Rastreo de contactos por la COVID-19: ¿Cuál es la situación de la codificación segura?
Una versión de este artículo apareció originalmente en DevOps Digest. Se ha actualizado y distribuido aquí.
En este punto, estoy seguro de que todos nos estamos cansando un poco de la frase «en estos tiempos sin precedentes»... pero, en realidad, estos son tiempos sin precedentes. ¿Quién hubiera pensado, a finales del año pasado, que correríamos para derrotar una pandemia destructiva a nivel mundial este año y que íbamos a hacer todo lo posible por ella? Habría parecido casi ridículo, y más parecido a una nueva serie de ciencia ficción de Netflix que a parte de nuestra realidad mundial. La COVID-19 ha transformado por completo nuestra vida social, nuestra economía y nuestra seguridad laboral, por no hablar de las prioridades políticas.
Uno de los contraataques contra la COVID-19 ha sido a través de la tecnología, y muchos países han lanzado aplicaciones de rastreo de contactos. Australia cuenta con CovidSafe, siguiendo el modelo de TraceTogether de Singapur. Hong Kong, Taiwán, China, Corea del Sur, Israel y Alemania tienen implementada o en camino la tecnología de rastreo de contactos. El Reino Unido ha sido la región más afectada de Europa, con decenas de miles de muertes relacionadas con el virus y una alta tasa de infección. El lanzamiento de su aplicación es inminente. Los Estados Unidos, que también están profundamente afectados, ya que muchas personas pierden la vida trágicamente, también están desplegando la tecnología, pero el enfoque estatal por estado del rastreo de contactos hace que su situación sea bastante compleja.
Con la excepción de países más controlados por el estado, como China y Taiwán, el uso de estas aplicaciones es voluntario y requiere que los ciudadanos descarguen y usen la tecnología por su propia cuenta. Algunas tasas de adopción tienen más éxito que otras; por ejemplo, la aplicación TraceTogether de Singapur tuvo una tasa de adopción del 25%, lo que la hace bastante ineficaz para el propósito deseado.
La idea detrás de las aplicaciones de rastreo de contactos es sólida. Esta tecnología, cuando funciona bien, garantizará que los puntos críticos se detecten rápidamente y que se puedan realizar pruebas exhaustivas, dos componentes esenciales para combatir la propagación de un virus contagioso. Sin embargo, las palabras «gobierno» y «rastreo» no son precisamente muy atractivas, y es natural que las personas se muestren cautelosas a la hora de pensar qué significaría para ellas descargar algo así.
Entonces, ¿cuáles son las principales preocupaciones de los usuarios? Si nos guiamos por los comentarios en línea, algunas de estas dudas son:
- Falta de confianza en el gobierno para utilizar los datos recopilados de manera responsable
- Temor sobre qué tan bien se protegerán los datos personales de los ciberataques
- Falta de claridad sobre qué datos se recopilan realmente, dónde se almacenan y con quién
- ... y para los desarrolladores y geeks que hay entre nosotros, la solidez con la que están realmente creadas las aplicaciones.
Siempre es un poco preocupante cuando las aplicaciones se crean rápidamente, y estas aplicaciones de rastreo de contactos tienen que implementarse en un tiempo récord. Es una pesadilla para los desarrolladores, el personal de seguridad y las agencias gubernamentales.
Entonces, ¿la desconfianza es una reacción válida? ¿Y qué debemos considerar prioritario en nuestra evaluación de las aplicaciones de rastreo de contactos de la COVID-19 y la seguridad de los usuarios finales? Como experto en seguridad, mi instinto es, por supuesto, profundizar en los elementos de ciberseguridad del programa, es decir, qué tan seguro es el código base de una aplicación que todos estamos intentando instalar (por la mejor de las intenciones).
Muchas de las aplicaciones son copias unas de otras (y heredan los mismos problemas).
La aplicación CovidSafe de Australia se basa esencialmente en Carrera abierta, al igual que el software TraceTogether de Singapur. Sin embargo, el problema es que TraceTogether tuvo una serie de problemas reportados y una mala aceptación, ya que solo el 25% de la población optó por registrarse como usuario, muy por debajo de Se requiere un 75% para que sea efectivo. Ha habido quejas sobre su rendimiento general, especialmente en iOS, por ejemplo, que las baterías se agotan muy rápidamente. CovidSafe tiene un posible defecto de UX en su versión de iOS, lo que requiere que el teléfono esté desbloqueado y que la aplicación se ejecute en primer plano para registrar todos los datos correctamente.
Si bien los problemas anteriores son molestos, la preocupación más apremiante es que las vulnerabilidades de Bluetooth abundan y ni TraceTogether ni la australiana COVIDSafe son inmunes a ellas. El 14 de mayo, El NIST informó que CovidSafe tenía una vulnerabilidad de denegación de servicio, lo que permite a un atacante bloquear la aplicación de forma remota si está a distancia de un apretón de manos por Bluetooth. Esto permitiría que un ataque organizado interrumpiera el rastreo de contactos en áreas densamente pobladas, donde resulta más útil: algo explicado en detalle del investigador de seguridad Richard Nelson. Se sabe que afecta a CovidSafe, TraceTogether, la polaca ProteGo y la canadiense AbtraceTogether. Todas ellas heredaron el problema de la defectuosa empresa OpenTrace Datos manuales. Subdatos llamada.
También existen otros problemas de privacidad y seguridad relacionados con la funcionalidad Bluetooth en general. El hecho de que esta tecnología se utilice para rastrear los movimientos humanos a través de un identificador único (TempID) y recopilar datos significativos aumentará inevitablemente el interés por los atacantes para detectar puntos débiles, momento en el que habrá que analizar minuciosamente qué es lo que se está recopilando, dónde se almacena y durante cuánto tiempo.
Algunas aplicaciones ya muestran signos de errores simples que causan debilidades complejas.
Ingeniero de software australiano Geoffrey Huntley ha estado estudiando el código fuente de CovidSafe y, lamentablemente, hay problemas que no necesariamente nos están destacando a nosotros, los usuarios finales.
Un ejemplo crítico fue un error lógico que violaba la privacidad y que permitiría a un atacante realizar un seguimiento a largo plazo de los dispositivos; algo que representa un enorme riesgo para los usuarios vulnerables, sin mencionar que contraviene la Política de privacidad de la propia aplicación.
Es importante tener en cuenta que estas vulnerabilidades lógicas se corrigieron el 14 de mayo, pero el problema más urgente es que se dejó sin corregir, en estado salvaje, durante 17 días después de que el Sr. Huntley lo denunciara. Él y otros miembros de la increíble comunidad de seguridad están rastreando las CVE relacionadas con la aplicación COVIDSafe aquí.
Una cosa que Huntley señala, después del parche, es que incluso la solución muestra signos de, bueno, incompetencia. En su público registro, señala que el parche consistía en añadir lógica en lugar de simplemente eliminar una caché defectuosa, siendo esta última una solución mucho más sólida. Ambas funcionan, pero la solución actual carece de precisión, lo que es un problema en una aplicación tan importante.
Aunque tenemos miembros diligentes de la sociedad que utilizan su tiempo y experiencia para analizar minuciosamente el código fuente y destacar los problemas, su trabajo se hace mucho más difícil que si el código fuera de código abierto en primer lugar. Tal como están las cosas, 28 aplicaciones siguen cerrados a los investigadores de seguridad.
La codificación segura sigue haciendo tropezar con nosotros en la línea de meta.
Si bien no cabe duda de que puedo entender el exceso de trabajo de los desarrolladores, así como la situación tan inusual de tener que crear una aplicación que salve vidas en medio de una pandemia, lo anterior debería destacar que unas cuantas vulnerabilidades simples en lo que es esencialmente una base de código comunitaria podrían significar problemas importantes para millones de usuarios.
Me gustaría pensar que la mayoría de las personas quieren ser buenos ciudadanos, apoyar la aplicación y dar a todos la mejor oportunidad posible de rastrear los contactos y controlar los brotes de este terrible virus. Yo también estoy a favor de la tecnología que puede ayudar a conseguirlo, pero, en muchos sentidos, esto ha puesto de manifiesto la falta general de principios de codificación seguros inherentes a los desarrolladores de todo el mundo.
En cualquier situación en la que el software deba escribirse rápidamente, los errores no son precisamente inesperados. Sin embargo, las vulnerabilidades de seguridad más comunes, como las fallas lógicas, los errores de configuración y los errores de inyección de código, deberían prevenirse mientras se escribe el código, no después de que voluntarios de sombrero blanco desmenucen el código base.
Y no es culpa de los desarrolladores, por cierto. Terminan sus estudios superiores con pocos conocimientos de programación segura y, a lo largo de sus carreras, sus KPI casi siempre se relacionan con la funcionalidad de las funciones y la velocidad de entrega; la parte de la seguridad la tiene que gestionar otra persona una vez que han terminado. Necesitamos llegar rápidamente a un estado final de codificación segura y, aunque ahora no es el momento de hacer cambios radicales en la cultura de los departamentos que crean estas aplicaciones, es un recordatorio oportuno de que nuestra área de riesgo digital se está expandiendo y que están en una posición privilegiada para marcar la diferencia si se les dan las herramientas y los conocimientos necesarios para compartir la responsabilidad de las mejores prácticas de seguridad.
¿Es seguro descargar la aplicación?
Esta es la cuestión: para mí, que soy un experto en seguridad, he llegado a la conclusión de que los beneficios de la aplicación superan a los problemas. No es ideal que las vulnerabilidades anteriores estén (o hayan estado) presentes en este software, pero las implicaciones de convertirlas en armas son las peores hipótesis posibles. Por el momento, el rastreo de contactos es un componente vital para ayudar a nuestros héroes de la medicina de todo el mundo a controlar la propagación, detener el flujo de ingresos hospitalarios y mantenerse unos a otros lo más seguros posible.
Sirve para resaltar que tenemos una largo mucho camino por recorrer cuando se trata de promulgar las mejores prácticas de seguridad de forma predeterminada en una compilación de software, y es importante que el público tenga la información necesaria para tomar decisiones informadas.
Mi familia y yo seguiremos usándolo, aunque permanecemos atentos para mantenernos al día con nuestros parches de Android, como todos deberíamos.
La idea detrás de las aplicaciones de rastreo de contactos es sólida. Esta tecnología, cuando funciona bien, garantizará que los puntos críticos se detecten rápidamente y que se puedan realizar pruebas exhaustivas, dos componentes esenciales para combatir la propagación de un virus contagioso.
Directeur général, président et cofondateur
Secure Code Warrior là pour aider votre organisation à protéger le code tout au long du cycle de vie du développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez administrateur AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez réserver une démonstration.
Directeur général, président et cofondateur
Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Una versión de este artículo apareció originalmente en DevOps Digest. Se ha actualizado y distribuido aquí.
En este punto, estoy seguro de que todos nos estamos cansando un poco de la frase «en estos tiempos sin precedentes»... pero, en realidad, estos son tiempos sin precedentes. ¿Quién hubiera pensado, a finales del año pasado, que correríamos para derrotar una pandemia destructiva a nivel mundial este año y que íbamos a hacer todo lo posible por ella? Habría parecido casi ridículo, y más parecido a una nueva serie de ciencia ficción de Netflix que a parte de nuestra realidad mundial. La COVID-19 ha transformado por completo nuestra vida social, nuestra economía y nuestra seguridad laboral, por no hablar de las prioridades políticas.
Uno de los contraataques contra la COVID-19 ha sido a través de la tecnología, y muchos países han lanzado aplicaciones de rastreo de contactos. Australia cuenta con CovidSafe, siguiendo el modelo de TraceTogether de Singapur. Hong Kong, Taiwán, China, Corea del Sur, Israel y Alemania tienen implementada o en camino la tecnología de rastreo de contactos. El Reino Unido ha sido la región más afectada de Europa, con decenas de miles de muertes relacionadas con el virus y una alta tasa de infección. El lanzamiento de su aplicación es inminente. Los Estados Unidos, que también están profundamente afectados, ya que muchas personas pierden la vida trágicamente, también están desplegando la tecnología, pero el enfoque estatal por estado del rastreo de contactos hace que su situación sea bastante compleja.
Con la excepción de países más controlados por el estado, como China y Taiwán, el uso de estas aplicaciones es voluntario y requiere que los ciudadanos descarguen y usen la tecnología por su propia cuenta. Algunas tasas de adopción tienen más éxito que otras; por ejemplo, la aplicación TraceTogether de Singapur tuvo una tasa de adopción del 25%, lo que la hace bastante ineficaz para el propósito deseado.
La idea detrás de las aplicaciones de rastreo de contactos es sólida. Esta tecnología, cuando funciona bien, garantizará que los puntos críticos se detecten rápidamente y que se puedan realizar pruebas exhaustivas, dos componentes esenciales para combatir la propagación de un virus contagioso. Sin embargo, las palabras «gobierno» y «rastreo» no son precisamente muy atractivas, y es natural que las personas se muestren cautelosas a la hora de pensar qué significaría para ellas descargar algo así.
Entonces, ¿cuáles son las principales preocupaciones de los usuarios? Si nos guiamos por los comentarios en línea, algunas de estas dudas son:
- Falta de confianza en el gobierno para utilizar los datos recopilados de manera responsable
- Temor sobre qué tan bien se protegerán los datos personales de los ciberataques
- Falta de claridad sobre qué datos se recopilan realmente, dónde se almacenan y con quién
- ... y para los desarrolladores y geeks que hay entre nosotros, la solidez con la que están realmente creadas las aplicaciones.
Siempre es un poco preocupante cuando las aplicaciones se crean rápidamente, y estas aplicaciones de rastreo de contactos tienen que implementarse en un tiempo récord. Es una pesadilla para los desarrolladores, el personal de seguridad y las agencias gubernamentales.
Entonces, ¿la desconfianza es una reacción válida? ¿Y qué debemos considerar prioritario en nuestra evaluación de las aplicaciones de rastreo de contactos de la COVID-19 y la seguridad de los usuarios finales? Como experto en seguridad, mi instinto es, por supuesto, profundizar en los elementos de ciberseguridad del programa, es decir, qué tan seguro es el código base de una aplicación que todos estamos intentando instalar (por la mejor de las intenciones).
Muchas de las aplicaciones son copias unas de otras (y heredan los mismos problemas).
La aplicación CovidSafe de Australia se basa esencialmente en Carrera abierta, al igual que el software TraceTogether de Singapur. Sin embargo, el problema es que TraceTogether tuvo una serie de problemas reportados y una mala aceptación, ya que solo el 25% de la población optó por registrarse como usuario, muy por debajo de Se requiere un 75% para que sea efectivo. Ha habido quejas sobre su rendimiento general, especialmente en iOS, por ejemplo, que las baterías se agotan muy rápidamente. CovidSafe tiene un posible defecto de UX en su versión de iOS, lo que requiere que el teléfono esté desbloqueado y que la aplicación se ejecute en primer plano para registrar todos los datos correctamente.
Si bien los problemas anteriores son molestos, la preocupación más apremiante es que las vulnerabilidades de Bluetooth abundan y ni TraceTogether ni la australiana COVIDSafe son inmunes a ellas. El 14 de mayo, El NIST informó que CovidSafe tenía una vulnerabilidad de denegación de servicio, lo que permite a un atacante bloquear la aplicación de forma remota si está a distancia de un apretón de manos por Bluetooth. Esto permitiría que un ataque organizado interrumpiera el rastreo de contactos en áreas densamente pobladas, donde resulta más útil: algo explicado en detalle del investigador de seguridad Richard Nelson. Se sabe que afecta a CovidSafe, TraceTogether, la polaca ProteGo y la canadiense AbtraceTogether. Todas ellas heredaron el problema de la defectuosa empresa OpenTrace Datos manuales. Subdatos llamada.
También existen otros problemas de privacidad y seguridad relacionados con la funcionalidad Bluetooth en general. El hecho de que esta tecnología se utilice para rastrear los movimientos humanos a través de un identificador único (TempID) y recopilar datos significativos aumentará inevitablemente el interés por los atacantes para detectar puntos débiles, momento en el que habrá que analizar minuciosamente qué es lo que se está recopilando, dónde se almacena y durante cuánto tiempo.
Algunas aplicaciones ya muestran signos de errores simples que causan debilidades complejas.
Ingeniero de software australiano Geoffrey Huntley ha estado estudiando el código fuente de CovidSafe y, lamentablemente, hay problemas que no necesariamente nos están destacando a nosotros, los usuarios finales.
Un ejemplo crítico fue un error lógico que violaba la privacidad y que permitiría a un atacante realizar un seguimiento a largo plazo de los dispositivos; algo que representa un enorme riesgo para los usuarios vulnerables, sin mencionar que contraviene la Política de privacidad de la propia aplicación.
Es importante tener en cuenta que estas vulnerabilidades lógicas se corrigieron el 14 de mayo, pero el problema más urgente es que se dejó sin corregir, en estado salvaje, durante 17 días después de que el Sr. Huntley lo denunciara. Él y otros miembros de la increíble comunidad de seguridad están rastreando las CVE relacionadas con la aplicación COVIDSafe aquí.
Una cosa que Huntley señala, después del parche, es que incluso la solución muestra signos de, bueno, incompetencia. En su público registro, señala que el parche consistía en añadir lógica en lugar de simplemente eliminar una caché defectuosa, siendo esta última una solución mucho más sólida. Ambas funcionan, pero la solución actual carece de precisión, lo que es un problema en una aplicación tan importante.
Aunque tenemos miembros diligentes de la sociedad que utilizan su tiempo y experiencia para analizar minuciosamente el código fuente y destacar los problemas, su trabajo se hace mucho más difícil que si el código fuera de código abierto en primer lugar. Tal como están las cosas, 28 aplicaciones siguen cerrados a los investigadores de seguridad.
La codificación segura sigue haciendo tropezar con nosotros en la línea de meta.
Si bien no cabe duda de que puedo entender el exceso de trabajo de los desarrolladores, así como la situación tan inusual de tener que crear una aplicación que salve vidas en medio de una pandemia, lo anterior debería destacar que unas cuantas vulnerabilidades simples en lo que es esencialmente una base de código comunitaria podrían significar problemas importantes para millones de usuarios.
Me gustaría pensar que la mayoría de las personas quieren ser buenos ciudadanos, apoyar la aplicación y dar a todos la mejor oportunidad posible de rastrear los contactos y controlar los brotes de este terrible virus. Yo también estoy a favor de la tecnología que puede ayudar a conseguirlo, pero, en muchos sentidos, esto ha puesto de manifiesto la falta general de principios de codificación seguros inherentes a los desarrolladores de todo el mundo.
En cualquier situación en la que el software deba escribirse rápidamente, los errores no son precisamente inesperados. Sin embargo, las vulnerabilidades de seguridad más comunes, como las fallas lógicas, los errores de configuración y los errores de inyección de código, deberían prevenirse mientras se escribe el código, no después de que voluntarios de sombrero blanco desmenucen el código base.
Y no es culpa de los desarrolladores, por cierto. Terminan sus estudios superiores con pocos conocimientos de programación segura y, a lo largo de sus carreras, sus KPI casi siempre se relacionan con la funcionalidad de las funciones y la velocidad de entrega; la parte de la seguridad la tiene que gestionar otra persona una vez que han terminado. Necesitamos llegar rápidamente a un estado final de codificación segura y, aunque ahora no es el momento de hacer cambios radicales en la cultura de los departamentos que crean estas aplicaciones, es un recordatorio oportuno de que nuestra área de riesgo digital se está expandiendo y que están en una posición privilegiada para marcar la diferencia si se les dan las herramientas y los conocimientos necesarios para compartir la responsabilidad de las mejores prácticas de seguridad.
¿Es seguro descargar la aplicación?
Esta es la cuestión: para mí, que soy un experto en seguridad, he llegado a la conclusión de que los beneficios de la aplicación superan a los problemas. No es ideal que las vulnerabilidades anteriores estén (o hayan estado) presentes en este software, pero las implicaciones de convertirlas en armas son las peores hipótesis posibles. Por el momento, el rastreo de contactos es un componente vital para ayudar a nuestros héroes de la medicina de todo el mundo a controlar la propagación, detener el flujo de ingresos hospitalarios y mantenerse unos a otros lo más seguros posible.
Sirve para resaltar que tenemos una largo mucho camino por recorrer cuando se trata de promulgar las mejores prácticas de seguridad de forma predeterminada en una compilación de software, y es importante que el público tenga la información necesaria para tomar decisiones informadas.
Mi familia y yo seguiremos usándolo, aunque permanecemos atentos para mantenernos al día con nuestros parches de Android, como todos deberíamos.
Una versión de este artículo apareció originalmente en DevOps Digest. Se ha actualizado y distribuido aquí.
En este punto, estoy seguro de que todos nos estamos cansando un poco de la frase «en estos tiempos sin precedentes»... pero, en realidad, estos son tiempos sin precedentes. ¿Quién hubiera pensado, a finales del año pasado, que correríamos para derrotar una pandemia destructiva a nivel mundial este año y que íbamos a hacer todo lo posible por ella? Habría parecido casi ridículo, y más parecido a una nueva serie de ciencia ficción de Netflix que a parte de nuestra realidad mundial. La COVID-19 ha transformado por completo nuestra vida social, nuestra economía y nuestra seguridad laboral, por no hablar de las prioridades políticas.
Uno de los contraataques contra la COVID-19 ha sido a través de la tecnología, y muchos países han lanzado aplicaciones de rastreo de contactos. Australia cuenta con CovidSafe, siguiendo el modelo de TraceTogether de Singapur. Hong Kong, Taiwán, China, Corea del Sur, Israel y Alemania tienen implementada o en camino la tecnología de rastreo de contactos. El Reino Unido ha sido la región más afectada de Europa, con decenas de miles de muertes relacionadas con el virus y una alta tasa de infección. El lanzamiento de su aplicación es inminente. Los Estados Unidos, que también están profundamente afectados, ya que muchas personas pierden la vida trágicamente, también están desplegando la tecnología, pero el enfoque estatal por estado del rastreo de contactos hace que su situación sea bastante compleja.
Con la excepción de países más controlados por el estado, como China y Taiwán, el uso de estas aplicaciones es voluntario y requiere que los ciudadanos descarguen y usen la tecnología por su propia cuenta. Algunas tasas de adopción tienen más éxito que otras; por ejemplo, la aplicación TraceTogether de Singapur tuvo una tasa de adopción del 25%, lo que la hace bastante ineficaz para el propósito deseado.
La idea detrás de las aplicaciones de rastreo de contactos es sólida. Esta tecnología, cuando funciona bien, garantizará que los puntos críticos se detecten rápidamente y que se puedan realizar pruebas exhaustivas, dos componentes esenciales para combatir la propagación de un virus contagioso. Sin embargo, las palabras «gobierno» y «rastreo» no son precisamente muy atractivas, y es natural que las personas se muestren cautelosas a la hora de pensar qué significaría para ellas descargar algo así.
Entonces, ¿cuáles son las principales preocupaciones de los usuarios? Si nos guiamos por los comentarios en línea, algunas de estas dudas son:
- Falta de confianza en el gobierno para utilizar los datos recopilados de manera responsable
- Temor sobre qué tan bien se protegerán los datos personales de los ciberataques
- Falta de claridad sobre qué datos se recopilan realmente, dónde se almacenan y con quién
- ... y para los desarrolladores y geeks que hay entre nosotros, la solidez con la que están realmente creadas las aplicaciones.
Siempre es un poco preocupante cuando las aplicaciones se crean rápidamente, y estas aplicaciones de rastreo de contactos tienen que implementarse en un tiempo récord. Es una pesadilla para los desarrolladores, el personal de seguridad y las agencias gubernamentales.
Entonces, ¿la desconfianza es una reacción válida? ¿Y qué debemos considerar prioritario en nuestra evaluación de las aplicaciones de rastreo de contactos de la COVID-19 y la seguridad de los usuarios finales? Como experto en seguridad, mi instinto es, por supuesto, profundizar en los elementos de ciberseguridad del programa, es decir, qué tan seguro es el código base de una aplicación que todos estamos intentando instalar (por la mejor de las intenciones).
Muchas de las aplicaciones son copias unas de otras (y heredan los mismos problemas).
La aplicación CovidSafe de Australia se basa esencialmente en Carrera abierta, al igual que el software TraceTogether de Singapur. Sin embargo, el problema es que TraceTogether tuvo una serie de problemas reportados y una mala aceptación, ya que solo el 25% de la población optó por registrarse como usuario, muy por debajo de Se requiere un 75% para que sea efectivo. Ha habido quejas sobre su rendimiento general, especialmente en iOS, por ejemplo, que las baterías se agotan muy rápidamente. CovidSafe tiene un posible defecto de UX en su versión de iOS, lo que requiere que el teléfono esté desbloqueado y que la aplicación se ejecute en primer plano para registrar todos los datos correctamente.
Si bien los problemas anteriores son molestos, la preocupación más apremiante es que las vulnerabilidades de Bluetooth abundan y ni TraceTogether ni la australiana COVIDSafe son inmunes a ellas. El 14 de mayo, El NIST informó que CovidSafe tenía una vulnerabilidad de denegación de servicio, lo que permite a un atacante bloquear la aplicación de forma remota si está a distancia de un apretón de manos por Bluetooth. Esto permitiría que un ataque organizado interrumpiera el rastreo de contactos en áreas densamente pobladas, donde resulta más útil: algo explicado en detalle del investigador de seguridad Richard Nelson. Se sabe que afecta a CovidSafe, TraceTogether, la polaca ProteGo y la canadiense AbtraceTogether. Todas ellas heredaron el problema de la defectuosa empresa OpenTrace Datos manuales. Subdatos llamada.
También existen otros problemas de privacidad y seguridad relacionados con la funcionalidad Bluetooth en general. El hecho de que esta tecnología se utilice para rastrear los movimientos humanos a través de un identificador único (TempID) y recopilar datos significativos aumentará inevitablemente el interés por los atacantes para detectar puntos débiles, momento en el que habrá que analizar minuciosamente qué es lo que se está recopilando, dónde se almacena y durante cuánto tiempo.
Algunas aplicaciones ya muestran signos de errores simples que causan debilidades complejas.
Ingeniero de software australiano Geoffrey Huntley ha estado estudiando el código fuente de CovidSafe y, lamentablemente, hay problemas que no necesariamente nos están destacando a nosotros, los usuarios finales.
Un ejemplo crítico fue un error lógico que violaba la privacidad y que permitiría a un atacante realizar un seguimiento a largo plazo de los dispositivos; algo que representa un enorme riesgo para los usuarios vulnerables, sin mencionar que contraviene la Política de privacidad de la propia aplicación.
Es importante tener en cuenta que estas vulnerabilidades lógicas se corrigieron el 14 de mayo, pero el problema más urgente es que se dejó sin corregir, en estado salvaje, durante 17 días después de que el Sr. Huntley lo denunciara. Él y otros miembros de la increíble comunidad de seguridad están rastreando las CVE relacionadas con la aplicación COVIDSafe aquí.
Una cosa que Huntley señala, después del parche, es que incluso la solución muestra signos de, bueno, incompetencia. En su público registro, señala que el parche consistía en añadir lógica en lugar de simplemente eliminar una caché defectuosa, siendo esta última una solución mucho más sólida. Ambas funcionan, pero la solución actual carece de precisión, lo que es un problema en una aplicación tan importante.
Aunque tenemos miembros diligentes de la sociedad que utilizan su tiempo y experiencia para analizar minuciosamente el código fuente y destacar los problemas, su trabajo se hace mucho más difícil que si el código fuera de código abierto en primer lugar. Tal como están las cosas, 28 aplicaciones siguen cerrados a los investigadores de seguridad.
La codificación segura sigue haciendo tropezar con nosotros en la línea de meta.
Si bien no cabe duda de que puedo entender el exceso de trabajo de los desarrolladores, así como la situación tan inusual de tener que crear una aplicación que salve vidas en medio de una pandemia, lo anterior debería destacar que unas cuantas vulnerabilidades simples en lo que es esencialmente una base de código comunitaria podrían significar problemas importantes para millones de usuarios.
Me gustaría pensar que la mayoría de las personas quieren ser buenos ciudadanos, apoyar la aplicación y dar a todos la mejor oportunidad posible de rastrear los contactos y controlar los brotes de este terrible virus. Yo también estoy a favor de la tecnología que puede ayudar a conseguirlo, pero, en muchos sentidos, esto ha puesto de manifiesto la falta general de principios de codificación seguros inherentes a los desarrolladores de todo el mundo.
En cualquier situación en la que el software deba escribirse rápidamente, los errores no son precisamente inesperados. Sin embargo, las vulnerabilidades de seguridad más comunes, como las fallas lógicas, los errores de configuración y los errores de inyección de código, deberían prevenirse mientras se escribe el código, no después de que voluntarios de sombrero blanco desmenucen el código base.
Y no es culpa de los desarrolladores, por cierto. Terminan sus estudios superiores con pocos conocimientos de programación segura y, a lo largo de sus carreras, sus KPI casi siempre se relacionan con la funcionalidad de las funciones y la velocidad de entrega; la parte de la seguridad la tiene que gestionar otra persona una vez que han terminado. Necesitamos llegar rápidamente a un estado final de codificación segura y, aunque ahora no es el momento de hacer cambios radicales en la cultura de los departamentos que crean estas aplicaciones, es un recordatorio oportuno de que nuestra área de riesgo digital se está expandiendo y que están en una posición privilegiada para marcar la diferencia si se les dan las herramientas y los conocimientos necesarios para compartir la responsabilidad de las mejores prácticas de seguridad.
¿Es seguro descargar la aplicación?
Esta es la cuestión: para mí, que soy un experto en seguridad, he llegado a la conclusión de que los beneficios de la aplicación superan a los problemas. No es ideal que las vulnerabilidades anteriores estén (o hayan estado) presentes en este software, pero las implicaciones de convertirlas en armas son las peores hipótesis posibles. Por el momento, el rastreo de contactos es un componente vital para ayudar a nuestros héroes de la medicina de todo el mundo a controlar la propagación, detener el flujo de ingresos hospitalarios y mantenerse unos a otros lo más seguros posible.
Sirve para resaltar que tenemos una largo mucho camino por recorrer cuando se trata de promulgar las mejores prácticas de seguridad de forma predeterminada en una compilación de software, y es importante que el público tenga la información necesaria para tomar decisiones informadas.
Mi familia y yo seguiremos usándolo, aunque permanecemos atentos para mantenernos al día con nuestros parches de Android, como todos deberíamos.
Veuillez cliquer sur le lien ci-dessous et télécharger le PDF de cette ressource.
Secure Code Warrior là pour aider votre organisation à protéger le code tout au long du cycle de vie du développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez administrateur AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez consulter le rapportVeuillez réserver une démonstration.
Directeur général, président et cofondateur
Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Una versión de este artículo apareció originalmente en DevOps Digest. Se ha actualizado y distribuido aquí.
En este punto, estoy seguro de que todos nos estamos cansando un poco de la frase «en estos tiempos sin precedentes»... pero, en realidad, estos son tiempos sin precedentes. ¿Quién hubiera pensado, a finales del año pasado, que correríamos para derrotar una pandemia destructiva a nivel mundial este año y que íbamos a hacer todo lo posible por ella? Habría parecido casi ridículo, y más parecido a una nueva serie de ciencia ficción de Netflix que a parte de nuestra realidad mundial. La COVID-19 ha transformado por completo nuestra vida social, nuestra economía y nuestra seguridad laboral, por no hablar de las prioridades políticas.
Uno de los contraataques contra la COVID-19 ha sido a través de la tecnología, y muchos países han lanzado aplicaciones de rastreo de contactos. Australia cuenta con CovidSafe, siguiendo el modelo de TraceTogether de Singapur. Hong Kong, Taiwán, China, Corea del Sur, Israel y Alemania tienen implementada o en camino la tecnología de rastreo de contactos. El Reino Unido ha sido la región más afectada de Europa, con decenas de miles de muertes relacionadas con el virus y una alta tasa de infección. El lanzamiento de su aplicación es inminente. Los Estados Unidos, que también están profundamente afectados, ya que muchas personas pierden la vida trágicamente, también están desplegando la tecnología, pero el enfoque estatal por estado del rastreo de contactos hace que su situación sea bastante compleja.
Con la excepción de países más controlados por el estado, como China y Taiwán, el uso de estas aplicaciones es voluntario y requiere que los ciudadanos descarguen y usen la tecnología por su propia cuenta. Algunas tasas de adopción tienen más éxito que otras; por ejemplo, la aplicación TraceTogether de Singapur tuvo una tasa de adopción del 25%, lo que la hace bastante ineficaz para el propósito deseado.
La idea detrás de las aplicaciones de rastreo de contactos es sólida. Esta tecnología, cuando funciona bien, garantizará que los puntos críticos se detecten rápidamente y que se puedan realizar pruebas exhaustivas, dos componentes esenciales para combatir la propagación de un virus contagioso. Sin embargo, las palabras «gobierno» y «rastreo» no son precisamente muy atractivas, y es natural que las personas se muestren cautelosas a la hora de pensar qué significaría para ellas descargar algo así.
Entonces, ¿cuáles son las principales preocupaciones de los usuarios? Si nos guiamos por los comentarios en línea, algunas de estas dudas son:
- Falta de confianza en el gobierno para utilizar los datos recopilados de manera responsable
- Temor sobre qué tan bien se protegerán los datos personales de los ciberataques
- Falta de claridad sobre qué datos se recopilan realmente, dónde se almacenan y con quién
- ... y para los desarrolladores y geeks que hay entre nosotros, la solidez con la que están realmente creadas las aplicaciones.
Siempre es un poco preocupante cuando las aplicaciones se crean rápidamente, y estas aplicaciones de rastreo de contactos tienen que implementarse en un tiempo récord. Es una pesadilla para los desarrolladores, el personal de seguridad y las agencias gubernamentales.
Entonces, ¿la desconfianza es una reacción válida? ¿Y qué debemos considerar prioritario en nuestra evaluación de las aplicaciones de rastreo de contactos de la COVID-19 y la seguridad de los usuarios finales? Como experto en seguridad, mi instinto es, por supuesto, profundizar en los elementos de ciberseguridad del programa, es decir, qué tan seguro es el código base de una aplicación que todos estamos intentando instalar (por la mejor de las intenciones).
Muchas de las aplicaciones son copias unas de otras (y heredan los mismos problemas).
La aplicación CovidSafe de Australia se basa esencialmente en Carrera abierta, al igual que el software TraceTogether de Singapur. Sin embargo, el problema es que TraceTogether tuvo una serie de problemas reportados y una mala aceptación, ya que solo el 25% de la población optó por registrarse como usuario, muy por debajo de Se requiere un 75% para que sea efectivo. Ha habido quejas sobre su rendimiento general, especialmente en iOS, por ejemplo, que las baterías se agotan muy rápidamente. CovidSafe tiene un posible defecto de UX en su versión de iOS, lo que requiere que el teléfono esté desbloqueado y que la aplicación se ejecute en primer plano para registrar todos los datos correctamente.
Si bien los problemas anteriores son molestos, la preocupación más apremiante es que las vulnerabilidades de Bluetooth abundan y ni TraceTogether ni la australiana COVIDSafe son inmunes a ellas. El 14 de mayo, El NIST informó que CovidSafe tenía una vulnerabilidad de denegación de servicio, lo que permite a un atacante bloquear la aplicación de forma remota si está a distancia de un apretón de manos por Bluetooth. Esto permitiría que un ataque organizado interrumpiera el rastreo de contactos en áreas densamente pobladas, donde resulta más útil: algo explicado en detalle del investigador de seguridad Richard Nelson. Se sabe que afecta a CovidSafe, TraceTogether, la polaca ProteGo y la canadiense AbtraceTogether. Todas ellas heredaron el problema de la defectuosa empresa OpenTrace Datos manuales. Subdatos llamada.
También existen otros problemas de privacidad y seguridad relacionados con la funcionalidad Bluetooth en general. El hecho de que esta tecnología se utilice para rastrear los movimientos humanos a través de un identificador único (TempID) y recopilar datos significativos aumentará inevitablemente el interés por los atacantes para detectar puntos débiles, momento en el que habrá que analizar minuciosamente qué es lo que se está recopilando, dónde se almacena y durante cuánto tiempo.
Algunas aplicaciones ya muestran signos de errores simples que causan debilidades complejas.
Ingeniero de software australiano Geoffrey Huntley ha estado estudiando el código fuente de CovidSafe y, lamentablemente, hay problemas que no necesariamente nos están destacando a nosotros, los usuarios finales.
Un ejemplo crítico fue un error lógico que violaba la privacidad y que permitiría a un atacante realizar un seguimiento a largo plazo de los dispositivos; algo que representa un enorme riesgo para los usuarios vulnerables, sin mencionar que contraviene la Política de privacidad de la propia aplicación.
Es importante tener en cuenta que estas vulnerabilidades lógicas se corrigieron el 14 de mayo, pero el problema más urgente es que se dejó sin corregir, en estado salvaje, durante 17 días después de que el Sr. Huntley lo denunciara. Él y otros miembros de la increíble comunidad de seguridad están rastreando las CVE relacionadas con la aplicación COVIDSafe aquí.
Una cosa que Huntley señala, después del parche, es que incluso la solución muestra signos de, bueno, incompetencia. En su público registro, señala que el parche consistía en añadir lógica en lugar de simplemente eliminar una caché defectuosa, siendo esta última una solución mucho más sólida. Ambas funcionan, pero la solución actual carece de precisión, lo que es un problema en una aplicación tan importante.
Aunque tenemos miembros diligentes de la sociedad que utilizan su tiempo y experiencia para analizar minuciosamente el código fuente y destacar los problemas, su trabajo se hace mucho más difícil que si el código fuera de código abierto en primer lugar. Tal como están las cosas, 28 aplicaciones siguen cerrados a los investigadores de seguridad.
La codificación segura sigue haciendo tropezar con nosotros en la línea de meta.
Si bien no cabe duda de que puedo entender el exceso de trabajo de los desarrolladores, así como la situación tan inusual de tener que crear una aplicación que salve vidas en medio de una pandemia, lo anterior debería destacar que unas cuantas vulnerabilidades simples en lo que es esencialmente una base de código comunitaria podrían significar problemas importantes para millones de usuarios.
Me gustaría pensar que la mayoría de las personas quieren ser buenos ciudadanos, apoyar la aplicación y dar a todos la mejor oportunidad posible de rastrear los contactos y controlar los brotes de este terrible virus. Yo también estoy a favor de la tecnología que puede ayudar a conseguirlo, pero, en muchos sentidos, esto ha puesto de manifiesto la falta general de principios de codificación seguros inherentes a los desarrolladores de todo el mundo.
En cualquier situación en la que el software deba escribirse rápidamente, los errores no son precisamente inesperados. Sin embargo, las vulnerabilidades de seguridad más comunes, como las fallas lógicas, los errores de configuración y los errores de inyección de código, deberían prevenirse mientras se escribe el código, no después de que voluntarios de sombrero blanco desmenucen el código base.
Y no es culpa de los desarrolladores, por cierto. Terminan sus estudios superiores con pocos conocimientos de programación segura y, a lo largo de sus carreras, sus KPI casi siempre se relacionan con la funcionalidad de las funciones y la velocidad de entrega; la parte de la seguridad la tiene que gestionar otra persona una vez que han terminado. Necesitamos llegar rápidamente a un estado final de codificación segura y, aunque ahora no es el momento de hacer cambios radicales en la cultura de los departamentos que crean estas aplicaciones, es un recordatorio oportuno de que nuestra área de riesgo digital se está expandiendo y que están en una posición privilegiada para marcar la diferencia si se les dan las herramientas y los conocimientos necesarios para compartir la responsabilidad de las mejores prácticas de seguridad.
¿Es seguro descargar la aplicación?
Esta es la cuestión: para mí, que soy un experto en seguridad, he llegado a la conclusión de que los beneficios de la aplicación superan a los problemas. No es ideal que las vulnerabilidades anteriores estén (o hayan estado) presentes en este software, pero las implicaciones de convertirlas en armas son las peores hipótesis posibles. Por el momento, el rastreo de contactos es un componente vital para ayudar a nuestros héroes de la medicina de todo el mundo a controlar la propagación, detener el flujo de ingresos hospitalarios y mantenerse unos a otros lo más seguros posible.
Sirve para resaltar que tenemos una largo mucho camino por recorrer cuando se trata de promulgar las mejores prácticas de seguridad de forma predeterminada en una compilación de software, y es importante que el público tenga la información necesaria para tomar decisiones informadas.
Mi familia y yo seguiremos usándolo, aunque permanecemos atentos para mantenernos al día con nuestros parches de Android, como todos deberíamos.
Table des matières
Directeur général, président et cofondateur
Secure Code Warrior là pour aider votre organisation à protéger le code tout au long du cycle de vie du développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez administrateur AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez réserver une démonstration.TéléchargerRessources pour débuter
Thèmes et contenu de la formation sur le code sécurisé
Notre contenu de pointe évolue constamment afin de s'adapter au paysage changeant du développement logiciel, en tenant compte de votre rôle. Nous proposons des thèmes allant de l'IA à l'injection XQuery pour différents postes, des architectes et ingénieurs aux chefs de produit et responsables de l'assurance qualité. Découvrez un aperçu de ce que notre catalogue de contenu a à offrir par thème et par fonction.
La Chambre de commerce établit la norme en matière de sécurité à grande échelle axée sur les développeurs
La Chambre de commerce néerlandaise explique comment elle a intégré le codage sécurisé dans le développement quotidien grâce à des certifications basées sur les rôles, à l'évaluation comparative du Trust Score et à une culture de responsabilité partagée en matière de sécurité.
%20(1).avif)
.avif)
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
Ressources pour débuter
Cybermon est de retour : les missions IA de Beat the Boss sont désormais disponibles à la demande.
Cybermon 2025 Beat the Boss est désormais disponible toute l'année chez SCW. Mettez en œuvre des défis de sécurité avancés basés sur l'IA et le LLM afin de renforcer le développement sécurisé de l'IA à grande échelle.
Explication de la loi sur la cyber-résilience : implications pour le développement de logiciels sécurisés dès leur conception
Découvrez les exigences de la loi européenne sur la cyber-résilience (CRA), à qui elle s'applique et comment les équipes d'ingénierie peuvent se préparer grâce à des pratiques de conception sécurisées, à la prévention des vulnérabilités et au développement des compétences des développeurs.
Facilitateur 1 : Critères de réussite définis et mesurables
Le catalyseur n° 1 inaugure notre série en 10 parties intitulée « Les catalyseurs de la réussite », qui montre comment relier la codification sécurisée aux résultats commerciaux, tels que la réduction des risques et la rapidité d'atteinte de la maturité du programme à long terme.
