Español | English
rss facebook linkedin Twitter

Y si no, te devolvemos el dinero

Hace ya un par de semanas, Matthew Dempsky descubrió una vulnerabilidad en djbdns, uno de los servidores de DNS más seguros y conocidos (seguramente el más utilizado después de BIND).

La vulnerabilidad aparece por la posibilidad de comprimir paquetes DNS muy largos, sustituyendo el sufijo de un nombre de dominio por un número que indica la posición relativa de ese sufijo dentro del paquete. El formato pone un límite,que consiste en que ese sufijo al que hacemos referencia no puede estar a más de 16384 (2^14) bytes de distancia. En este caso el software de D. J. Bernstein no tenía en cuenta esa limitación (aunque curiosamente aparecía mencionada en el código).

En realidad hay muy pocos casos de posibles afectados, ya que tienen que darse varias circunstancias. El administrador debe usar tinydns y axfrdns para realizar las transferencias de zonas y permite a un tercero añadir entradas a alguna de las zonas que sirve. Gracias a la vulnerabilidad, este podría modificar entradas a su antojo en el servidor, no solo las de su zona. La vulnerabilidad está resuelta y se recomienda actualizar a la última versión a todos los que se encuentren en la situación indicada.

Este caso de vulnerabilidad tiene una peculiaridad que la ha convertido en noticia. El autor D. J. Bernstein se comprometió a dar 1000$ a quien encontrara una vulnerabilidad y así ha sido. Hay que decir que es la primera vez que sucede desde que se comprometiera a ello hace 10 años y que djbdns se puede conseguir gratuitamente, lo cual es algo digno de mención.

Este compromiso no es algo habitual, sino más bien todo lo contrario. Normalmente el autor de un software concreto se dedica a parchear las vulnerabilidades que puedan aparecer lo antes posible, pero no tiene ninguna penalización por ello como en este caso, que además es software gratuito, lo que hace esto más excepcional aún.

¿Y qué sucede con el software de pago?¿Qué sucedería si las compañías tomaran algún tipo de responsabilidad sobre sus errores? Compensar directamente a los clientes sería casi imposible, especialmente en el caso de software que se utiliza en millones de ordenadores. Como alternativa, se podrían realizar descuentos sobre otros productos como compensación, lo que podría resultar beneficioso para ambas partes. La otra opción es la del caso expuesto. Premiar a la persona que ha descubierto la vulnerabilidad. Esto es algo que de alguna manera ya existe, solo que no es la compañía de software la que paga. De ser así habría una motivación extra a la hora de intentar hacer un producto lo más seguro posible. Otra posible estrategia es ofrecer un servicio de seguro que compense al usuario en caso de daños achacables a errores en el software.

Por otra parte, se podría argumentar que los errores son algo inevitable y el usuario asume que puede suceder. Además, algunas compañías podrían verse afectadas e incluso desaparecer por circunstancias que en parte están fuera de su control.

En vuestra opinión, ¿Creeis que sería adecuado algún tipo de compensación? ¿Cuál sería la mejor forma de establecer esta compensación? ¿Mejoraría la calidad del software o haría que algunas compañías desaparecieran?

Patxi Astiz
S21sec labs

1 comentario:

p3rw3b dijo...

Más bien la compensación, de las empresas privadas, directamente proporcional a su tamaño, es de caracter punitiva. Incluso puede que te visite los SWAT... Y todo ¡¡para que aprendas a no jugar con los "aparatitos", niño!!

El lado bueno es que vas a disfrutar de los tan manidos 15 minutos de fama. :D


(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login