Qué es un CVE y por qué es importante para tu seguridad
Existen hackers “buenos”. Se hacen llamar analistas de seguridad y algunos, incluso, dedican su tiempo a trabajar por el bien común. Investigan posibles vulnerabilidades en aplicaciones públicas y conocidas, y cuando encuentran un posible fallo de seguridad, que pueda poner en peligro a los usuarios de dichas aplicaciones, hacen saber de esa vulnerabilidad al fabricante del software. No hay recompensa, no se les paga por ello, lo hacen para que el mundo sea más seguro.
¿Qué es un CVE?
Todo este proceso, desde que el fabricante acepta la vulnerabilidad reportada hasta que se soluciona, se traslada a un sistema de referencia público llamado CVE Database. Esta es una base de datos mantenida por MITRE Corporation (por eso a veces a la lista se la conoce por el nombre MITRE CVE List) con fondos de la National Cyber Security Division del gobierno de los Estados Unidos de América.
El CVE Program es un esfuerzo internacional, basado en la comunidad, y se apoya en ella para descubrir vulnerabilidades. Las vulnerabilidades se descubren, se asignan y se publican en la lista CVE.
Cada CVE identifica de manera unívoca un problema de seguridad. Ese problema puede ser de diferentes tipos, pero en cualquier caso, es algo que si no se soluciona y permanece oculto, algún día alguien se aprovechará de dicho fallo. Un CVE describe de manera sencilla cual es la aplicación vulnerable y la versión y/o componente afectados sin revelar información sensible. Cuando el error es corregido, informa de dónde se puede encontrar la solución. Generalmente un CVE no se hace público hasta que la equivocación no se ha corregido, esto es especialmente importante, ya que garantiza que los usuarios de dicha aplicación no están sometidos a un riesgo gratuito al publicarse información sobre el fallo. Si no existiera CVE, los investigadores publicarían dicha información sin coordinarse con los fabricantes, produciendo riesgos de seguridad inaceptables para los usuarios que no tienen forma de protegerse ante datos que revelen errores de seguridad en sus sistemas como usuarios de dichas aplicaciones. No hay que olvidar que todos los fabricantes de software tienen CVE públicos publicados. No se libra nadie.
Este consenso entre fabricantes e investigadores en la manera de revelar información sensible, respecto a los fallos de seguridad de una aplicación, permite una mejora continua de la seguridad de los sistemas de información públicos. Aunque MITRE originalmente es una organización con fondos de EEUU, existen organizaciones colaboradoras en todo el mundo que ayudan a organizar regionalmente los CVE, descentralizando la gestión y ayudando a los fabricantes locales a organizarse de una manera más eficiente.
INCIBE y PANDORA FMS
Los CVE son coordinados por los CNA, organizaciones voluntarias que se prestan a coordinar y resolver disputas cuando existen posiciones contrarias entre investigadores de seguridad y fabricantes. El CNA raíz es MITRE, y existen CNA repartidos en todo el mundo. La mayoría de fabricantes de software y hardware como Microsoft, CISCO, Oracle, VMware, Dell son CNA de esta red.
INCIBE, El Instituto Nacional de Ciberseguridad de España, es una organización española que recientemente se ha convertido en un CNA Root, un miembro con un estatus especial dentro de la jerarquía de CVE, ya que coordina a los CNA españoles. También un punto de contacto en el país para la recepción de vulnerabilidades descubiertas en el ámbito de la Tecnología de la Información (TI), los sistemas industriales y los dispositivos de Internet de las Cosas (IoT).
Gracias a la asociación con INCIBE, PANDORA la empresa detrás de Pandora FMS, Pandora ITSM y Pandora RC se ha convertido en CNA oficial de CVE. Esto es especialmente importante ya que demuestra el compromiso de Pandora FMS con la seguridad de los sistemas de información y se pone a disposición de investigadores de todo el mundo para trabajar en la solución de cualquier problema que pueda afectar a sus usuarios.
A partir de este momento, el programa cuenta con doscientos un CNA de treinta y dos países, siendo PANDORA FMS el número doscientos en el mundo, tercero de España. Tras la adhesión al programa, ARTICA podrá recibir de forma pública cualquier información relativa a la seguridad de Pandora FMS, Pandora ITSM o Pandora RC y darle un tratamiento confiable a la solución del problema así como a su comunicación pública.
La política de gestión de vulnerabilidades permite asegurar al usuario de Pandora FMS que cualquier problema será tratado con rigor, priorizando el impacto y la mitigación del riesgo en entornos productivos, a la par que al investigador le garantiza una correcta recepción, comunicación y publicación en abierto de su trabajo.
Política de revelación de vulnerabilidades en Pandora FMS
En Pandora FMS tenemos una política muy abierta al respecto. Pandora FMS nació con una filosofía abierta, esto no sólo significa código abierto, también significa conocimiento libre y, por supuesto, transparencia en los procesos. Tenemos una política de revelación de vulnerabilidades totalmente pública y transparente. A lo largo de los años, diferentes investigadores se han puesto en contacto con nosotros para informar de problemas de seguridad en Pandora FMS. Sí, nosotros también hemos tenido, y tendremos fallos de seguridad. Y gracias en parte al trabajo desinteresado de investigadores de seguridad hemos ido corrigiendo muchos de estos fallos. Somos tan cumplidores y honestos que los publicamos nosotros mismos en un listado de vulnerabilidades conocidas en nuestra propia web.
Los informes de fallos de seguridad generalmente tienen un ciclo de vida que permite que los usuarios no sufran riesgos añadidos por publicar información sobre fallos del software antes de tiempo, antes de que el fabricante haya podido crear un parche y distribuirlo con tiempo suficiente a sus usuarios. En ese proceso, el fallo de seguridad queda en una fase de espera, donde el fabricante acepta el problema reportado y se compromete en una fecha a solucionar el problema. El investigador de seguridad espera pacientemente y facilita en la medida de lo posible la solución del problema: aportando más información, colaborando con el equipo de desarrollo, haciendo incluso alguna prueba adicional cuando el parche esté disponible. El caso es trabajar en equipo para mejorar la robustez del software.
El buzón de correo electrónico [email protected] está abierto a cualquier persona con interés en mejorar la seguridad de nuestro software.
El equipo de redacción de Pandora FMS está formado por un conjunto de escritores y profesionales de las TI con una cosa en común: su pasión por la monitorización de sistemas informáticos. Pandora FMS’s editorial team is made up of a group of writers and IT professionals with one thing in common: their passion for computer system monitoring.