Rastreo de contactos por la COVID-19: ¿Cuál es la situación de la codificación segura?
Una versión de este artículo apareció originalmente en DevOps Digest. Se ha actualizado y distribuido aquí.
En este punto, estoy seguro de que todos nos estamos cansando un poco de la frase «en estos tiempos sin precedentes»... pero, en realidad, estos son tiempos sin precedentes. ¿Quién hubiera pensado, a finales del año pasado, que correríamos para derrotar una pandemia destructiva a nivel mundial este año y que íbamos a hacer todo lo posible por ella? Habría parecido casi ridículo, y más parecido a una nueva serie de ciencia ficción de Netflix que a parte de nuestra realidad mundial. La COVID-19 ha transformado por completo nuestra vida social, nuestra economía y nuestra seguridad laboral, por no hablar de las prioridades políticas.
Uno de los contraataques contra la COVID-19 ha sido a través de la tecnología, y muchos países han lanzado aplicaciones de rastreo de contactos. Australia cuenta con CovidSafe, siguiendo el modelo de TraceTogether de Singapur. Hong Kong, Taiwán, China, Corea del Sur, Israel y Alemania tienen implementada o en camino la tecnología de rastreo de contactos. El Reino Unido ha sido la región más afectada de Europa, con decenas de miles de muertes relacionadas con el virus y una alta tasa de infección. El lanzamiento de su aplicación es inminente. Los Estados Unidos, que también están profundamente afectados, ya que muchas personas pierden la vida trágicamente, también están desplegando la tecnología, pero el enfoque estatal por estado del rastreo de contactos hace que su situación sea bastante compleja.
Con la excepción de países más controlados por el estado, como China y Taiwán, el uso de estas aplicaciones es voluntario y requiere que los ciudadanos descarguen y usen la tecnología por su propia cuenta. Algunas tasas de adopción tienen más éxito que otras; por ejemplo, la aplicación TraceTogether de Singapur tuvo una tasa de adopción del 25%, lo que la hace bastante ineficaz para el propósito deseado.
La idea detrás de las aplicaciones de rastreo de contactos es sólida. Esta tecnología, cuando funciona bien, garantizará que los puntos críticos se detecten rápidamente y que se puedan realizar pruebas exhaustivas, dos componentes esenciales para combatir la propagación de un virus contagioso. Sin embargo, las palabras «gobierno» y «rastreo» no son precisamente muy atractivas, y es natural que las personas se muestren cautelosas a la hora de pensar qué significaría para ellas descargar algo así.
Entonces, ¿cuáles son las principales preocupaciones de los usuarios? Si nos guiamos por los comentarios en línea, algunas de estas dudas son:
- Falta de confianza en el gobierno para utilizar los datos recopilados de manera responsable
- Temor sobre qué tan bien se protegerán los datos personales de los ciberataques
- Falta de claridad sobre qué datos se recopilan realmente, dónde se almacenan y con quién
- ... y para los desarrolladores y geeks que hay entre nosotros, la solidez con la que están realmente creadas las aplicaciones.
Siempre es un poco preocupante cuando las aplicaciones se crean rápidamente, y estas aplicaciones de rastreo de contactos tienen que implementarse en un tiempo récord. Es una pesadilla para los desarrolladores, el personal de seguridad y las agencias gubernamentales.
Entonces, ¿la desconfianza es una reacción válida? ¿Y qué debemos considerar prioritario en nuestra evaluación de las aplicaciones de rastreo de contactos de la COVID-19 y la seguridad de los usuarios finales? Como experto en seguridad, mi instinto es, por supuesto, profundizar en los elementos de ciberseguridad del programa, es decir, qué tan seguro es el código base de una aplicación que todos estamos intentando instalar (por la mejor de las intenciones).
Muchas de las aplicaciones son copias unas de otras (y heredan los mismos problemas).
La aplicación CovidSafe de Australia se basa esencialmente en Carrera abierta, al igual que el software TraceTogether de Singapur. Sin embargo, el problema es que TraceTogether tuvo una serie de problemas reportados y una mala aceptación, ya que solo el 25% de la población optó por registrarse como usuario, muy por debajo de Se requiere un 75% para que sea efectivo. Ha habido quejas sobre su rendimiento general, especialmente en iOS, por ejemplo, que las baterías se agotan muy rápidamente. CovidSafe tiene un posible defecto de UX en su versión de iOS, lo que requiere que el teléfono esté desbloqueado y que la aplicación se ejecute en primer plano para registrar todos los datos correctamente.
Si bien los problemas anteriores son molestos, la preocupación más apremiante es que las vulnerabilidades de Bluetooth abundan y ni TraceTogether ni la australiana COVIDSafe son inmunes a ellas. El 14 de mayo, El NIST informó que CovidSafe tenía una vulnerabilidad de denegación de servicio, lo que permite a un atacante bloquear la aplicación de forma remota si está a distancia de un apretón de manos por Bluetooth. Esto permitiría que un ataque organizado interrumpiera el rastreo de contactos en áreas densamente pobladas, donde resulta más útil: algo explicado en detalle del investigador de seguridad Richard Nelson. Se sabe que afecta a CovidSafe, TraceTogether, la polaca ProteGo y la canadiense AbtraceTogether. Todas ellas heredaron el problema de la defectuosa empresa OpenTrace Datos manuales. Subdatos llamada.
También existen otros problemas de privacidad y seguridad relacionados con la funcionalidad Bluetooth en general. El hecho de que esta tecnología se utilice para rastrear los movimientos humanos a través de un identificador único (TempID) y recopilar datos significativos aumentará inevitablemente el interés por los atacantes para detectar puntos débiles, momento en el que habrá que analizar minuciosamente qué es lo que se está recopilando, dónde se almacena y durante cuánto tiempo.
Algunas aplicaciones ya muestran signos de errores simples que causan debilidades complejas.
Ingeniero de software australiano Geoffrey Huntley ha estado estudiando el código fuente de CovidSafe y, lamentablemente, hay problemas que no necesariamente nos están destacando a nosotros, los usuarios finales.
Un ejemplo crítico fue un error lógico que violaba la privacidad y que permitiría a un atacante realizar un seguimiento a largo plazo de los dispositivos; algo que representa un enorme riesgo para los usuarios vulnerables, sin mencionar que contraviene la Política de privacidad de la propia aplicación.
Es importante tener en cuenta que estas vulnerabilidades lógicas se corrigieron el 14 de mayo, pero el problema más urgente es que se dejó sin corregir, en estado salvaje, durante 17 días después de que el Sr. Huntley lo denunciara. Él y otros miembros de la increíble comunidad de seguridad están rastreando las CVE relacionadas con la aplicación COVIDSafe aquí.
Una cosa que Huntley señala, después del parche, es que incluso la solución muestra signos de, bueno, incompetencia. En su público registro, señala que el parche consistía en añadir lógica en lugar de simplemente eliminar una caché defectuosa, siendo esta última una solución mucho más sólida. Ambas funcionan, pero la solución actual carece de precisión, lo que es un problema en una aplicación tan importante.
Aunque tenemos miembros diligentes de la sociedad que utilizan su tiempo y experiencia para analizar minuciosamente el código fuente y destacar los problemas, su trabajo se hace mucho más difícil que si el código fuera de código abierto en primer lugar. Tal como están las cosas, 28 aplicaciones siguen cerrados a los investigadores de seguridad.
La codificación segura sigue haciendo tropezar con nosotros en la línea de meta.
Si bien no cabe duda de que puedo entender el exceso de trabajo de los desarrolladores, así como la situación tan inusual de tener que crear una aplicación que salve vidas en medio de una pandemia, lo anterior debería destacar que unas cuantas vulnerabilidades simples en lo que es esencialmente una base de código comunitaria podrían significar problemas importantes para millones de usuarios.
Me gustaría pensar que la mayoría de las personas quieren ser buenos ciudadanos, apoyar la aplicación y dar a todos la mejor oportunidad posible de rastrear los contactos y controlar los brotes de este terrible virus. Yo también estoy a favor de la tecnología que puede ayudar a conseguirlo, pero, en muchos sentidos, esto ha puesto de manifiesto la falta general de principios de codificación seguros inherentes a los desarrolladores de todo el mundo.
En cualquier situación en la que el software deba escribirse rápidamente, los errores no son precisamente inesperados. Sin embargo, las vulnerabilidades de seguridad más comunes, como las fallas lógicas, los errores de configuración y los errores de inyección de código, deberían prevenirse mientras se escribe el código, no después de que voluntarios de sombrero blanco desmenucen el código base.
Y no es culpa de los desarrolladores, por cierto. Terminan sus estudios superiores con pocos conocimientos de programación segura y, a lo largo de sus carreras, sus KPI casi siempre se relacionan con la funcionalidad de las funciones y la velocidad de entrega; la parte de la seguridad la tiene que gestionar otra persona una vez que han terminado. Necesitamos llegar rápidamente a un estado final de codificación segura y, aunque ahora no es el momento de hacer cambios radicales en la cultura de los departamentos que crean estas aplicaciones, es un recordatorio oportuno de que nuestra área de riesgo digital se está expandiendo y que están en una posición privilegiada para marcar la diferencia si se les dan las herramientas y los conocimientos necesarios para compartir la responsabilidad de las mejores prácticas de seguridad.
¿Es seguro descargar la aplicación?
Esta es la cuestión: para mí, que soy un experto en seguridad, he llegado a la conclusión de que los beneficios de la aplicación superan a los problemas. No es ideal que las vulnerabilidades anteriores estén (o hayan estado) presentes en este software, pero las implicaciones de convertirlas en armas son las peores hipótesis posibles. Por el momento, el rastreo de contactos es un componente vital para ayudar a nuestros héroes de la medicina de todo el mundo a controlar la propagación, detener el flujo de ingresos hospitalarios y mantenerse unos a otros lo más seguros posible.
Sirve para resaltar que tenemos una largo mucho camino por recorrer cuando se trata de promulgar las mejores prácticas de seguridad de forma predeterminada en una compilación de software, y es importante que el público tenga la información necesaria para tomar decisiones informadas.
Mi familia y yo seguiremos usándolo, aunque permanecemos atentos para mantenernos al día con nuestros parches de Android, como todos deberíamos.
La idea detrás de las aplicaciones de rastreo de contactos es sólida. Esta tecnología, cuando funciona bien, garantizará que los puntos críticos se detecten rápidamente y que se puedan realizar pruebas exhaustivas, dos componentes esenciales para combatir la propagación de un virus contagioso.
首席执行官、主席和联合创始人
Secure Code Warrior 您的组织在软件开发全生命周期中保护代码安全,并营造将网络安全置于首位的企业文化。无论您是应用安全管理员、开发人员、首席信息安全官,还是任何与安全相关的工作人员,我们都能助力您的组织降低不安全代码带来的风险。
预约演示
首席执行官、主席和联合创始人
Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。
Una versión de este artículo apareció originalmente en DevOps Digest. Se ha actualizado y distribuido aquí.
En este punto, estoy seguro de que todos nos estamos cansando un poco de la frase «en estos tiempos sin precedentes»... pero, en realidad, estos son tiempos sin precedentes. ¿Quién hubiera pensado, a finales del año pasado, que correríamos para derrotar una pandemia destructiva a nivel mundial este año y que íbamos a hacer todo lo posible por ella? Habría parecido casi ridículo, y más parecido a una nueva serie de ciencia ficción de Netflix que a parte de nuestra realidad mundial. La COVID-19 ha transformado por completo nuestra vida social, nuestra economía y nuestra seguridad laboral, por no hablar de las prioridades políticas.
Uno de los contraataques contra la COVID-19 ha sido a través de la tecnología, y muchos países han lanzado aplicaciones de rastreo de contactos. Australia cuenta con CovidSafe, siguiendo el modelo de TraceTogether de Singapur. Hong Kong, Taiwán, China, Corea del Sur, Israel y Alemania tienen implementada o en camino la tecnología de rastreo de contactos. El Reino Unido ha sido la región más afectada de Europa, con decenas de miles de muertes relacionadas con el virus y una alta tasa de infección. El lanzamiento de su aplicación es inminente. Los Estados Unidos, que también están profundamente afectados, ya que muchas personas pierden la vida trágicamente, también están desplegando la tecnología, pero el enfoque estatal por estado del rastreo de contactos hace que su situación sea bastante compleja.
Con la excepción de países más controlados por el estado, como China y Taiwán, el uso de estas aplicaciones es voluntario y requiere que los ciudadanos descarguen y usen la tecnología por su propia cuenta. Algunas tasas de adopción tienen más éxito que otras; por ejemplo, la aplicación TraceTogether de Singapur tuvo una tasa de adopción del 25%, lo que la hace bastante ineficaz para el propósito deseado.
La idea detrás de las aplicaciones de rastreo de contactos es sólida. Esta tecnología, cuando funciona bien, garantizará que los puntos críticos se detecten rápidamente y que se puedan realizar pruebas exhaustivas, dos componentes esenciales para combatir la propagación de un virus contagioso. Sin embargo, las palabras «gobierno» y «rastreo» no son precisamente muy atractivas, y es natural que las personas se muestren cautelosas a la hora de pensar qué significaría para ellas descargar algo así.
Entonces, ¿cuáles son las principales preocupaciones de los usuarios? Si nos guiamos por los comentarios en línea, algunas de estas dudas son:
- Falta de confianza en el gobierno para utilizar los datos recopilados de manera responsable
- Temor sobre qué tan bien se protegerán los datos personales de los ciberataques
- Falta de claridad sobre qué datos se recopilan realmente, dónde se almacenan y con quién
- ... y para los desarrolladores y geeks que hay entre nosotros, la solidez con la que están realmente creadas las aplicaciones.
Siempre es un poco preocupante cuando las aplicaciones se crean rápidamente, y estas aplicaciones de rastreo de contactos tienen que implementarse en un tiempo récord. Es una pesadilla para los desarrolladores, el personal de seguridad y las agencias gubernamentales.
Entonces, ¿la desconfianza es una reacción válida? ¿Y qué debemos considerar prioritario en nuestra evaluación de las aplicaciones de rastreo de contactos de la COVID-19 y la seguridad de los usuarios finales? Como experto en seguridad, mi instinto es, por supuesto, profundizar en los elementos de ciberseguridad del programa, es decir, qué tan seguro es el código base de una aplicación que todos estamos intentando instalar (por la mejor de las intenciones).
Muchas de las aplicaciones son copias unas de otras (y heredan los mismos problemas).
La aplicación CovidSafe de Australia se basa esencialmente en Carrera abierta, al igual que el software TraceTogether de Singapur. Sin embargo, el problema es que TraceTogether tuvo una serie de problemas reportados y una mala aceptación, ya que solo el 25% de la población optó por registrarse como usuario, muy por debajo de Se requiere un 75% para que sea efectivo. Ha habido quejas sobre su rendimiento general, especialmente en iOS, por ejemplo, que las baterías se agotan muy rápidamente. CovidSafe tiene un posible defecto de UX en su versión de iOS, lo que requiere que el teléfono esté desbloqueado y que la aplicación se ejecute en primer plano para registrar todos los datos correctamente.
Si bien los problemas anteriores son molestos, la preocupación más apremiante es que las vulnerabilidades de Bluetooth abundan y ni TraceTogether ni la australiana COVIDSafe son inmunes a ellas. El 14 de mayo, El NIST informó que CovidSafe tenía una vulnerabilidad de denegación de servicio, lo que permite a un atacante bloquear la aplicación de forma remota si está a distancia de un apretón de manos por Bluetooth. Esto permitiría que un ataque organizado interrumpiera el rastreo de contactos en áreas densamente pobladas, donde resulta más útil: algo explicado en detalle del investigador de seguridad Richard Nelson. Se sabe que afecta a CovidSafe, TraceTogether, la polaca ProteGo y la canadiense AbtraceTogether. Todas ellas heredaron el problema de la defectuosa empresa OpenTrace Datos manuales. Subdatos llamada.
También existen otros problemas de privacidad y seguridad relacionados con la funcionalidad Bluetooth en general. El hecho de que esta tecnología se utilice para rastrear los movimientos humanos a través de un identificador único (TempID) y recopilar datos significativos aumentará inevitablemente el interés por los atacantes para detectar puntos débiles, momento en el que habrá que analizar minuciosamente qué es lo que se está recopilando, dónde se almacena y durante cuánto tiempo.
Algunas aplicaciones ya muestran signos de errores simples que causan debilidades complejas.
Ingeniero de software australiano Geoffrey Huntley ha estado estudiando el código fuente de CovidSafe y, lamentablemente, hay problemas que no necesariamente nos están destacando a nosotros, los usuarios finales.
Un ejemplo crítico fue un error lógico que violaba la privacidad y que permitiría a un atacante realizar un seguimiento a largo plazo de los dispositivos; algo que representa un enorme riesgo para los usuarios vulnerables, sin mencionar que contraviene la Política de privacidad de la propia aplicación.
Es importante tener en cuenta que estas vulnerabilidades lógicas se corrigieron el 14 de mayo, pero el problema más urgente es que se dejó sin corregir, en estado salvaje, durante 17 días después de que el Sr. Huntley lo denunciara. Él y otros miembros de la increíble comunidad de seguridad están rastreando las CVE relacionadas con la aplicación COVIDSafe aquí.
Una cosa que Huntley señala, después del parche, es que incluso la solución muestra signos de, bueno, incompetencia. En su público registro, señala que el parche consistía en añadir lógica en lugar de simplemente eliminar una caché defectuosa, siendo esta última una solución mucho más sólida. Ambas funcionan, pero la solución actual carece de precisión, lo que es un problema en una aplicación tan importante.
Aunque tenemos miembros diligentes de la sociedad que utilizan su tiempo y experiencia para analizar minuciosamente el código fuente y destacar los problemas, su trabajo se hace mucho más difícil que si el código fuera de código abierto en primer lugar. Tal como están las cosas, 28 aplicaciones siguen cerrados a los investigadores de seguridad.
La codificación segura sigue haciendo tropezar con nosotros en la línea de meta.
Si bien no cabe duda de que puedo entender el exceso de trabajo de los desarrolladores, así como la situación tan inusual de tener que crear una aplicación que salve vidas en medio de una pandemia, lo anterior debería destacar que unas cuantas vulnerabilidades simples en lo que es esencialmente una base de código comunitaria podrían significar problemas importantes para millones de usuarios.
Me gustaría pensar que la mayoría de las personas quieren ser buenos ciudadanos, apoyar la aplicación y dar a todos la mejor oportunidad posible de rastrear los contactos y controlar los brotes de este terrible virus. Yo también estoy a favor de la tecnología que puede ayudar a conseguirlo, pero, en muchos sentidos, esto ha puesto de manifiesto la falta general de principios de codificación seguros inherentes a los desarrolladores de todo el mundo.
En cualquier situación en la que el software deba escribirse rápidamente, los errores no son precisamente inesperados. Sin embargo, las vulnerabilidades de seguridad más comunes, como las fallas lógicas, los errores de configuración y los errores de inyección de código, deberían prevenirse mientras se escribe el código, no después de que voluntarios de sombrero blanco desmenucen el código base.
Y no es culpa de los desarrolladores, por cierto. Terminan sus estudios superiores con pocos conocimientos de programación segura y, a lo largo de sus carreras, sus KPI casi siempre se relacionan con la funcionalidad de las funciones y la velocidad de entrega; la parte de la seguridad la tiene que gestionar otra persona una vez que han terminado. Necesitamos llegar rápidamente a un estado final de codificación segura y, aunque ahora no es el momento de hacer cambios radicales en la cultura de los departamentos que crean estas aplicaciones, es un recordatorio oportuno de que nuestra área de riesgo digital se está expandiendo y que están en una posición privilegiada para marcar la diferencia si se les dan las herramientas y los conocimientos necesarios para compartir la responsabilidad de las mejores prácticas de seguridad.
¿Es seguro descargar la aplicación?
Esta es la cuestión: para mí, que soy un experto en seguridad, he llegado a la conclusión de que los beneficios de la aplicación superan a los problemas. No es ideal que las vulnerabilidades anteriores estén (o hayan estado) presentes en este software, pero las implicaciones de convertirlas en armas son las peores hipótesis posibles. Por el momento, el rastreo de contactos es un componente vital para ayudar a nuestros héroes de la medicina de todo el mundo a controlar la propagación, detener el flujo de ingresos hospitalarios y mantenerse unos a otros lo más seguros posible.
Sirve para resaltar que tenemos una largo mucho camino por recorrer cuando se trata de promulgar las mejores prácticas de seguridad de forma predeterminada en una compilación de software, y es importante que el público tenga la información necesaria para tomar decisiones informadas.
Mi familia y yo seguiremos usándolo, aunque permanecemos atentos para mantenernos al día con nuestros parches de Android, como todos deberíamos.
Una versión de este artículo apareció originalmente en DevOps Digest. Se ha actualizado y distribuido aquí.
En este punto, estoy seguro de que todos nos estamos cansando un poco de la frase «en estos tiempos sin precedentes»... pero, en realidad, estos son tiempos sin precedentes. ¿Quién hubiera pensado, a finales del año pasado, que correríamos para derrotar una pandemia destructiva a nivel mundial este año y que íbamos a hacer todo lo posible por ella? Habría parecido casi ridículo, y más parecido a una nueva serie de ciencia ficción de Netflix que a parte de nuestra realidad mundial. La COVID-19 ha transformado por completo nuestra vida social, nuestra economía y nuestra seguridad laboral, por no hablar de las prioridades políticas.
Uno de los contraataques contra la COVID-19 ha sido a través de la tecnología, y muchos países han lanzado aplicaciones de rastreo de contactos. Australia cuenta con CovidSafe, siguiendo el modelo de TraceTogether de Singapur. Hong Kong, Taiwán, China, Corea del Sur, Israel y Alemania tienen implementada o en camino la tecnología de rastreo de contactos. El Reino Unido ha sido la región más afectada de Europa, con decenas de miles de muertes relacionadas con el virus y una alta tasa de infección. El lanzamiento de su aplicación es inminente. Los Estados Unidos, que también están profundamente afectados, ya que muchas personas pierden la vida trágicamente, también están desplegando la tecnología, pero el enfoque estatal por estado del rastreo de contactos hace que su situación sea bastante compleja.
Con la excepción de países más controlados por el estado, como China y Taiwán, el uso de estas aplicaciones es voluntario y requiere que los ciudadanos descarguen y usen la tecnología por su propia cuenta. Algunas tasas de adopción tienen más éxito que otras; por ejemplo, la aplicación TraceTogether de Singapur tuvo una tasa de adopción del 25%, lo que la hace bastante ineficaz para el propósito deseado.
La idea detrás de las aplicaciones de rastreo de contactos es sólida. Esta tecnología, cuando funciona bien, garantizará que los puntos críticos se detecten rápidamente y que se puedan realizar pruebas exhaustivas, dos componentes esenciales para combatir la propagación de un virus contagioso. Sin embargo, las palabras «gobierno» y «rastreo» no son precisamente muy atractivas, y es natural que las personas se muestren cautelosas a la hora de pensar qué significaría para ellas descargar algo así.
Entonces, ¿cuáles son las principales preocupaciones de los usuarios? Si nos guiamos por los comentarios en línea, algunas de estas dudas son:
- Falta de confianza en el gobierno para utilizar los datos recopilados de manera responsable
- Temor sobre qué tan bien se protegerán los datos personales de los ciberataques
- Falta de claridad sobre qué datos se recopilan realmente, dónde se almacenan y con quién
- ... y para los desarrolladores y geeks que hay entre nosotros, la solidez con la que están realmente creadas las aplicaciones.
Siempre es un poco preocupante cuando las aplicaciones se crean rápidamente, y estas aplicaciones de rastreo de contactos tienen que implementarse en un tiempo récord. Es una pesadilla para los desarrolladores, el personal de seguridad y las agencias gubernamentales.
Entonces, ¿la desconfianza es una reacción válida? ¿Y qué debemos considerar prioritario en nuestra evaluación de las aplicaciones de rastreo de contactos de la COVID-19 y la seguridad de los usuarios finales? Como experto en seguridad, mi instinto es, por supuesto, profundizar en los elementos de ciberseguridad del programa, es decir, qué tan seguro es el código base de una aplicación que todos estamos intentando instalar (por la mejor de las intenciones).
Muchas de las aplicaciones son copias unas de otras (y heredan los mismos problemas).
La aplicación CovidSafe de Australia se basa esencialmente en Carrera abierta, al igual que el software TraceTogether de Singapur. Sin embargo, el problema es que TraceTogether tuvo una serie de problemas reportados y una mala aceptación, ya que solo el 25% de la población optó por registrarse como usuario, muy por debajo de Se requiere un 75% para que sea efectivo. Ha habido quejas sobre su rendimiento general, especialmente en iOS, por ejemplo, que las baterías se agotan muy rápidamente. CovidSafe tiene un posible defecto de UX en su versión de iOS, lo que requiere que el teléfono esté desbloqueado y que la aplicación se ejecute en primer plano para registrar todos los datos correctamente.
Si bien los problemas anteriores son molestos, la preocupación más apremiante es que las vulnerabilidades de Bluetooth abundan y ni TraceTogether ni la australiana COVIDSafe son inmunes a ellas. El 14 de mayo, El NIST informó que CovidSafe tenía una vulnerabilidad de denegación de servicio, lo que permite a un atacante bloquear la aplicación de forma remota si está a distancia de un apretón de manos por Bluetooth. Esto permitiría que un ataque organizado interrumpiera el rastreo de contactos en áreas densamente pobladas, donde resulta más útil: algo explicado en detalle del investigador de seguridad Richard Nelson. Se sabe que afecta a CovidSafe, TraceTogether, la polaca ProteGo y la canadiense AbtraceTogether. Todas ellas heredaron el problema de la defectuosa empresa OpenTrace Datos manuales. Subdatos llamada.
También existen otros problemas de privacidad y seguridad relacionados con la funcionalidad Bluetooth en general. El hecho de que esta tecnología se utilice para rastrear los movimientos humanos a través de un identificador único (TempID) y recopilar datos significativos aumentará inevitablemente el interés por los atacantes para detectar puntos débiles, momento en el que habrá que analizar minuciosamente qué es lo que se está recopilando, dónde se almacena y durante cuánto tiempo.
Algunas aplicaciones ya muestran signos de errores simples que causan debilidades complejas.
Ingeniero de software australiano Geoffrey Huntley ha estado estudiando el código fuente de CovidSafe y, lamentablemente, hay problemas que no necesariamente nos están destacando a nosotros, los usuarios finales.
Un ejemplo crítico fue un error lógico que violaba la privacidad y que permitiría a un atacante realizar un seguimiento a largo plazo de los dispositivos; algo que representa un enorme riesgo para los usuarios vulnerables, sin mencionar que contraviene la Política de privacidad de la propia aplicación.
Es importante tener en cuenta que estas vulnerabilidades lógicas se corrigieron el 14 de mayo, pero el problema más urgente es que se dejó sin corregir, en estado salvaje, durante 17 días después de que el Sr. Huntley lo denunciara. Él y otros miembros de la increíble comunidad de seguridad están rastreando las CVE relacionadas con la aplicación COVIDSafe aquí.
Una cosa que Huntley señala, después del parche, es que incluso la solución muestra signos de, bueno, incompetencia. En su público registro, señala que el parche consistía en añadir lógica en lugar de simplemente eliminar una caché defectuosa, siendo esta última una solución mucho más sólida. Ambas funcionan, pero la solución actual carece de precisión, lo que es un problema en una aplicación tan importante.
Aunque tenemos miembros diligentes de la sociedad que utilizan su tiempo y experiencia para analizar minuciosamente el código fuente y destacar los problemas, su trabajo se hace mucho más difícil que si el código fuera de código abierto en primer lugar. Tal como están las cosas, 28 aplicaciones siguen cerrados a los investigadores de seguridad.
La codificación segura sigue haciendo tropezar con nosotros en la línea de meta.
Si bien no cabe duda de que puedo entender el exceso de trabajo de los desarrolladores, así como la situación tan inusual de tener que crear una aplicación que salve vidas en medio de una pandemia, lo anterior debería destacar que unas cuantas vulnerabilidades simples en lo que es esencialmente una base de código comunitaria podrían significar problemas importantes para millones de usuarios.
Me gustaría pensar que la mayoría de las personas quieren ser buenos ciudadanos, apoyar la aplicación y dar a todos la mejor oportunidad posible de rastrear los contactos y controlar los brotes de este terrible virus. Yo también estoy a favor de la tecnología que puede ayudar a conseguirlo, pero, en muchos sentidos, esto ha puesto de manifiesto la falta general de principios de codificación seguros inherentes a los desarrolladores de todo el mundo.
En cualquier situación en la que el software deba escribirse rápidamente, los errores no son precisamente inesperados. Sin embargo, las vulnerabilidades de seguridad más comunes, como las fallas lógicas, los errores de configuración y los errores de inyección de código, deberían prevenirse mientras se escribe el código, no después de que voluntarios de sombrero blanco desmenucen el código base.
Y no es culpa de los desarrolladores, por cierto. Terminan sus estudios superiores con pocos conocimientos de programación segura y, a lo largo de sus carreras, sus KPI casi siempre se relacionan con la funcionalidad de las funciones y la velocidad de entrega; la parte de la seguridad la tiene que gestionar otra persona una vez que han terminado. Necesitamos llegar rápidamente a un estado final de codificación segura y, aunque ahora no es el momento de hacer cambios radicales en la cultura de los departamentos que crean estas aplicaciones, es un recordatorio oportuno de que nuestra área de riesgo digital se está expandiendo y que están en una posición privilegiada para marcar la diferencia si se les dan las herramientas y los conocimientos necesarios para compartir la responsabilidad de las mejores prácticas de seguridad.
¿Es seguro descargar la aplicación?
Esta es la cuestión: para mí, que soy un experto en seguridad, he llegado a la conclusión de que los beneficios de la aplicación superan a los problemas. No es ideal que las vulnerabilidades anteriores estén (o hayan estado) presentes en este software, pero las implicaciones de convertirlas en armas son las peores hipótesis posibles. Por el momento, el rastreo de contactos es un componente vital para ayudar a nuestros héroes de la medicina de todo el mundo a controlar la propagación, detener el flujo de ingresos hospitalarios y mantenerse unos a otros lo más seguros posible.
Sirve para resaltar que tenemos una largo mucho camino por recorrer cuando se trata de promulgar las mejores prácticas de seguridad de forma predeterminada en una compilación de software, y es importante que el público tenga la información necesaria para tomar decisiones informadas.
Mi familia y yo seguiremos usándolo, aunque permanecemos atentos para mantenernos al día con nuestros parches de Android, como todos deberíamos.
点击下方链接,下载此资源的PDF文件。
Secure Code Warrior 您的组织在软件开发全生命周期中保护代码安全,并营造将网络安全置于首位的企业文化。无论您是应用安全管理员、开发人员、首席信息安全官,还是任何与安全相关的工作人员,我们都能助力您的组织降低不安全代码带来的风险。
查看报告预约演示
首席执行官、主席和联合创始人
Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。
Una versión de este artículo apareció originalmente en DevOps Digest. Se ha actualizado y distribuido aquí.
En este punto, estoy seguro de que todos nos estamos cansando un poco de la frase «en estos tiempos sin precedentes»... pero, en realidad, estos son tiempos sin precedentes. ¿Quién hubiera pensado, a finales del año pasado, que correríamos para derrotar una pandemia destructiva a nivel mundial este año y que íbamos a hacer todo lo posible por ella? Habría parecido casi ridículo, y más parecido a una nueva serie de ciencia ficción de Netflix que a parte de nuestra realidad mundial. La COVID-19 ha transformado por completo nuestra vida social, nuestra economía y nuestra seguridad laboral, por no hablar de las prioridades políticas.
Uno de los contraataques contra la COVID-19 ha sido a través de la tecnología, y muchos países han lanzado aplicaciones de rastreo de contactos. Australia cuenta con CovidSafe, siguiendo el modelo de TraceTogether de Singapur. Hong Kong, Taiwán, China, Corea del Sur, Israel y Alemania tienen implementada o en camino la tecnología de rastreo de contactos. El Reino Unido ha sido la región más afectada de Europa, con decenas de miles de muertes relacionadas con el virus y una alta tasa de infección. El lanzamiento de su aplicación es inminente. Los Estados Unidos, que también están profundamente afectados, ya que muchas personas pierden la vida trágicamente, también están desplegando la tecnología, pero el enfoque estatal por estado del rastreo de contactos hace que su situación sea bastante compleja.
Con la excepción de países más controlados por el estado, como China y Taiwán, el uso de estas aplicaciones es voluntario y requiere que los ciudadanos descarguen y usen la tecnología por su propia cuenta. Algunas tasas de adopción tienen más éxito que otras; por ejemplo, la aplicación TraceTogether de Singapur tuvo una tasa de adopción del 25%, lo que la hace bastante ineficaz para el propósito deseado.
La idea detrás de las aplicaciones de rastreo de contactos es sólida. Esta tecnología, cuando funciona bien, garantizará que los puntos críticos se detecten rápidamente y que se puedan realizar pruebas exhaustivas, dos componentes esenciales para combatir la propagación de un virus contagioso. Sin embargo, las palabras «gobierno» y «rastreo» no son precisamente muy atractivas, y es natural que las personas se muestren cautelosas a la hora de pensar qué significaría para ellas descargar algo así.
Entonces, ¿cuáles son las principales preocupaciones de los usuarios? Si nos guiamos por los comentarios en línea, algunas de estas dudas son:
- Falta de confianza en el gobierno para utilizar los datos recopilados de manera responsable
- Temor sobre qué tan bien se protegerán los datos personales de los ciberataques
- Falta de claridad sobre qué datos se recopilan realmente, dónde se almacenan y con quién
- ... y para los desarrolladores y geeks que hay entre nosotros, la solidez con la que están realmente creadas las aplicaciones.
Siempre es un poco preocupante cuando las aplicaciones se crean rápidamente, y estas aplicaciones de rastreo de contactos tienen que implementarse en un tiempo récord. Es una pesadilla para los desarrolladores, el personal de seguridad y las agencias gubernamentales.
Entonces, ¿la desconfianza es una reacción válida? ¿Y qué debemos considerar prioritario en nuestra evaluación de las aplicaciones de rastreo de contactos de la COVID-19 y la seguridad de los usuarios finales? Como experto en seguridad, mi instinto es, por supuesto, profundizar en los elementos de ciberseguridad del programa, es decir, qué tan seguro es el código base de una aplicación que todos estamos intentando instalar (por la mejor de las intenciones).
Muchas de las aplicaciones son copias unas de otras (y heredan los mismos problemas).
La aplicación CovidSafe de Australia se basa esencialmente en Carrera abierta, al igual que el software TraceTogether de Singapur. Sin embargo, el problema es que TraceTogether tuvo una serie de problemas reportados y una mala aceptación, ya que solo el 25% de la población optó por registrarse como usuario, muy por debajo de Se requiere un 75% para que sea efectivo. Ha habido quejas sobre su rendimiento general, especialmente en iOS, por ejemplo, que las baterías se agotan muy rápidamente. CovidSafe tiene un posible defecto de UX en su versión de iOS, lo que requiere que el teléfono esté desbloqueado y que la aplicación se ejecute en primer plano para registrar todos los datos correctamente.
Si bien los problemas anteriores son molestos, la preocupación más apremiante es que las vulnerabilidades de Bluetooth abundan y ni TraceTogether ni la australiana COVIDSafe son inmunes a ellas. El 14 de mayo, El NIST informó que CovidSafe tenía una vulnerabilidad de denegación de servicio, lo que permite a un atacante bloquear la aplicación de forma remota si está a distancia de un apretón de manos por Bluetooth. Esto permitiría que un ataque organizado interrumpiera el rastreo de contactos en áreas densamente pobladas, donde resulta más útil: algo explicado en detalle del investigador de seguridad Richard Nelson. Se sabe que afecta a CovidSafe, TraceTogether, la polaca ProteGo y la canadiense AbtraceTogether. Todas ellas heredaron el problema de la defectuosa empresa OpenTrace Datos manuales. Subdatos llamada.
También existen otros problemas de privacidad y seguridad relacionados con la funcionalidad Bluetooth en general. El hecho de que esta tecnología se utilice para rastrear los movimientos humanos a través de un identificador único (TempID) y recopilar datos significativos aumentará inevitablemente el interés por los atacantes para detectar puntos débiles, momento en el que habrá que analizar minuciosamente qué es lo que se está recopilando, dónde se almacena y durante cuánto tiempo.
Algunas aplicaciones ya muestran signos de errores simples que causan debilidades complejas.
Ingeniero de software australiano Geoffrey Huntley ha estado estudiando el código fuente de CovidSafe y, lamentablemente, hay problemas que no necesariamente nos están destacando a nosotros, los usuarios finales.
Un ejemplo crítico fue un error lógico que violaba la privacidad y que permitiría a un atacante realizar un seguimiento a largo plazo de los dispositivos; algo que representa un enorme riesgo para los usuarios vulnerables, sin mencionar que contraviene la Política de privacidad de la propia aplicación.
Es importante tener en cuenta que estas vulnerabilidades lógicas se corrigieron el 14 de mayo, pero el problema más urgente es que se dejó sin corregir, en estado salvaje, durante 17 días después de que el Sr. Huntley lo denunciara. Él y otros miembros de la increíble comunidad de seguridad están rastreando las CVE relacionadas con la aplicación COVIDSafe aquí.
Una cosa que Huntley señala, después del parche, es que incluso la solución muestra signos de, bueno, incompetencia. En su público registro, señala que el parche consistía en añadir lógica en lugar de simplemente eliminar una caché defectuosa, siendo esta última una solución mucho más sólida. Ambas funcionan, pero la solución actual carece de precisión, lo que es un problema en una aplicación tan importante.
Aunque tenemos miembros diligentes de la sociedad que utilizan su tiempo y experiencia para analizar minuciosamente el código fuente y destacar los problemas, su trabajo se hace mucho más difícil que si el código fuera de código abierto en primer lugar. Tal como están las cosas, 28 aplicaciones siguen cerrados a los investigadores de seguridad.
La codificación segura sigue haciendo tropezar con nosotros en la línea de meta.
Si bien no cabe duda de que puedo entender el exceso de trabajo de los desarrolladores, así como la situación tan inusual de tener que crear una aplicación que salve vidas en medio de una pandemia, lo anterior debería destacar que unas cuantas vulnerabilidades simples en lo que es esencialmente una base de código comunitaria podrían significar problemas importantes para millones de usuarios.
Me gustaría pensar que la mayoría de las personas quieren ser buenos ciudadanos, apoyar la aplicación y dar a todos la mejor oportunidad posible de rastrear los contactos y controlar los brotes de este terrible virus. Yo también estoy a favor de la tecnología que puede ayudar a conseguirlo, pero, en muchos sentidos, esto ha puesto de manifiesto la falta general de principios de codificación seguros inherentes a los desarrolladores de todo el mundo.
En cualquier situación en la que el software deba escribirse rápidamente, los errores no son precisamente inesperados. Sin embargo, las vulnerabilidades de seguridad más comunes, como las fallas lógicas, los errores de configuración y los errores de inyección de código, deberían prevenirse mientras se escribe el código, no después de que voluntarios de sombrero blanco desmenucen el código base.
Y no es culpa de los desarrolladores, por cierto. Terminan sus estudios superiores con pocos conocimientos de programación segura y, a lo largo de sus carreras, sus KPI casi siempre se relacionan con la funcionalidad de las funciones y la velocidad de entrega; la parte de la seguridad la tiene que gestionar otra persona una vez que han terminado. Necesitamos llegar rápidamente a un estado final de codificación segura y, aunque ahora no es el momento de hacer cambios radicales en la cultura de los departamentos que crean estas aplicaciones, es un recordatorio oportuno de que nuestra área de riesgo digital se está expandiendo y que están en una posición privilegiada para marcar la diferencia si se les dan las herramientas y los conocimientos necesarios para compartir la responsabilidad de las mejores prácticas de seguridad.
¿Es seguro descargar la aplicación?
Esta es la cuestión: para mí, que soy un experto en seguridad, he llegado a la conclusión de que los beneficios de la aplicación superan a los problemas. No es ideal que las vulnerabilidades anteriores estén (o hayan estado) presentes en este software, pero las implicaciones de convertirlas en armas son las peores hipótesis posibles. Por el momento, el rastreo de contactos es un componente vital para ayudar a nuestros héroes de la medicina de todo el mundo a controlar la propagación, detener el flujo de ingresos hospitalarios y mantenerse unos a otros lo más seguros posible.
Sirve para resaltar que tenemos una largo mucho camino por recorrer cuando se trata de promulgar las mejores prácticas de seguridad de forma predeterminada en una compilación de software, y es importante que el público tenga la información necesaria para tomar decisiones informadas.
Mi familia y yo seguiremos usándolo, aunque permanecemos atentos para mantenernos al día con nuestros parches de Android, como todos deberíamos.
%20(1).avif)
.avif)
