En un intento por sofocar una controversia que ha provocado la ira de los piratas informáticos de sombrero blanco, el fabricante de la plataforma de juegos en línea Steam dijo el jueves que cometió un error cuando rechazó a un investigador que recientemente informó sobre dos vulnerabilidades separadas.
En su comunicado, Valve Corporation hace referencia a HackerOne, el servicio de informes que ayuda a miles de empresas a recibir y responder a vulnerabilidades en su software o hardware. La compañía también escribe:
También somos conscientes de que el investigador que descubrió los errores fue rechazado incorrectamente a través de nuestro programa de recompensas por errores HackerOne, donde su informe se clasificó como fuera del alcance. Esto fue un error.
Las reglas de nuestro programa HackerOne estaban destinadas únicamente a excluir los informes de que Steam recibió instrucciones para ejecutar malware previamente instalado en la máquina de un usuario como ese usuario local. En cambio, la mala interpretación de las reglas también condujo a la exclusión de un ataque más serio que también realizó una escalada de privilegios locales a través de Steam.
Hemos actualizado las reglas de nuestro programa HackerOne para indicar explícitamente que estos problemas están dentro del alcance y deben informarse. En los últimos dos años, hemos colaborado y recompensado a 263 investigadores de seguridad en la comunidad que nos ayudaron a identificar y corregir aproximadamente 500 problemas de seguridad, pagando más de $675,000 en recompensas. Esperamos continuar trabajando con la comunidad de seguridad para mejorar la seguridad de nuestros productos a través del programa HackerOne.
En cuanto a los investigadores específicos, estamos revisando los detalles de cada situación para determinar las acciones apropiadas. No vamos a discutir los detalles de cada situación o el estado de sus cuentas en este momento.
Las nuevas reglas del programa HackerOne de Valve establecen específicamente que “cualquier caso que permita que el malware o el software comprometido realice una escalada de privilegios a través de Steam, sin proporcionar credenciales administrativas o confirmar un diálogo UAC, está dentro del alcance. Cualquier modificación no autorizada del Servicio de Cliente de Steam privilegiado también está dentro del alcance”.
Pateando el nido de avispas
Vasili Kravets
La declaración y el cambio de política de Valve se produjeron dos días después de que el investigador de seguridad Vasily Kravets, un investigador independiente de Moscú, recibiera un correo electrónico diciéndole que el equipo de seguridad de Valve ya no recibiría sus informes de vulnerabilidad a través del servicio de informe de errores HackerOne. Valve rechazó a Kravets después de que informara sobre una vulnerabilidad de Steam que permitía a los piratas informáticos que ya tenían control sobre una computadora vulnerable excavar en partes privilegiadas de un sistema operativo. Valve inicialmente le dijo a Kravets que tales vulnerabilidades estaban fuera del alcance y no dio ninguna indicación de que la que informó Kravets se solucionaría.
La respuesta de Valve irritó a los piratas informáticos y a los profesionales de la seguridad porque las llamadas vulnerabilidades de escalada de privilegios son algo que Google, Microsoft y los desarrolladores maduros de código abierto corrigen de manera rutinaria y fácil en sus productos. La afirmación de Valve de que una falla demostrada de este tipo no era una vulnerabilidad legítima iba en contra de las normas de seguridad de larga data. A medida que aumentaban las críticas, Valve emitió discretamente un parche, pero los investigadores descubrieron que podía pasarse por alto. Para empeorar las cosas, Kravets reveló públicamente el martes una nueva vulnerabilidad de escalada de privilegios en Steam. La declaración del jueves de Valve dijo que ambas vulnerabilidades informadas por Kravets ahora se han solucionado.
Otro investigador es cerrado
Las críticas se volvieron más febriles, y comenzaron a dirigirse cada vez más a HackerOne, después de que Matt Nelson, un segundo investigador independiente, dijo que usó el servicio de informes de vulnerabilidades en junio para revelar una de las mismas fallas de Steam que encontró Kravets. Según un intercambio Nelson publicado, un representante de HackerOne dijo que la vulnerabilidad estaba fuera del alcance para calificar para el programa de recompensas por errores de Valve. Cuando Nelson respondió que no estaba buscando dinero, sino que solo quería que el público estuviera al tanto de la vulnerabilidad, el representante de HackerOne le pidió a Nelson que «se familiarice con nuestras pautas de divulgación y se asegure de no poner a la empresa ni a usted mismo». en riesgo. https://www.hackerone.com/disclosure-guidelines”.
Esas pautas establecen específicamente: «Tenga en cuenta que no daremos su consentimiento para divulgar informes si se han marcado fuera del alcance o no aplicables, o si Valve no ha tomado una medida correctiva / mitigación específica».
El representante de HackerOne también bloqueó el hilo para que ya no se pudiera leer. Nelson le dijo a Ars que estaba sorprendido por la respuesta de HackerOne. Usando la abreviatura de acuerdo de confidencialidad, escribió en un correo electrónico:
No iría tan lejos como para llamarlo NDA, pero ciertamente estaban insinuando que podría haber repercusiones por violar la política de Valve o la política de divulgación de HackerOne. Mi reacción es que me podría importar menos. Si quieren prohibir que un investigador envíe errores de buena fe, ciertamente pueden hacerlo. No informo a través de HackerOne para ganar dinero, simplemente me pareció la forma más fácil de ponerme en contacto con ellos. Hacer que el proceso sea más difícil para aquellos que están dispuestos a reportar vulnerabilidades no hace absolutamente nada más que perjudicarlos a ellos y al público en general.
Nelson luego informó la vulnerabilidad directamente a Valve. Valve, dijo, reconoció el informe y «señaló que no debería esperar más comunicación». Nunca supo nada más de la empresa.
Cambiando la culpa
Nelson dijo que agradecía la admisión de Valve de que fue un error que Valve rechazara a Kravets y el cambio de política que hace que las vulnerabilidades de escalada de privilegios tengan alcance.
“Ciertamente puedo creer que el personal de HackerOne malinterpretó el alcance durante los esfuerzos de clasificación”, escribió Nelson. “Es alucinante para mí que la gente de HackerOne que es responsable de evaluar los informes de vulnerabilidad para una empresa tan grande como Valve no vio la importancia de la escalada de privilegios locales y simplemente escribió todo el informe debido a una mala lectura del alcance. ”
En una publicación que informa sobre la primera vulnerabilidad, Kravets también dijo que el personal de HackerOne le dijo que no tenía permitido divulgar públicamente la vulnerabilidad.
Mientras tanto, también le dijo a Ars el jueves por la mañana que aún no había recibido ninguna comunicación de Valve y que seguía bloqueado en la sección de informes de errores de Valve de HackerOne.
Vasili Kravets
Una portavoz de HackerOne le dijo a Ars:
Nuestro objetivo es comunicar explícitamente nuestras políticas y valores en todos los casos y aquí podríamos haberlo hecho mejor. La divulgación de vulnerabilidades es un proceso intrínsecamente turbio y estamos, y siempre lo hemos estado, comprometidos con la protección de los intereses de los piratas informáticos.
Nuestras pautas de divulgación enfatizan el respeto mutuo y la empatía, alentando a todos a actuar de buena fe y en beneficio del bien común.
Sigue siendo motivo de preocupación
Si bien la admisión y el cambio de política de Valve son alentadores, la prohibición de Kravets por parte de HackerOne sigue siendo una preocupación constante. HackerOne ayuda a miles de organizaciones a recibir y responder a informes de vulnerabilidad. Sus políticas tienen un gran efecto en la seguridad de los productos y dispositivos que se usan en todo el mundo, dijo Katie Moussouris, fundadora y directora ejecutiva de Luta Security, quien escribió las políticas de divulgación aquí y aquí, adoptadas por la Organización InterMarketingdecontenido de Normalización, mientras trabajaba en Microsoft.
“Silenciar al investigador sobre un problema es una violación total de las prácticas estándar de ISO, y prohibirles que informen más problemas es simplemente irresponsable para los usuarios afectados que, de otro modo, se habrían beneficiado de que estos investigadores continuaran participando e informando problemas en privado para solucionarlos. Moussouris le dijo a Ars. “Las normas de divulgación de vulnerabilidades están siendo distorsionadas por plataformas que anteponen las ganancias a las personas”.
Esta publicación se actualizó para eliminar las afirmaciones de que Valve cuestionó la vulnerabilidad en el aviso oficial de CVE.
Imagen del listado por Timothy Brown / Flickr
