el ascua a su sardina.

Sinceramente creo que t'as pasao y en este caso has perdido perspectiva. No es para tanto macho.

Sin ir más lejos el otro día con el tema de la documentación del error que no debería salir hicieste un post jocoso, y te puedo decir que la documentación de MS es una puta mierda en que nunca quedan claro los casos límite. Lo del error que enseñaste ya fue lo máximo, pero ni eso sería para hacer algo como el post de hoy, sino simplemente jocoso.

Te lo has tomado a la tremenada, relájate.

Chema Alonso dijo...

@otro anónimo. Esto es un blog, que ademas se llama el lado del mal pq blogs metiendose con microsoft los tienes a puñaos. Lo que está mal es que juegue a ser un blog algo como un Cert. Creo que es fácil de entender.

Saludos!

@otro anónimo dijo...

Lo de Inteco es un error, sigo creyendo que exageras, pero es respetable la opinión.

Me sorprende el razonamiento que haces de tu blog y lo de que hay sitios a puñaos donde se meten con microsoft.

Yo pensaba el blog era para demostrar que la mayoría de las cosas que se dicen de Microsoft no tienen fundamento.

Si, el razonamiento es que, como el blog se llama "el lado del mal", podemos decir cualquier cosa sobre las bondades de Microsoft creo que tienes que aprender mucho de Apple (y eso que has escrito sobre el tema) y decir algo así como:

"Con un S.O. de Microsoft estás 100% seguro ante cualquier amenza que haya o venidera por siempre jamás"

Y lo más importante (esto ya lo sabes tú)

"Microsoft y sus S.O. son mágicos y los más COOL"

Chema Alonso dijo...

@otro anónimo. el razonamiento es, como ya publique, que hay muchos que diariamente le atizan a microsoft, como incluso se puede ver aquí y no necesitan que yo le atice más, mientras que de los demás casi no se dice nada. has leído algo de los libros huérfanos, de lo que cito en este post o de los mil fallos en los updates de Apple? no.

no te vendo Ms, hay un post que dice: usa lo que quieras.

otro anónimo dijo...

Por cierto, qué mala leche tienen estos de una al día que avisan de actualizaciones para el IE y no para FF, que también tiene de vez en cuando.

Quiero un post reinvicativo.

Chema Alonso dijo...

@Otro anónimo, Una al día es una newsletter, no un CERT, pero si quieres, ellos tienen SANA y te informan de todo...

SANA..

¿Trabajas en INTECO? Porque este comentario es malo, malo, malo...

QaSaR dijo...

Flameee flameee! vengaaaa...

Por dios, ahora todos a llorar pq no le metemos mas caña a microsoft? LeL que el tema ya huele...

Joder chema le mete caña a todo, en su blog he leido detodo sobre todos, quiza es cierto que tiene cierta "predileccion" por otros que no por microsoft, pero sincreamente no me parece ni mucho menos algo "reprochable" y menos de esas formas... y luego decis k pierde prespectiva... Flame for Free!!

Sinceramente tampoco me gusto mucho el articulo jejejejeje k publiquen lo k kieran hombre y como kieran, ya se encargan otros blogs de hacer redifusion, es aquello de "que hablen bien o mal de mi, pero que hablen de mi!" que quiza hay mas implicaciones que se me escapan, pero aun asi... Publican la gente se entera y mira y quiza le salve el culo a alguno, que mas da...
Si quieren jugar a ser un blog es que sus tecnicos a lo mejor tienen mucho tiempo libre o te leen a diario y de mayores kieren ser como tu ROFL k mas dara eso chema?
Me refiero a crees k hacen "daño" a alguien? Que es un poco precipitado como tu dices por un tweet y poco mas sacar todo eso? puede ser, y entiendo tu post, en parte...

Bueno no voy a flamear pero estos comments han estado cerca de caer a nivel de 'Hoigan', y como es habitual "Anonymus Brave" ;)

Entrada destacada

10 maneras de sacarle el jugo a tu cuenta de @MyPublicInbox si eres un Perfil Público

Cuando doy una charla a algún amigo, conocido, o a un grupo de personas que quieren conocer MyPublicInbox , siempre se acaban sorprendiendo ...

Entradas populares