Una de las vulnerabilidades publicadas ayer día 14 por Microsoft hace referencia a un problema en Excell que afecta a las tres últimas suites de la empresa de Redmon (2000, XP, y 2003) y que, explotada a través del plugin del navegador, podría proporcionar acceso remoto al ordenador de la víctima. El código asignado por Microsoft a esta vulnerabilidad ha sido el MS06-012 y ha sido reportado, entre otros por la Zero Day Initiative de 3COM.
ZDI es un programa de recompensas a investigadores de fallos de seguridad lanzado por 3COM a mediados del año pasado y cuyo planteamiento parece bastante correcto. O al menos así es sobre el papel porque en la práctica no parece haber tenido demasiado éxito. El funcionamiento de ZDI es muy sencillo. Cuando un investigador descubre un fallo de vulnerabilidad lo envía a ZDI para su evaluación. Los técnicos de este programa comprueban la vulnerabilidad, valoran el alcance de la misma y le hacen una oferta económica a su descubridor. Si este la acepta, 3COM se hace con la exclusiva de la información (que no con el crédito de la misma a no ser que el descubridor prefiera permanecer en el anonimato). A partir de este momento ZDI se pone en contacto con el fabricante del producto afectado para notificarle la incidencia y respeta el public-disclosure hasta que el fabricante elabora un parche de seguridad, momento en el que hace público el descubrimiento a través de las listas de correo usuales (full-disclosure@lists.grok.org.uk y bugtraq@securityfocus.com).
Las ventajas para el descubridor son dos: la recompensa económica, evidentemente, y evitar la engorrosa labor de tener que tratar con los fabricantes. A 3COM le proporciona la iniciativa para, antes de que la incidencia sea pública, crear los filtros pertinentes en los IPS de su divisiòn Tipping Point. Además, aunque 3COM notifica a otros fabricantes de IPS los detalles de la vulnerabilidad (según publicita en el modus opernadi del programa) lo hace con un cierto decalaje para contar con un valor preferencial. Esto puede apreciarse en el Timeline que publican acerca de esta última incidencia:
- DISCLOSURE TIMELINE
- 2006.01.24 – Vulnerability reported to vendor
- 2006.02.21 – Digital Vaccine released to TippingPoint customers
- 2006.03.13 – Vulnerability information provided to ZDI security partners
- 2006.03.14 – Coordinated public release of advisory
Por último, el incentivo económico sobre la labor de investigación y la mayor presión que alguien como 3COM puede hacer sobre las empresas fabricantes para que los parches se elaboren lo antes posible es algo que beneficia a todos los usuarios.
No obstante el éxito de la iniciativa como os comentaba antes ha sido escaso: en algo más de medio año de existencia han publicado sólo 7 exclusivas. ¿Quizás son demasiado tacaños a la hora de pagar? El programa de recompensas no lo parece así…
La competencia de ZDI es el programa VCP (Vulnerability Contributor Program) de iDefense. Es un programa con mucha más solera que funciona desde mediados del año 2002 y que parece tener bastante más actividad. La vulnerabilidad del Windows Media Player del mes pasado (MS06-006) fue reportada por este programa y, para escarnio de los de Redmon, en el timeline se revela que en este caso pasaron seis meses, seis, desde su notificación hasta la publicación del parche:
- DISCLOSURE TIMELINE
- 08/31/2005 Initial vendor notification
- 08/31/2005 Initial vendor response
- 02/14/2006 Coordinated public disclosure
La metodología de iDefense parace más flexible e imagino que en eso (aparte de la antigüedad, que ya se sabe que es un grado) reside su mayor éxito. Permite, por ejemplo, negociar el nivel de la ‘exclusividad’ o incluso que no exista y este será uno de los factores que valoren a la hora de pagar al descubridor.
En el suplemento de seguridad de Computer.org (una publicación de la IEEE) de abril de 2002 se publicó un interesante artículo (aún hoy aprovechable) llamado Bug Hunting: The Seven Ways of the Security Samurai dónde se desvelaban técnicas y secretos para convertirte en un experto cazador de bugs. Si el honor y la fama no es lo tuyo y te faltaba un aliciente económico ahora lo tienes.