Rastreo de contactos COVID-19: ¿Cuál es la situación de la codificación segura?
Una versión de este artículo apareció originalmente en DevOps Digest. Se ha actualizado y sindicado aquí.
A estas alturas, estoy seguro de que todos estamos un poco cansados de la frase "en estos tiempos sin precedentes"... pero, realmente son tiempos sin precedentes. ¿Quién habría pensado a finales del año pasado que este año estaríamos corriendo para derrotar una pandemia destructiva a nivel mundial, y lanzando todo lo que pudiéramos a ella? Habría parecido casi irrisorio, y más propio de una nueva serie de ciencia ficción de Netflix que de nuestra realidad mundial. El COVID-19 ha transformado por completo nuestra vida social, nuestra economía y nuestra seguridad laboral, por no hablar de las prioridades políticas.
Uno de los contraataques a COVID-19 ha sido la tecnología, y muchos países han puesto en marcha aplicaciones de rastreo de contactos. Australia cuenta con COVIDSafe, basada en la aplicación TraceTogether de Singapur. Hong Kong, Taiwán, China, Corea del Sur, Israel y Alemania han implementado, o están en vías de hacerlo, la tecnología de rastreo de contactos. El Reino Unido ha sido la región más afectada de Europa, con decenas de miles de muertes relacionadas con el virus y una elevada tasa de infección. El lanzamiento de su aplicación es inminente. Los Estados Unidos -también muy afectados por la trágica pérdida de vidas de muchas personas- también han puesto en marcha la tecnología, pero su enfoque de rastreo de contactos estado por estado hace que su situación sea bastante compleja.
Con la excepción de los países más controlados por el Estado, como China y Taiwán, el uso de estas aplicaciones es voluntario, lo que obliga a los ciudadanos a descargar y utilizar la tecnología por voluntad propia. Algunos índices de adopción son más exitosos que otros; por ejemplo, la aplicación TraceTogether de Singapur tuvo un índice de adopción del 25%, lo que la hace bastante ineficaz para su objetivo.
La idea de las aplicaciones de rastreo de contactos es sólida. Esta tecnología, cuando funcione bien, garantizará que se descubran rápidamente los focos de infección y que se realicen pruebas exhaustivas, dos componentes esenciales para luchar contra la propagación de un virus contagioso. Sin embargo, las palabras "gobierno" y "rastreo" no suenan precisamente muy atrayentes, y es natural que la gente sea cautelosa acerca de lo que la descarga de algo así significaría realmente para ellos.
Entonces, ¿cuáles son las principales preocupaciones de los usuarios? Si nos guiamos por los comentarios en línea, algunos de estos recelos son:
- Falta de confianza en que el gobierno utilice los datos recogidos de forma responsable
- Temor por la protección de los datos personales frente a los ciberataques
- Falta de claridad sobre qué datos se recogen realmente, dónde se almacenan y con quién.
- ... y para los desarrolladores/geeks entre nosotros, la solidez de las aplicaciones.
Siempre es un poco preocupante cuando las aplicaciones se construyen rápidamente, y estas aplicaciones de rastreo de contactos tienen que desplegarse en un tiempo récord. Es una pesadilla para los desarrolladores, la gente de seguridad y las agencias gubernamentales.
Entonces, ¿es la desconfianza una reacción válida? ¿Y qué deberíamos considerar prioritario en nuestra assessment de aplicaciones de rastreo de contactos COVID-19 y la seguridad del usuario final? Como experto en seguridad, mi instinto es, por supuesto, profundizar en los elementos de ciberseguridad del programa, es decir, cómo de segura es la base de código de una aplicación que todos (con la mejor de las intenciones) somos empujados a instalar.
Muchas de las aplicaciones son copias unas de otras (y heredan los mismos problemas).
La aplicación COVIDSafe de Australia se basa esencialmente en OpenTrace, al igual que el programa TraceTogether de Singapur. El problema, sin embargo, es que TraceTogether ha tenido una serie de problemas y una escasa aceptación, ya que sólo el 25% de la población ha optado por utilizarlo, muy por debajo del 75% necesario para que sea eficaz. Ha habido quejas sobre su rendimiento general, especialmente en iOS, incluyendo el agotamiento muy rápido de las baterías. COVIDSafe tiene un posible fallo de UX en su versión para iOS, ya que requiere que el teléfono esté desbloqueado y la aplicación se ejecute en primer plano para registrar todos los datos correctamente.
Si bien los problemas anteriores son molestos, la preocupación más acuciante es que las vulnerabilidades de Bluetooth son abundantes y ni TraceTogether, ni la australiana COVIDSafe, son inmunes a ellas. El 14 de mayo, el NIST informó de que COVIDSafe tenía una vulnerabilidad de denegación de servicio que permitía a un atacante bloquear la aplicación de forma remota si se encontraba en la distancia del apretón de manos Bluetooth. Esto permitiría a un ataque organizado interrumpir el rastreo de contactos en áreas densamente pobladas, donde es más útil - algo explicado en detalle por el investigador de seguridad Richard Nelson. Se sabe que afecta a COVIDSafe, TraceTogether, ProteGO de Polonia y ABTraceTogether de Canadá - todos heredan el problema de la llamada manuData.subdata defectuosa de OpenTrace.
También hay otros problemas de privacidad y seguridad relacionados con la funcionalidad Bluetooth en general. El hecho de que esta tecnología se utilice para rastrear el movimiento humano a través de una identificación única (TempID) y recopilar datos significativos supondrá inevitablemente un gran interés por parte de los atacantes para comprobar los puntos débiles, momento en el que habrá que analizar exactamente qué se recopila, dónde se almacena y durante cuánto tiempo.
Algunas aplicaciones ya están mostrando signos de errores simples que causan debilidades complejas.
El ingeniero de software australiano Geoffrey Huntley ha estado estudiando el código fuente de COVIDSafe y, lamentablemente, hay problemas que no se están poniendo de manifiesto para nosotros, los usuarios finales.
Un ejemplo crítico era un error lógico que violaba la privacidad y que permitía a un atacante realizar un seguimiento a largo plazo de los dispositivos; algo que supone un enorme riesgo para los usuarios vulnerables, por no mencionar que contraviene la política de privacidad de la propia aplicación.
Es importante señalar que estas vulnerabilidades lógicas han sido parcheadas a partir del 14 de mayo, pero la cuestión más apremiante es que esto se dejó sin parchear, en la naturaleza, durante 17 días después de que el Sr. Huntley informó. Él y otros miembros de la comunidad de seguridad impresionante están rastreando CVEs relacionados con la aplicación COVIDSafe aquí.
Una cosa que Huntley señala, después del parche, es que incluso la solución muestra signos de, bueno, incompetencia. En su registro público, señala que el parche implicaba añadir lógica en lugar de simplemente borrar una caché defectuosa, siendo esta última una solución mucho más sólida. Ambos funcionan, pero la solución en vivo carece de delicadeza - una preocupación con una aplicación tan importante.
Aunque tenemos miembros diligentes de la sociedad que utilizan su propio tiempo y experiencia para examinar el código fuente y poner de relieve los problemas, su trabajo es mucho más difícil que si el código fuera abierto en primer lugar. Tal y como están las cosas, 28 aplicaciones siguen estando cerradas a los investigadores de seguridad.
La codificación segura sigue haciéndonos tropezar en la línea de meta.
Aunque ciertamente puedo simpatizar con los desarrolladores sobrecargados de trabajo -así como con la situación altamente inusual de tener que producir una aplicación que salve vidas en medio de una pandemia- lo anterior debería resaltar que unas simples vulnerabilidades en lo que es esencialmente una base de código comunal podrían significar problemas significativos para millones de usuarios.
Me gustaría pensar que la mayoría de la gente quiere ser buenos ciudadanos, apoyar la aplicación y dar a todos la mejor oportunidad posible de rastrear los contactos y controlar los brotes de este horrible virus. Yo también apoyo la tecnología que puede ayudar a conseguirlo, pero en muchos sentidos, esto ha desvelado la falta general de principios de codificación segura inherente a los desarrolladores de todo el mundo.
En cualquier situación en la que el software tiene que ser escrito rápidamente, los errores no son precisamente inesperados. Sin embargo, las vulnerabilidades de seguridad más comunes, como los fallos lógicos, las malas configuraciones y los errores de inyección de código, deberían poder evitarse a medida que se escribe el código, y no después de que los sombreros blancos voluntarios lo desmenucen.
Y no es culpa de los desarrolladores, por cierto. Salen de su educación terciaria con pocas habilidades en la codificación segura, y en sus carreras, sus KPIs casi siempre se relacionan con la funcionalidad de las características y la velocidad de entrega - la parte de la seguridad es para alguien más para tratar una vez que han terminado. Tenemos que llegar a un estado final de codificación segura a velocidad, y aunque ahora no es el momento de hacer cambios culturales sísmicos en los departamentos que construyen estas aplicaciones, es un recordatorio oportuno de que nuestra área de riesgo digital se está expandiendo, y están en la pole position para marcar la diferencia si se les da las herramientas y el conocimiento para compartir la responsabilidad de las mejores prácticas de seguridad.
¿Es seguro descargar la aplicación?
Esta es la cuestión: para mí, un tipo de seguridad, he llegado a la conclusión de que los beneficios de la aplicación superan los problemas. No es ideal que las vulnerabilidades mencionadas estén -o hayan estado- presentes en este software, pero las implicaciones de que se conviertan en armas son los peores escenarios. Por el momento, el rastreo de contactos es un componente vital para ayudar a nuestros héroes médicos de todo el mundo a controlar la propagación, frenar el flujo de ingresos hospitalarios y mantenernos lo más seguros posible.
Sirve para poner de manifiesto que nos queda un largo camino por recorrer en lo que respecta a la aplicación de las mejores prácticas de seguridad por defecto en la creación de software, y es importante que el público disponga de la información necesaria para tomar decisiones informadas.
Mi familia y yo seguiremos usándolo, aunque seguimos atentos a estar al día con los parches de Android, como deberíamos hacer todos.
La idea de las aplicaciones de rastreo de contactos es sólida. Esta tecnología, cuando funcione bien, garantizará que se descubran rápidamente los puntos conflictivos y que se realicen pruebas exhaustivas, dos componentes esenciales para luchar contra la propagación de un virus contagioso.
Director General, Presidente y Cofundador
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostración
Director General, Presidente y Cofundador
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Una versión de este artículo apareció originalmente en DevOps Digest. Se ha actualizado y sindicado aquí.
A estas alturas, estoy seguro de que todos estamos un poco cansados de la frase "en estos tiempos sin precedentes"... pero, realmente son tiempos sin precedentes. ¿Quién habría pensado a finales del año pasado que este año estaríamos corriendo para derrotar una pandemia destructiva a nivel mundial, y lanzando todo lo que pudiéramos a ella? Habría parecido casi irrisorio, y más propio de una nueva serie de ciencia ficción de Netflix que de nuestra realidad mundial. El COVID-19 ha transformado por completo nuestra vida social, nuestra economía y nuestra seguridad laboral, por no hablar de las prioridades políticas.
Uno de los contraataques a COVID-19 ha sido la tecnología, y muchos países han puesto en marcha aplicaciones de rastreo de contactos. Australia cuenta con COVIDSafe, basada en la aplicación TraceTogether de Singapur. Hong Kong, Taiwán, China, Corea del Sur, Israel y Alemania han implementado, o están en vías de hacerlo, la tecnología de rastreo de contactos. El Reino Unido ha sido la región más afectada de Europa, con decenas de miles de muertes relacionadas con el virus y una elevada tasa de infección. El lanzamiento de su aplicación es inminente. Los Estados Unidos -también muy afectados por la trágica pérdida de vidas de muchas personas- también han puesto en marcha la tecnología, pero su enfoque de rastreo de contactos estado por estado hace que su situación sea bastante compleja.
Con la excepción de los países más controlados por el Estado, como China y Taiwán, el uso de estas aplicaciones es voluntario, lo que obliga a los ciudadanos a descargar y utilizar la tecnología por voluntad propia. Algunos índices de adopción son más exitosos que otros; por ejemplo, la aplicación TraceTogether de Singapur tuvo un índice de adopción del 25%, lo que la hace bastante ineficaz para su objetivo.
La idea de las aplicaciones de rastreo de contactos es sólida. Esta tecnología, cuando funcione bien, garantizará que se descubran rápidamente los focos de infección y que se realicen pruebas exhaustivas, dos componentes esenciales para luchar contra la propagación de un virus contagioso. Sin embargo, las palabras "gobierno" y "rastreo" no suenan precisamente muy atrayentes, y es natural que la gente sea cautelosa acerca de lo que la descarga de algo así significaría realmente para ellos.
Entonces, ¿cuáles son las principales preocupaciones de los usuarios? Si nos guiamos por los comentarios en línea, algunos de estos recelos son:
- Falta de confianza en que el gobierno utilice los datos recogidos de forma responsable
- Temor por la protección de los datos personales frente a los ciberataques
- Falta de claridad sobre qué datos se recogen realmente, dónde se almacenan y con quién.
- ... y para los desarrolladores/geeks entre nosotros, la solidez de las aplicaciones.
Siempre es un poco preocupante cuando las aplicaciones se construyen rápidamente, y estas aplicaciones de rastreo de contactos tienen que desplegarse en un tiempo récord. Es una pesadilla para los desarrolladores, la gente de seguridad y las agencias gubernamentales.
Entonces, ¿es la desconfianza una reacción válida? ¿Y qué deberíamos considerar prioritario en nuestra assessment de aplicaciones de rastreo de contactos COVID-19 y la seguridad del usuario final? Como experto en seguridad, mi instinto es, por supuesto, profundizar en los elementos de ciberseguridad del programa, es decir, cómo de segura es la base de código de una aplicación que todos (con la mejor de las intenciones) somos empujados a instalar.
Muchas de las aplicaciones son copias unas de otras (y heredan los mismos problemas).
La aplicación COVIDSafe de Australia se basa esencialmente en OpenTrace, al igual que el programa TraceTogether de Singapur. El problema, sin embargo, es que TraceTogether ha tenido una serie de problemas y una escasa aceptación, ya que sólo el 25% de la población ha optado por utilizarlo, muy por debajo del 75% necesario para que sea eficaz. Ha habido quejas sobre su rendimiento general, especialmente en iOS, incluyendo el agotamiento muy rápido de las baterías. COVIDSafe tiene un posible fallo de UX en su versión para iOS, ya que requiere que el teléfono esté desbloqueado y la aplicación se ejecute en primer plano para registrar todos los datos correctamente.
Si bien los problemas anteriores son molestos, la preocupación más acuciante es que las vulnerabilidades de Bluetooth son abundantes y ni TraceTogether, ni la australiana COVIDSafe, son inmunes a ellas. El 14 de mayo, el NIST informó de que COVIDSafe tenía una vulnerabilidad de denegación de servicio que permitía a un atacante bloquear la aplicación de forma remota si se encontraba en la distancia del apretón de manos Bluetooth. Esto permitiría a un ataque organizado interrumpir el rastreo de contactos en áreas densamente pobladas, donde es más útil - algo explicado en detalle por el investigador de seguridad Richard Nelson. Se sabe que afecta a COVIDSafe, TraceTogether, ProteGO de Polonia y ABTraceTogether de Canadá - todos heredan el problema de la llamada manuData.subdata defectuosa de OpenTrace.
También hay otros problemas de privacidad y seguridad relacionados con la funcionalidad Bluetooth en general. El hecho de que esta tecnología se utilice para rastrear el movimiento humano a través de una identificación única (TempID) y recopilar datos significativos supondrá inevitablemente un gran interés por parte de los atacantes para comprobar los puntos débiles, momento en el que habrá que analizar exactamente qué se recopila, dónde se almacena y durante cuánto tiempo.
Algunas aplicaciones ya están mostrando signos de errores simples que causan debilidades complejas.
El ingeniero de software australiano Geoffrey Huntley ha estado estudiando el código fuente de COVIDSafe y, lamentablemente, hay problemas que no se están poniendo de manifiesto para nosotros, los usuarios finales.
Un ejemplo crítico era un error lógico que violaba la privacidad y que permitía a un atacante realizar un seguimiento a largo plazo de los dispositivos; algo que supone un enorme riesgo para los usuarios vulnerables, por no mencionar que contraviene la política de privacidad de la propia aplicación.
Es importante señalar que estas vulnerabilidades lógicas han sido parcheadas a partir del 14 de mayo, pero la cuestión más apremiante es que esto se dejó sin parchear, en la naturaleza, durante 17 días después de que el Sr. Huntley informó. Él y otros miembros de la comunidad de seguridad impresionante están rastreando CVEs relacionados con la aplicación COVIDSafe aquí.
Una cosa que Huntley señala, después del parche, es que incluso la solución muestra signos de, bueno, incompetencia. En su registro público, señala que el parche implicaba añadir lógica en lugar de simplemente borrar una caché defectuosa, siendo esta última una solución mucho más sólida. Ambos funcionan, pero la solución en vivo carece de delicadeza - una preocupación con una aplicación tan importante.
Aunque tenemos miembros diligentes de la sociedad que utilizan su propio tiempo y experiencia para examinar el código fuente y poner de relieve los problemas, su trabajo es mucho más difícil que si el código fuera abierto en primer lugar. Tal y como están las cosas, 28 aplicaciones siguen estando cerradas a los investigadores de seguridad.
La codificación segura sigue haciéndonos tropezar en la línea de meta.
Aunque ciertamente puedo simpatizar con los desarrolladores sobrecargados de trabajo -así como con la situación altamente inusual de tener que producir una aplicación que salve vidas en medio de una pandemia- lo anterior debería resaltar que unas simples vulnerabilidades en lo que es esencialmente una base de código comunal podrían significar problemas significativos para millones de usuarios.
Me gustaría pensar que la mayoría de la gente quiere ser buenos ciudadanos, apoyar la aplicación y dar a todos la mejor oportunidad posible de rastrear los contactos y controlar los brotes de este horrible virus. Yo también apoyo la tecnología que puede ayudar a conseguirlo, pero en muchos sentidos, esto ha desvelado la falta general de principios de codificación segura inherente a los desarrolladores de todo el mundo.
En cualquier situación en la que el software tiene que ser escrito rápidamente, los errores no son precisamente inesperados. Sin embargo, las vulnerabilidades de seguridad más comunes, como los fallos lógicos, las malas configuraciones y los errores de inyección de código, deberían poder evitarse a medida que se escribe el código, y no después de que los sombreros blancos voluntarios lo desmenucen.
Y no es culpa de los desarrolladores, por cierto. Salen de su educación terciaria con pocas habilidades en la codificación segura, y en sus carreras, sus KPIs casi siempre se relacionan con la funcionalidad de las características y la velocidad de entrega - la parte de la seguridad es para alguien más para tratar una vez que han terminado. Tenemos que llegar a un estado final de codificación segura a velocidad, y aunque ahora no es el momento de hacer cambios culturales sísmicos en los departamentos que construyen estas aplicaciones, es un recordatorio oportuno de que nuestra área de riesgo digital se está expandiendo, y están en la pole position para marcar la diferencia si se les da las herramientas y el conocimiento para compartir la responsabilidad de las mejores prácticas de seguridad.
¿Es seguro descargar la aplicación?
Esta es la cuestión: para mí, un tipo de seguridad, he llegado a la conclusión de que los beneficios de la aplicación superan los problemas. No es ideal que las vulnerabilidades mencionadas estén -o hayan estado- presentes en este software, pero las implicaciones de que se conviertan en armas son los peores escenarios. Por el momento, el rastreo de contactos es un componente vital para ayudar a nuestros héroes médicos de todo el mundo a controlar la propagación, frenar el flujo de ingresos hospitalarios y mantenernos lo más seguros posible.
Sirve para poner de manifiesto que nos queda un largo camino por recorrer en lo que respecta a la aplicación de las mejores prácticas de seguridad por defecto en la creación de software, y es importante que el público disponga de la información necesaria para tomar decisiones informadas.
Mi familia y yo seguiremos usándolo, aunque seguimos atentos a estar al día con los parches de Android, como deberíamos hacer todos.
Una versión de este artículo apareció originalmente en DevOps Digest. Se ha actualizado y sindicado aquí.
A estas alturas, estoy seguro de que todos estamos un poco cansados de la frase "en estos tiempos sin precedentes"... pero, realmente son tiempos sin precedentes. ¿Quién habría pensado a finales del año pasado que este año estaríamos corriendo para derrotar una pandemia destructiva a nivel mundial, y lanzando todo lo que pudiéramos a ella? Habría parecido casi irrisorio, y más propio de una nueva serie de ciencia ficción de Netflix que de nuestra realidad mundial. El COVID-19 ha transformado por completo nuestra vida social, nuestra economía y nuestra seguridad laboral, por no hablar de las prioridades políticas.
Uno de los contraataques a COVID-19 ha sido la tecnología, y muchos países han puesto en marcha aplicaciones de rastreo de contactos. Australia cuenta con COVIDSafe, basada en la aplicación TraceTogether de Singapur. Hong Kong, Taiwán, China, Corea del Sur, Israel y Alemania han implementado, o están en vías de hacerlo, la tecnología de rastreo de contactos. El Reino Unido ha sido la región más afectada de Europa, con decenas de miles de muertes relacionadas con el virus y una elevada tasa de infección. El lanzamiento de su aplicación es inminente. Los Estados Unidos -también muy afectados por la trágica pérdida de vidas de muchas personas- también han puesto en marcha la tecnología, pero su enfoque de rastreo de contactos estado por estado hace que su situación sea bastante compleja.
Con la excepción de los países más controlados por el Estado, como China y Taiwán, el uso de estas aplicaciones es voluntario, lo que obliga a los ciudadanos a descargar y utilizar la tecnología por voluntad propia. Algunos índices de adopción son más exitosos que otros; por ejemplo, la aplicación TraceTogether de Singapur tuvo un índice de adopción del 25%, lo que la hace bastante ineficaz para su objetivo.
La idea de las aplicaciones de rastreo de contactos es sólida. Esta tecnología, cuando funcione bien, garantizará que se descubran rápidamente los focos de infección y que se realicen pruebas exhaustivas, dos componentes esenciales para luchar contra la propagación de un virus contagioso. Sin embargo, las palabras "gobierno" y "rastreo" no suenan precisamente muy atrayentes, y es natural que la gente sea cautelosa acerca de lo que la descarga de algo así significaría realmente para ellos.
Entonces, ¿cuáles son las principales preocupaciones de los usuarios? Si nos guiamos por los comentarios en línea, algunos de estos recelos son:
- Falta de confianza en que el gobierno utilice los datos recogidos de forma responsable
- Temor por la protección de los datos personales frente a los ciberataques
- Falta de claridad sobre qué datos se recogen realmente, dónde se almacenan y con quién.
- ... y para los desarrolladores/geeks entre nosotros, la solidez de las aplicaciones.
Siempre es un poco preocupante cuando las aplicaciones se construyen rápidamente, y estas aplicaciones de rastreo de contactos tienen que desplegarse en un tiempo récord. Es una pesadilla para los desarrolladores, la gente de seguridad y las agencias gubernamentales.
Entonces, ¿es la desconfianza una reacción válida? ¿Y qué deberíamos considerar prioritario en nuestra assessment de aplicaciones de rastreo de contactos COVID-19 y la seguridad del usuario final? Como experto en seguridad, mi instinto es, por supuesto, profundizar en los elementos de ciberseguridad del programa, es decir, cómo de segura es la base de código de una aplicación que todos (con la mejor de las intenciones) somos empujados a instalar.
Muchas de las aplicaciones son copias unas de otras (y heredan los mismos problemas).
La aplicación COVIDSafe de Australia se basa esencialmente en OpenTrace, al igual que el programa TraceTogether de Singapur. El problema, sin embargo, es que TraceTogether ha tenido una serie de problemas y una escasa aceptación, ya que sólo el 25% de la población ha optado por utilizarlo, muy por debajo del 75% necesario para que sea eficaz. Ha habido quejas sobre su rendimiento general, especialmente en iOS, incluyendo el agotamiento muy rápido de las baterías. COVIDSafe tiene un posible fallo de UX en su versión para iOS, ya que requiere que el teléfono esté desbloqueado y la aplicación se ejecute en primer plano para registrar todos los datos correctamente.
Si bien los problemas anteriores son molestos, la preocupación más acuciante es que las vulnerabilidades de Bluetooth son abundantes y ni TraceTogether, ni la australiana COVIDSafe, son inmunes a ellas. El 14 de mayo, el NIST informó de que COVIDSafe tenía una vulnerabilidad de denegación de servicio que permitía a un atacante bloquear la aplicación de forma remota si se encontraba en la distancia del apretón de manos Bluetooth. Esto permitiría a un ataque organizado interrumpir el rastreo de contactos en áreas densamente pobladas, donde es más útil - algo explicado en detalle por el investigador de seguridad Richard Nelson. Se sabe que afecta a COVIDSafe, TraceTogether, ProteGO de Polonia y ABTraceTogether de Canadá - todos heredan el problema de la llamada manuData.subdata defectuosa de OpenTrace.
También hay otros problemas de privacidad y seguridad relacionados con la funcionalidad Bluetooth en general. El hecho de que esta tecnología se utilice para rastrear el movimiento humano a través de una identificación única (TempID) y recopilar datos significativos supondrá inevitablemente un gran interés por parte de los atacantes para comprobar los puntos débiles, momento en el que habrá que analizar exactamente qué se recopila, dónde se almacena y durante cuánto tiempo.
Algunas aplicaciones ya están mostrando signos de errores simples que causan debilidades complejas.
El ingeniero de software australiano Geoffrey Huntley ha estado estudiando el código fuente de COVIDSafe y, lamentablemente, hay problemas que no se están poniendo de manifiesto para nosotros, los usuarios finales.
Un ejemplo crítico era un error lógico que violaba la privacidad y que permitía a un atacante realizar un seguimiento a largo plazo de los dispositivos; algo que supone un enorme riesgo para los usuarios vulnerables, por no mencionar que contraviene la política de privacidad de la propia aplicación.
Es importante señalar que estas vulnerabilidades lógicas han sido parcheadas a partir del 14 de mayo, pero la cuestión más apremiante es que esto se dejó sin parchear, en la naturaleza, durante 17 días después de que el Sr. Huntley informó. Él y otros miembros de la comunidad de seguridad impresionante están rastreando CVEs relacionados con la aplicación COVIDSafe aquí.
Una cosa que Huntley señala, después del parche, es que incluso la solución muestra signos de, bueno, incompetencia. En su registro público, señala que el parche implicaba añadir lógica en lugar de simplemente borrar una caché defectuosa, siendo esta última una solución mucho más sólida. Ambos funcionan, pero la solución en vivo carece de delicadeza - una preocupación con una aplicación tan importante.
Aunque tenemos miembros diligentes de la sociedad que utilizan su propio tiempo y experiencia para examinar el código fuente y poner de relieve los problemas, su trabajo es mucho más difícil que si el código fuera abierto en primer lugar. Tal y como están las cosas, 28 aplicaciones siguen estando cerradas a los investigadores de seguridad.
La codificación segura sigue haciéndonos tropezar en la línea de meta.
Aunque ciertamente puedo simpatizar con los desarrolladores sobrecargados de trabajo -así como con la situación altamente inusual de tener que producir una aplicación que salve vidas en medio de una pandemia- lo anterior debería resaltar que unas simples vulnerabilidades en lo que es esencialmente una base de código comunal podrían significar problemas significativos para millones de usuarios.
Me gustaría pensar que la mayoría de la gente quiere ser buenos ciudadanos, apoyar la aplicación y dar a todos la mejor oportunidad posible de rastrear los contactos y controlar los brotes de este horrible virus. Yo también apoyo la tecnología que puede ayudar a conseguirlo, pero en muchos sentidos, esto ha desvelado la falta general de principios de codificación segura inherente a los desarrolladores de todo el mundo.
En cualquier situación en la que el software tiene que ser escrito rápidamente, los errores no son precisamente inesperados. Sin embargo, las vulnerabilidades de seguridad más comunes, como los fallos lógicos, las malas configuraciones y los errores de inyección de código, deberían poder evitarse a medida que se escribe el código, y no después de que los sombreros blancos voluntarios lo desmenucen.
Y no es culpa de los desarrolladores, por cierto. Salen de su educación terciaria con pocas habilidades en la codificación segura, y en sus carreras, sus KPIs casi siempre se relacionan con la funcionalidad de las características y la velocidad de entrega - la parte de la seguridad es para alguien más para tratar una vez que han terminado. Tenemos que llegar a un estado final de codificación segura a velocidad, y aunque ahora no es el momento de hacer cambios culturales sísmicos en los departamentos que construyen estas aplicaciones, es un recordatorio oportuno de que nuestra área de riesgo digital se está expandiendo, y están en la pole position para marcar la diferencia si se les da las herramientas y el conocimiento para compartir la responsabilidad de las mejores prácticas de seguridad.
¿Es seguro descargar la aplicación?
Esta es la cuestión: para mí, un tipo de seguridad, he llegado a la conclusión de que los beneficios de la aplicación superan los problemas. No es ideal que las vulnerabilidades mencionadas estén -o hayan estado- presentes en este software, pero las implicaciones de que se conviertan en armas son los peores escenarios. Por el momento, el rastreo de contactos es un componente vital para ayudar a nuestros héroes médicos de todo el mundo a controlar la propagación, frenar el flujo de ingresos hospitalarios y mantenernos lo más seguros posible.
Sirve para poner de manifiesto que nos queda un largo camino por recorrer en lo que respecta a la aplicación de las mejores prácticas de seguridad por defecto en la creación de software, y es importante que el público disponga de la información necesaria para tomar decisiones informadas.
Mi familia y yo seguiremos usándolo, aunque seguimos atentos a estar al día con los parches de Android, como deberíamos hacer todos.
Haga clic en el siguiente enlace y descargue el PDF de este recurso.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Ver el informeReservar una demostración
Director General, Presidente y Cofundador
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Una versión de este artículo apareció originalmente en DevOps Digest. Se ha actualizado y sindicado aquí.
A estas alturas, estoy seguro de que todos estamos un poco cansados de la frase "en estos tiempos sin precedentes"... pero, realmente son tiempos sin precedentes. ¿Quién habría pensado a finales del año pasado que este año estaríamos corriendo para derrotar una pandemia destructiva a nivel mundial, y lanzando todo lo que pudiéramos a ella? Habría parecido casi irrisorio, y más propio de una nueva serie de ciencia ficción de Netflix que de nuestra realidad mundial. El COVID-19 ha transformado por completo nuestra vida social, nuestra economía y nuestra seguridad laboral, por no hablar de las prioridades políticas.
Uno de los contraataques a COVID-19 ha sido la tecnología, y muchos países han puesto en marcha aplicaciones de rastreo de contactos. Australia cuenta con COVIDSafe, basada en la aplicación TraceTogether de Singapur. Hong Kong, Taiwán, China, Corea del Sur, Israel y Alemania han implementado, o están en vías de hacerlo, la tecnología de rastreo de contactos. El Reino Unido ha sido la región más afectada de Europa, con decenas de miles de muertes relacionadas con el virus y una elevada tasa de infección. El lanzamiento de su aplicación es inminente. Los Estados Unidos -también muy afectados por la trágica pérdida de vidas de muchas personas- también han puesto en marcha la tecnología, pero su enfoque de rastreo de contactos estado por estado hace que su situación sea bastante compleja.
Con la excepción de los países más controlados por el Estado, como China y Taiwán, el uso de estas aplicaciones es voluntario, lo que obliga a los ciudadanos a descargar y utilizar la tecnología por voluntad propia. Algunos índices de adopción son más exitosos que otros; por ejemplo, la aplicación TraceTogether de Singapur tuvo un índice de adopción del 25%, lo que la hace bastante ineficaz para su objetivo.
La idea de las aplicaciones de rastreo de contactos es sólida. Esta tecnología, cuando funcione bien, garantizará que se descubran rápidamente los focos de infección y que se realicen pruebas exhaustivas, dos componentes esenciales para luchar contra la propagación de un virus contagioso. Sin embargo, las palabras "gobierno" y "rastreo" no suenan precisamente muy atrayentes, y es natural que la gente sea cautelosa acerca de lo que la descarga de algo así significaría realmente para ellos.
Entonces, ¿cuáles son las principales preocupaciones de los usuarios? Si nos guiamos por los comentarios en línea, algunos de estos recelos son:
- Falta de confianza en que el gobierno utilice los datos recogidos de forma responsable
- Temor por la protección de los datos personales frente a los ciberataques
- Falta de claridad sobre qué datos se recogen realmente, dónde se almacenan y con quién.
- ... y para los desarrolladores/geeks entre nosotros, la solidez de las aplicaciones.
Siempre es un poco preocupante cuando las aplicaciones se construyen rápidamente, y estas aplicaciones de rastreo de contactos tienen que desplegarse en un tiempo récord. Es una pesadilla para los desarrolladores, la gente de seguridad y las agencias gubernamentales.
Entonces, ¿es la desconfianza una reacción válida? ¿Y qué deberíamos considerar prioritario en nuestra assessment de aplicaciones de rastreo de contactos COVID-19 y la seguridad del usuario final? Como experto en seguridad, mi instinto es, por supuesto, profundizar en los elementos de ciberseguridad del programa, es decir, cómo de segura es la base de código de una aplicación que todos (con la mejor de las intenciones) somos empujados a instalar.
Muchas de las aplicaciones son copias unas de otras (y heredan los mismos problemas).
La aplicación COVIDSafe de Australia se basa esencialmente en OpenTrace, al igual que el programa TraceTogether de Singapur. El problema, sin embargo, es que TraceTogether ha tenido una serie de problemas y una escasa aceptación, ya que sólo el 25% de la población ha optado por utilizarlo, muy por debajo del 75% necesario para que sea eficaz. Ha habido quejas sobre su rendimiento general, especialmente en iOS, incluyendo el agotamiento muy rápido de las baterías. COVIDSafe tiene un posible fallo de UX en su versión para iOS, ya que requiere que el teléfono esté desbloqueado y la aplicación se ejecute en primer plano para registrar todos los datos correctamente.
Si bien los problemas anteriores son molestos, la preocupación más acuciante es que las vulnerabilidades de Bluetooth son abundantes y ni TraceTogether, ni la australiana COVIDSafe, son inmunes a ellas. El 14 de mayo, el NIST informó de que COVIDSafe tenía una vulnerabilidad de denegación de servicio que permitía a un atacante bloquear la aplicación de forma remota si se encontraba en la distancia del apretón de manos Bluetooth. Esto permitiría a un ataque organizado interrumpir el rastreo de contactos en áreas densamente pobladas, donde es más útil - algo explicado en detalle por el investigador de seguridad Richard Nelson. Se sabe que afecta a COVIDSafe, TraceTogether, ProteGO de Polonia y ABTraceTogether de Canadá - todos heredan el problema de la llamada manuData.subdata defectuosa de OpenTrace.
También hay otros problemas de privacidad y seguridad relacionados con la funcionalidad Bluetooth en general. El hecho de que esta tecnología se utilice para rastrear el movimiento humano a través de una identificación única (TempID) y recopilar datos significativos supondrá inevitablemente un gran interés por parte de los atacantes para comprobar los puntos débiles, momento en el que habrá que analizar exactamente qué se recopila, dónde se almacena y durante cuánto tiempo.
Algunas aplicaciones ya están mostrando signos de errores simples que causan debilidades complejas.
El ingeniero de software australiano Geoffrey Huntley ha estado estudiando el código fuente de COVIDSafe y, lamentablemente, hay problemas que no se están poniendo de manifiesto para nosotros, los usuarios finales.
Un ejemplo crítico era un error lógico que violaba la privacidad y que permitía a un atacante realizar un seguimiento a largo plazo de los dispositivos; algo que supone un enorme riesgo para los usuarios vulnerables, por no mencionar que contraviene la política de privacidad de la propia aplicación.
Es importante señalar que estas vulnerabilidades lógicas han sido parcheadas a partir del 14 de mayo, pero la cuestión más apremiante es que esto se dejó sin parchear, en la naturaleza, durante 17 días después de que el Sr. Huntley informó. Él y otros miembros de la comunidad de seguridad impresionante están rastreando CVEs relacionados con la aplicación COVIDSafe aquí.
Una cosa que Huntley señala, después del parche, es que incluso la solución muestra signos de, bueno, incompetencia. En su registro público, señala que el parche implicaba añadir lógica en lugar de simplemente borrar una caché defectuosa, siendo esta última una solución mucho más sólida. Ambos funcionan, pero la solución en vivo carece de delicadeza - una preocupación con una aplicación tan importante.
Aunque tenemos miembros diligentes de la sociedad que utilizan su propio tiempo y experiencia para examinar el código fuente y poner de relieve los problemas, su trabajo es mucho más difícil que si el código fuera abierto en primer lugar. Tal y como están las cosas, 28 aplicaciones siguen estando cerradas a los investigadores de seguridad.
La codificación segura sigue haciéndonos tropezar en la línea de meta.
Aunque ciertamente puedo simpatizar con los desarrolladores sobrecargados de trabajo -así como con la situación altamente inusual de tener que producir una aplicación que salve vidas en medio de una pandemia- lo anterior debería resaltar que unas simples vulnerabilidades en lo que es esencialmente una base de código comunal podrían significar problemas significativos para millones de usuarios.
Me gustaría pensar que la mayoría de la gente quiere ser buenos ciudadanos, apoyar la aplicación y dar a todos la mejor oportunidad posible de rastrear los contactos y controlar los brotes de este horrible virus. Yo también apoyo la tecnología que puede ayudar a conseguirlo, pero en muchos sentidos, esto ha desvelado la falta general de principios de codificación segura inherente a los desarrolladores de todo el mundo.
En cualquier situación en la que el software tiene que ser escrito rápidamente, los errores no son precisamente inesperados. Sin embargo, las vulnerabilidades de seguridad más comunes, como los fallos lógicos, las malas configuraciones y los errores de inyección de código, deberían poder evitarse a medida que se escribe el código, y no después de que los sombreros blancos voluntarios lo desmenucen.
Y no es culpa de los desarrolladores, por cierto. Salen de su educación terciaria con pocas habilidades en la codificación segura, y en sus carreras, sus KPIs casi siempre se relacionan con la funcionalidad de las características y la velocidad de entrega - la parte de la seguridad es para alguien más para tratar una vez que han terminado. Tenemos que llegar a un estado final de codificación segura a velocidad, y aunque ahora no es el momento de hacer cambios culturales sísmicos en los departamentos que construyen estas aplicaciones, es un recordatorio oportuno de que nuestra área de riesgo digital se está expandiendo, y están en la pole position para marcar la diferencia si se les da las herramientas y el conocimiento para compartir la responsabilidad de las mejores prácticas de seguridad.
¿Es seguro descargar la aplicación?
Esta es la cuestión: para mí, un tipo de seguridad, he llegado a la conclusión de que los beneficios de la aplicación superan los problemas. No es ideal que las vulnerabilidades mencionadas estén -o hayan estado- presentes en este software, pero las implicaciones de que se conviertan en armas son los peores escenarios. Por el momento, el rastreo de contactos es un componente vital para ayudar a nuestros héroes médicos de todo el mundo a controlar la propagación, frenar el flujo de ingresos hospitalarios y mantenernos lo más seguros posible.
Sirve para poner de manifiesto que nos queda un largo camino por recorrer en lo que respecta a la aplicación de las mejores prácticas de seguridad por defecto en la creación de software, y es importante que el público disponga de la información necesaria para tomar decisiones informadas.
Mi familia y yo seguiremos usándolo, aunque seguimos atentos a estar al día con los parches de Android, como deberíamos hacer todos.
Índice
Director General, Presidente y Cofundador
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostraciónDescargarRecursos para empezar
Servicios profesionales - Acelerar con experiencia
El equipo de servicios de estrategia de programas (PSS) de Secure Code Warriorle ayuda a crear, mejorar y optimizar su programa de codificación segura. Tanto si empieza de cero como si está perfeccionando su enfoque, nuestros expertos le proporcionarán orientación personalizada.
Temas y contenidos de la formación sobre código seguro
Nuestro contenido, líder en el sector, evoluciona constantemente para adaptarse al cambiante panorama del desarrollo de software teniendo en cuenta su función. Temas que cubren todo, desde IA a XQuery Injection, ofrecidos para una variedad de roles desde Arquitectos e Ingenieros a Product Managers y QA. Eche un vistazo a lo que ofrece nuestro catálogo de contenidos por tema y función.
Búsqueda: Aprendizaje líder en la industria para mantener a los desarrolladores por delante mitigando el riesgo.
Quests es una learning platform que ayuda a los desarrolladores a mitigar los riesgos de seguridad del software mediante la mejora de sus habilidades de codificación segura. Con rutas de aprendizaje curadas, desafíos prácticos y actividades interactivas, capacita a los desarrolladores para identificar y prevenir vulnerabilidades.
Recursos para empezar
Inyección indirecta y riesgos de seguridad de las herramientas de codificación agéntica
Cómo se engañó a un agente de codificación para que escribiera código propenso a inyecciones SQL, instalara herramientas de shell y tal vez incluso acechara a su usuario.
La Década de los Defensores: Secure Code Warrior Cumple Diez Años
Secure Code Warriorha permanecido unido, dirigiendo el barco a través de cada lección, triunfo y contratiempo durante toda una década. Estamos creciendo y listos para afrontar nuestro próximo capítulo, SCW 2.0, como líderes en gestión de riesgos para desarrolladores.
10 predicciones clave: Secure Code Warrior sobre la influencia de la IA y el diseño seguro en 2025
Las organizaciones se enfrentan a decisiones difíciles sobre el uso de la IA para apoyar la productividad a largo plazo, la sostenibilidad y el retorno de la inversión en seguridad. En los últimos años nos ha quedado claro que la IA nunca sustituirá por completo el papel del desarrollador. Desde las asociaciones entre IA y desarrolladores hasta las crecientes presiones (y confusión) en torno a las expectativas de seguridad por diseño, echemos un vistazo más de cerca a lo que podemos esperar durante el próximo año.
Codificación orientada al desarrollador.
Con seguridad.
Póngase en contacto con nosotros hoy mismo y haga de la seguridad del software una parte intrínseca de su proceso de desarrollo.
