Rastreo de contactos por la COVID-19: ¿Cuál es la situación de la codificación segura?
Una versión de este artículo apareció originalmente en DevOps Digest. Se ha actualizado y distribuido aquí.
En este punto, estoy seguro de que todos nos estamos cansando un poco de la frase «en estos tiempos sin precedentes»... pero, en realidad, estos son tiempos sin precedentes. ¿Quién hubiera pensado, a finales del año pasado, que correríamos para derrotar una pandemia destructiva a nivel mundial este año y que íbamos a hacer todo lo posible por ella? Habría parecido casi ridículo, y más parecido a una nueva serie de ciencia ficción de Netflix que a parte de nuestra realidad mundial. La COVID-19 ha transformado por completo nuestra vida social, nuestra economía y nuestra seguridad laboral, por no hablar de las prioridades políticas.
Uno de los contraataques contra la COVID-19 ha sido a través de la tecnología, y muchos países han lanzado aplicaciones de rastreo de contactos. Australia cuenta con CovidSafe, siguiendo el modelo de TraceTogether de Singapur. Hong Kong, Taiwán, China, Corea del Sur, Israel y Alemania tienen implementada o en camino la tecnología de rastreo de contactos. El Reino Unido ha sido la región más afectada de Europa, con decenas de miles de muertes relacionadas con el virus y una alta tasa de infección. El lanzamiento de su aplicación es inminente. Los Estados Unidos, que también están profundamente afectados, ya que muchas personas pierden la vida trágicamente, también están desplegando la tecnología, pero el enfoque estatal por estado del rastreo de contactos hace que su situación sea bastante compleja.
Con la excepción de países más controlados por el estado, como China y Taiwán, el uso de estas aplicaciones es voluntario y requiere que los ciudadanos descarguen y usen la tecnología por su propia cuenta. Algunas tasas de adopción tienen más éxito que otras; por ejemplo, la aplicación TraceTogether de Singapur tuvo una tasa de adopción del 25%, lo que la hace bastante ineficaz para el propósito deseado.
La idea detrás de las aplicaciones de rastreo de contactos es sólida. Esta tecnología, cuando funciona bien, garantizará que los puntos críticos se detecten rápidamente y que se puedan realizar pruebas exhaustivas, dos componentes esenciales para combatir la propagación de un virus contagioso. Sin embargo, las palabras «gobierno» y «rastreo» no son precisamente muy atractivas, y es natural que las personas se muestren cautelosas a la hora de pensar qué significaría para ellas descargar algo así.
Entonces, ¿cuáles son las principales preocupaciones de los usuarios? Si nos guiamos por los comentarios en línea, algunas de estas dudas son:
- Falta de confianza en el gobierno para utilizar los datos recopilados de manera responsable
- Temor sobre qué tan bien se protegerán los datos personales de los ciberataques
- Falta de claridad sobre qué datos se recopilan realmente, dónde se almacenan y con quién
- ... y para los desarrolladores y geeks que hay entre nosotros, la solidez con la que están realmente creadas las aplicaciones.
Siempre es un poco preocupante cuando las aplicaciones se crean rápidamente, y estas aplicaciones de rastreo de contactos tienen que implementarse en un tiempo récord. Es una pesadilla para los desarrolladores, el personal de seguridad y las agencias gubernamentales.
Entonces, ¿la desconfianza es una reacción válida? ¿Y qué debemos considerar prioritario en nuestra evaluación de las aplicaciones de rastreo de contactos de la COVID-19 y la seguridad de los usuarios finales? Como experto en seguridad, mi instinto es, por supuesto, profundizar en los elementos de ciberseguridad del programa, es decir, qué tan seguro es el código base de una aplicación que todos estamos intentando instalar (por la mejor de las intenciones).
Muchas de las aplicaciones son copias unas de otras (y heredan los mismos problemas).
La aplicación CovidSafe de Australia se basa esencialmente en Carrera abierta, al igual que el software TraceTogether de Singapur. Sin embargo, el problema es que TraceTogether tuvo una serie de problemas reportados y una mala aceptación, ya que solo el 25% de la población optó por registrarse como usuario, muy por debajo de Se requiere un 75% para que sea efectivo. Ha habido quejas sobre su rendimiento general, especialmente en iOS, por ejemplo, que las baterías se agotan muy rápidamente. CovidSafe tiene un posible defecto de UX en su versión de iOS, lo que requiere que el teléfono esté desbloqueado y que la aplicación se ejecute en primer plano para registrar todos los datos correctamente.
Si bien los problemas anteriores son molestos, la preocupación más apremiante es que las vulnerabilidades de Bluetooth abundan y ni TraceTogether ni la australiana COVIDSafe son inmunes a ellas. El 14 de mayo, El NIST informó que CovidSafe tenía una vulnerabilidad de denegación de servicio, lo que permite a un atacante bloquear la aplicación de forma remota si está a distancia de un apretón de manos por Bluetooth. Esto permitiría que un ataque organizado interrumpiera el rastreo de contactos en áreas densamente pobladas, donde resulta más útil: algo explicado en detalle del investigador de seguridad Richard Nelson. Se sabe que afecta a CovidSafe, TraceTogether, la polaca ProteGo y la canadiense AbtraceTogether. Todas ellas heredaron el problema de la defectuosa empresa OpenTrace Datos manuales. Subdatos llamada.
También existen otros problemas de privacidad y seguridad relacionados con la funcionalidad Bluetooth en general. El hecho de que esta tecnología se utilice para rastrear los movimientos humanos a través de un identificador único (TempID) y recopilar datos significativos aumentará inevitablemente el interés por los atacantes para detectar puntos débiles, momento en el que habrá que analizar minuciosamente qué es lo que se está recopilando, dónde se almacena y durante cuánto tiempo.
Algunas aplicaciones ya muestran signos de errores simples que causan debilidades complejas.
Ingeniero de software australiano Geoffrey Huntley ha estado estudiando el código fuente de CovidSafe y, lamentablemente, hay problemas que no necesariamente nos están destacando a nosotros, los usuarios finales.
Un ejemplo crítico fue un error lógico que violaba la privacidad y que permitiría a un atacante realizar un seguimiento a largo plazo de los dispositivos; algo que representa un enorme riesgo para los usuarios vulnerables, sin mencionar que contraviene la Política de privacidad de la propia aplicación.
Es importante tener en cuenta que estas vulnerabilidades lógicas se corrigieron el 14 de mayo, pero el problema más urgente es que se dejó sin corregir, en estado salvaje, durante 17 días después de que el Sr. Huntley lo denunciara. Él y otros miembros de la increíble comunidad de seguridad están rastreando las CVE relacionadas con la aplicación COVIDSafe aquí.
Una cosa que Huntley señala, después del parche, es que incluso la solución muestra signos de, bueno, incompetencia. En su público registro, señala que el parche consistía en añadir lógica en lugar de simplemente eliminar una caché defectuosa, siendo esta última una solución mucho más sólida. Ambas funcionan, pero la solución actual carece de precisión, lo que es un problema en una aplicación tan importante.
Aunque tenemos miembros diligentes de la sociedad que utilizan su tiempo y experiencia para analizar minuciosamente el código fuente y destacar los problemas, su trabajo se hace mucho más difícil que si el código fuera de código abierto en primer lugar. Tal como están las cosas, 28 aplicaciones siguen cerrados a los investigadores de seguridad.
La codificación segura sigue haciendo tropezar con nosotros en la línea de meta.
Si bien no cabe duda de que puedo entender el exceso de trabajo de los desarrolladores, así como la situación tan inusual de tener que crear una aplicación que salve vidas en medio de una pandemia, lo anterior debería destacar que unas cuantas vulnerabilidades simples en lo que es esencialmente una base de código comunitaria podrían significar problemas importantes para millones de usuarios.
Me gustaría pensar que la mayoría de las personas quieren ser buenos ciudadanos, apoyar la aplicación y dar a todos la mejor oportunidad posible de rastrear los contactos y controlar los brotes de este terrible virus. Yo también estoy a favor de la tecnología que puede ayudar a conseguirlo, pero, en muchos sentidos, esto ha puesto de manifiesto la falta general de principios de codificación seguros inherentes a los desarrolladores de todo el mundo.
En cualquier situación en la que el software deba escribirse rápidamente, los errores no son precisamente inesperados. Sin embargo, las vulnerabilidades de seguridad más comunes, como las fallas lógicas, los errores de configuración y los errores de inyección de código, deberían prevenirse mientras se escribe el código, no después de que voluntarios de sombrero blanco desmenucen el código base.
Y no es culpa de los desarrolladores, por cierto. Terminan sus estudios superiores con pocos conocimientos de programación segura y, a lo largo de sus carreras, sus KPI casi siempre se relacionan con la funcionalidad de las funciones y la velocidad de entrega; la parte de la seguridad la tiene que gestionar otra persona una vez que han terminado. Necesitamos llegar rápidamente a un estado final de codificación segura y, aunque ahora no es el momento de hacer cambios radicales en la cultura de los departamentos que crean estas aplicaciones, es un recordatorio oportuno de que nuestra área de riesgo digital se está expandiendo y que están en una posición privilegiada para marcar la diferencia si se les dan las herramientas y los conocimientos necesarios para compartir la responsabilidad de las mejores prácticas de seguridad.
¿Es seguro descargar la aplicación?
Esta es la cuestión: para mí, que soy un experto en seguridad, he llegado a la conclusión de que los beneficios de la aplicación superan a los problemas. No es ideal que las vulnerabilidades anteriores estén (o hayan estado) presentes en este software, pero las implicaciones de convertirlas en armas son las peores hipótesis posibles. Por el momento, el rastreo de contactos es un componente vital para ayudar a nuestros héroes de la medicina de todo el mundo a controlar la propagación, detener el flujo de ingresos hospitalarios y mantenerse unos a otros lo más seguros posible.
Sirve para resaltar que tenemos una largo mucho camino por recorrer cuando se trata de promulgar las mejores prácticas de seguridad de forma predeterminada en una compilación de software, y es importante que el público tenga la información necesaria para tomar decisiones informadas.
Mi familia y yo seguiremos usándolo, aunque permanecemos atentos para mantenernos al día con nuestros parches de Android, como todos deberíamos.
La idea detrás de las aplicaciones de rastreo de contactos es sólida. Esta tecnología, cuando funciona bien, garantizará que los puntos críticos se detecten rápidamente y que se puedan realizar pruebas exhaustivas, dos componentes esenciales para combatir la propagación de un virus contagioso.
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior hier, um Ihrem Unternehmen dabei zu helfen, den Code während des gesamten Lebenszyklus der Softwareentwicklung zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie AppSec-Administrator, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Eine Vorführung buchen
Vorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Una versión de este artículo apareció originalmente en DevOps Digest. Se ha actualizado y distribuido aquí.
En este punto, estoy seguro de que todos nos estamos cansando un poco de la frase «en estos tiempos sin precedentes»... pero, en realidad, estos son tiempos sin precedentes. ¿Quién hubiera pensado, a finales del año pasado, que correríamos para derrotar una pandemia destructiva a nivel mundial este año y que íbamos a hacer todo lo posible por ella? Habría parecido casi ridículo, y más parecido a una nueva serie de ciencia ficción de Netflix que a parte de nuestra realidad mundial. La COVID-19 ha transformado por completo nuestra vida social, nuestra economía y nuestra seguridad laboral, por no hablar de las prioridades políticas.
Uno de los contraataques contra la COVID-19 ha sido a través de la tecnología, y muchos países han lanzado aplicaciones de rastreo de contactos. Australia cuenta con CovidSafe, siguiendo el modelo de TraceTogether de Singapur. Hong Kong, Taiwán, China, Corea del Sur, Israel y Alemania tienen implementada o en camino la tecnología de rastreo de contactos. El Reino Unido ha sido la región más afectada de Europa, con decenas de miles de muertes relacionadas con el virus y una alta tasa de infección. El lanzamiento de su aplicación es inminente. Los Estados Unidos, que también están profundamente afectados, ya que muchas personas pierden la vida trágicamente, también están desplegando la tecnología, pero el enfoque estatal por estado del rastreo de contactos hace que su situación sea bastante compleja.
Con la excepción de países más controlados por el estado, como China y Taiwán, el uso de estas aplicaciones es voluntario y requiere que los ciudadanos descarguen y usen la tecnología por su propia cuenta. Algunas tasas de adopción tienen más éxito que otras; por ejemplo, la aplicación TraceTogether de Singapur tuvo una tasa de adopción del 25%, lo que la hace bastante ineficaz para el propósito deseado.
La idea detrás de las aplicaciones de rastreo de contactos es sólida. Esta tecnología, cuando funciona bien, garantizará que los puntos críticos se detecten rápidamente y que se puedan realizar pruebas exhaustivas, dos componentes esenciales para combatir la propagación de un virus contagioso. Sin embargo, las palabras «gobierno» y «rastreo» no son precisamente muy atractivas, y es natural que las personas se muestren cautelosas a la hora de pensar qué significaría para ellas descargar algo así.
Entonces, ¿cuáles son las principales preocupaciones de los usuarios? Si nos guiamos por los comentarios en línea, algunas de estas dudas son:
- Falta de confianza en el gobierno para utilizar los datos recopilados de manera responsable
- Temor sobre qué tan bien se protegerán los datos personales de los ciberataques
- Falta de claridad sobre qué datos se recopilan realmente, dónde se almacenan y con quién
- ... y para los desarrolladores y geeks que hay entre nosotros, la solidez con la que están realmente creadas las aplicaciones.
Siempre es un poco preocupante cuando las aplicaciones se crean rápidamente, y estas aplicaciones de rastreo de contactos tienen que implementarse en un tiempo récord. Es una pesadilla para los desarrolladores, el personal de seguridad y las agencias gubernamentales.
Entonces, ¿la desconfianza es una reacción válida? ¿Y qué debemos considerar prioritario en nuestra evaluación de las aplicaciones de rastreo de contactos de la COVID-19 y la seguridad de los usuarios finales? Como experto en seguridad, mi instinto es, por supuesto, profundizar en los elementos de ciberseguridad del programa, es decir, qué tan seguro es el código base de una aplicación que todos estamos intentando instalar (por la mejor de las intenciones).
Muchas de las aplicaciones son copias unas de otras (y heredan los mismos problemas).
La aplicación CovidSafe de Australia se basa esencialmente en Carrera abierta, al igual que el software TraceTogether de Singapur. Sin embargo, el problema es que TraceTogether tuvo una serie de problemas reportados y una mala aceptación, ya que solo el 25% de la población optó por registrarse como usuario, muy por debajo de Se requiere un 75% para que sea efectivo. Ha habido quejas sobre su rendimiento general, especialmente en iOS, por ejemplo, que las baterías se agotan muy rápidamente. CovidSafe tiene un posible defecto de UX en su versión de iOS, lo que requiere que el teléfono esté desbloqueado y que la aplicación se ejecute en primer plano para registrar todos los datos correctamente.
Si bien los problemas anteriores son molestos, la preocupación más apremiante es que las vulnerabilidades de Bluetooth abundan y ni TraceTogether ni la australiana COVIDSafe son inmunes a ellas. El 14 de mayo, El NIST informó que CovidSafe tenía una vulnerabilidad de denegación de servicio, lo que permite a un atacante bloquear la aplicación de forma remota si está a distancia de un apretón de manos por Bluetooth. Esto permitiría que un ataque organizado interrumpiera el rastreo de contactos en áreas densamente pobladas, donde resulta más útil: algo explicado en detalle del investigador de seguridad Richard Nelson. Se sabe que afecta a CovidSafe, TraceTogether, la polaca ProteGo y la canadiense AbtraceTogether. Todas ellas heredaron el problema de la defectuosa empresa OpenTrace Datos manuales. Subdatos llamada.
También existen otros problemas de privacidad y seguridad relacionados con la funcionalidad Bluetooth en general. El hecho de que esta tecnología se utilice para rastrear los movimientos humanos a través de un identificador único (TempID) y recopilar datos significativos aumentará inevitablemente el interés por los atacantes para detectar puntos débiles, momento en el que habrá que analizar minuciosamente qué es lo que se está recopilando, dónde se almacena y durante cuánto tiempo.
Algunas aplicaciones ya muestran signos de errores simples que causan debilidades complejas.
Ingeniero de software australiano Geoffrey Huntley ha estado estudiando el código fuente de CovidSafe y, lamentablemente, hay problemas que no necesariamente nos están destacando a nosotros, los usuarios finales.
Un ejemplo crítico fue un error lógico que violaba la privacidad y que permitiría a un atacante realizar un seguimiento a largo plazo de los dispositivos; algo que representa un enorme riesgo para los usuarios vulnerables, sin mencionar que contraviene la Política de privacidad de la propia aplicación.
Es importante tener en cuenta que estas vulnerabilidades lógicas se corrigieron el 14 de mayo, pero el problema más urgente es que se dejó sin corregir, en estado salvaje, durante 17 días después de que el Sr. Huntley lo denunciara. Él y otros miembros de la increíble comunidad de seguridad están rastreando las CVE relacionadas con la aplicación COVIDSafe aquí.
Una cosa que Huntley señala, después del parche, es que incluso la solución muestra signos de, bueno, incompetencia. En su público registro, señala que el parche consistía en añadir lógica en lugar de simplemente eliminar una caché defectuosa, siendo esta última una solución mucho más sólida. Ambas funcionan, pero la solución actual carece de precisión, lo que es un problema en una aplicación tan importante.
Aunque tenemos miembros diligentes de la sociedad que utilizan su tiempo y experiencia para analizar minuciosamente el código fuente y destacar los problemas, su trabajo se hace mucho más difícil que si el código fuera de código abierto en primer lugar. Tal como están las cosas, 28 aplicaciones siguen cerrados a los investigadores de seguridad.
La codificación segura sigue haciendo tropezar con nosotros en la línea de meta.
Si bien no cabe duda de que puedo entender el exceso de trabajo de los desarrolladores, así como la situación tan inusual de tener que crear una aplicación que salve vidas en medio de una pandemia, lo anterior debería destacar que unas cuantas vulnerabilidades simples en lo que es esencialmente una base de código comunitaria podrían significar problemas importantes para millones de usuarios.
Me gustaría pensar que la mayoría de las personas quieren ser buenos ciudadanos, apoyar la aplicación y dar a todos la mejor oportunidad posible de rastrear los contactos y controlar los brotes de este terrible virus. Yo también estoy a favor de la tecnología que puede ayudar a conseguirlo, pero, en muchos sentidos, esto ha puesto de manifiesto la falta general de principios de codificación seguros inherentes a los desarrolladores de todo el mundo.
En cualquier situación en la que el software deba escribirse rápidamente, los errores no son precisamente inesperados. Sin embargo, las vulnerabilidades de seguridad más comunes, como las fallas lógicas, los errores de configuración y los errores de inyección de código, deberían prevenirse mientras se escribe el código, no después de que voluntarios de sombrero blanco desmenucen el código base.
Y no es culpa de los desarrolladores, por cierto. Terminan sus estudios superiores con pocos conocimientos de programación segura y, a lo largo de sus carreras, sus KPI casi siempre se relacionan con la funcionalidad de las funciones y la velocidad de entrega; la parte de la seguridad la tiene que gestionar otra persona una vez que han terminado. Necesitamos llegar rápidamente a un estado final de codificación segura y, aunque ahora no es el momento de hacer cambios radicales en la cultura de los departamentos que crean estas aplicaciones, es un recordatorio oportuno de que nuestra área de riesgo digital se está expandiendo y que están en una posición privilegiada para marcar la diferencia si se les dan las herramientas y los conocimientos necesarios para compartir la responsabilidad de las mejores prácticas de seguridad.
¿Es seguro descargar la aplicación?
Esta es la cuestión: para mí, que soy un experto en seguridad, he llegado a la conclusión de que los beneficios de la aplicación superan a los problemas. No es ideal que las vulnerabilidades anteriores estén (o hayan estado) presentes en este software, pero las implicaciones de convertirlas en armas son las peores hipótesis posibles. Por el momento, el rastreo de contactos es un componente vital para ayudar a nuestros héroes de la medicina de todo el mundo a controlar la propagación, detener el flujo de ingresos hospitalarios y mantenerse unos a otros lo más seguros posible.
Sirve para resaltar que tenemos una largo mucho camino por recorrer cuando se trata de promulgar las mejores prácticas de seguridad de forma predeterminada en una compilación de software, y es importante que el público tenga la información necesaria para tomar decisiones informadas.
Mi familia y yo seguiremos usándolo, aunque permanecemos atentos para mantenernos al día con nuestros parches de Android, como todos deberíamos.
Una versión de este artículo apareció originalmente en DevOps Digest. Se ha actualizado y distribuido aquí.
En este punto, estoy seguro de que todos nos estamos cansando un poco de la frase «en estos tiempos sin precedentes»... pero, en realidad, estos son tiempos sin precedentes. ¿Quién hubiera pensado, a finales del año pasado, que correríamos para derrotar una pandemia destructiva a nivel mundial este año y que íbamos a hacer todo lo posible por ella? Habría parecido casi ridículo, y más parecido a una nueva serie de ciencia ficción de Netflix que a parte de nuestra realidad mundial. La COVID-19 ha transformado por completo nuestra vida social, nuestra economía y nuestra seguridad laboral, por no hablar de las prioridades políticas.
Uno de los contraataques contra la COVID-19 ha sido a través de la tecnología, y muchos países han lanzado aplicaciones de rastreo de contactos. Australia cuenta con CovidSafe, siguiendo el modelo de TraceTogether de Singapur. Hong Kong, Taiwán, China, Corea del Sur, Israel y Alemania tienen implementada o en camino la tecnología de rastreo de contactos. El Reino Unido ha sido la región más afectada de Europa, con decenas de miles de muertes relacionadas con el virus y una alta tasa de infección. El lanzamiento de su aplicación es inminente. Los Estados Unidos, que también están profundamente afectados, ya que muchas personas pierden la vida trágicamente, también están desplegando la tecnología, pero el enfoque estatal por estado del rastreo de contactos hace que su situación sea bastante compleja.
Con la excepción de países más controlados por el estado, como China y Taiwán, el uso de estas aplicaciones es voluntario y requiere que los ciudadanos descarguen y usen la tecnología por su propia cuenta. Algunas tasas de adopción tienen más éxito que otras; por ejemplo, la aplicación TraceTogether de Singapur tuvo una tasa de adopción del 25%, lo que la hace bastante ineficaz para el propósito deseado.
La idea detrás de las aplicaciones de rastreo de contactos es sólida. Esta tecnología, cuando funciona bien, garantizará que los puntos críticos se detecten rápidamente y que se puedan realizar pruebas exhaustivas, dos componentes esenciales para combatir la propagación de un virus contagioso. Sin embargo, las palabras «gobierno» y «rastreo» no son precisamente muy atractivas, y es natural que las personas se muestren cautelosas a la hora de pensar qué significaría para ellas descargar algo así.
Entonces, ¿cuáles son las principales preocupaciones de los usuarios? Si nos guiamos por los comentarios en línea, algunas de estas dudas son:
- Falta de confianza en el gobierno para utilizar los datos recopilados de manera responsable
- Temor sobre qué tan bien se protegerán los datos personales de los ciberataques
- Falta de claridad sobre qué datos se recopilan realmente, dónde se almacenan y con quién
- ... y para los desarrolladores y geeks que hay entre nosotros, la solidez con la que están realmente creadas las aplicaciones.
Siempre es un poco preocupante cuando las aplicaciones se crean rápidamente, y estas aplicaciones de rastreo de contactos tienen que implementarse en un tiempo récord. Es una pesadilla para los desarrolladores, el personal de seguridad y las agencias gubernamentales.
Entonces, ¿la desconfianza es una reacción válida? ¿Y qué debemos considerar prioritario en nuestra evaluación de las aplicaciones de rastreo de contactos de la COVID-19 y la seguridad de los usuarios finales? Como experto en seguridad, mi instinto es, por supuesto, profundizar en los elementos de ciberseguridad del programa, es decir, qué tan seguro es el código base de una aplicación que todos estamos intentando instalar (por la mejor de las intenciones).
Muchas de las aplicaciones son copias unas de otras (y heredan los mismos problemas).
La aplicación CovidSafe de Australia se basa esencialmente en Carrera abierta, al igual que el software TraceTogether de Singapur. Sin embargo, el problema es que TraceTogether tuvo una serie de problemas reportados y una mala aceptación, ya que solo el 25% de la población optó por registrarse como usuario, muy por debajo de Se requiere un 75% para que sea efectivo. Ha habido quejas sobre su rendimiento general, especialmente en iOS, por ejemplo, que las baterías se agotan muy rápidamente. CovidSafe tiene un posible defecto de UX en su versión de iOS, lo que requiere que el teléfono esté desbloqueado y que la aplicación se ejecute en primer plano para registrar todos los datos correctamente.
Si bien los problemas anteriores son molestos, la preocupación más apremiante es que las vulnerabilidades de Bluetooth abundan y ni TraceTogether ni la australiana COVIDSafe son inmunes a ellas. El 14 de mayo, El NIST informó que CovidSafe tenía una vulnerabilidad de denegación de servicio, lo que permite a un atacante bloquear la aplicación de forma remota si está a distancia de un apretón de manos por Bluetooth. Esto permitiría que un ataque organizado interrumpiera el rastreo de contactos en áreas densamente pobladas, donde resulta más útil: algo explicado en detalle del investigador de seguridad Richard Nelson. Se sabe que afecta a CovidSafe, TraceTogether, la polaca ProteGo y la canadiense AbtraceTogether. Todas ellas heredaron el problema de la defectuosa empresa OpenTrace Datos manuales. Subdatos llamada.
También existen otros problemas de privacidad y seguridad relacionados con la funcionalidad Bluetooth en general. El hecho de que esta tecnología se utilice para rastrear los movimientos humanos a través de un identificador único (TempID) y recopilar datos significativos aumentará inevitablemente el interés por los atacantes para detectar puntos débiles, momento en el que habrá que analizar minuciosamente qué es lo que se está recopilando, dónde se almacena y durante cuánto tiempo.
Algunas aplicaciones ya muestran signos de errores simples que causan debilidades complejas.
Ingeniero de software australiano Geoffrey Huntley ha estado estudiando el código fuente de CovidSafe y, lamentablemente, hay problemas que no necesariamente nos están destacando a nosotros, los usuarios finales.
Un ejemplo crítico fue un error lógico que violaba la privacidad y que permitiría a un atacante realizar un seguimiento a largo plazo de los dispositivos; algo que representa un enorme riesgo para los usuarios vulnerables, sin mencionar que contraviene la Política de privacidad de la propia aplicación.
Es importante tener en cuenta que estas vulnerabilidades lógicas se corrigieron el 14 de mayo, pero el problema más urgente es que se dejó sin corregir, en estado salvaje, durante 17 días después de que el Sr. Huntley lo denunciara. Él y otros miembros de la increíble comunidad de seguridad están rastreando las CVE relacionadas con la aplicación COVIDSafe aquí.
Una cosa que Huntley señala, después del parche, es que incluso la solución muestra signos de, bueno, incompetencia. En su público registro, señala que el parche consistía en añadir lógica en lugar de simplemente eliminar una caché defectuosa, siendo esta última una solución mucho más sólida. Ambas funcionan, pero la solución actual carece de precisión, lo que es un problema en una aplicación tan importante.
Aunque tenemos miembros diligentes de la sociedad que utilizan su tiempo y experiencia para analizar minuciosamente el código fuente y destacar los problemas, su trabajo se hace mucho más difícil que si el código fuera de código abierto en primer lugar. Tal como están las cosas, 28 aplicaciones siguen cerrados a los investigadores de seguridad.
La codificación segura sigue haciendo tropezar con nosotros en la línea de meta.
Si bien no cabe duda de que puedo entender el exceso de trabajo de los desarrolladores, así como la situación tan inusual de tener que crear una aplicación que salve vidas en medio de una pandemia, lo anterior debería destacar que unas cuantas vulnerabilidades simples en lo que es esencialmente una base de código comunitaria podrían significar problemas importantes para millones de usuarios.
Me gustaría pensar que la mayoría de las personas quieren ser buenos ciudadanos, apoyar la aplicación y dar a todos la mejor oportunidad posible de rastrear los contactos y controlar los brotes de este terrible virus. Yo también estoy a favor de la tecnología que puede ayudar a conseguirlo, pero, en muchos sentidos, esto ha puesto de manifiesto la falta general de principios de codificación seguros inherentes a los desarrolladores de todo el mundo.
En cualquier situación en la que el software deba escribirse rápidamente, los errores no son precisamente inesperados. Sin embargo, las vulnerabilidades de seguridad más comunes, como las fallas lógicas, los errores de configuración y los errores de inyección de código, deberían prevenirse mientras se escribe el código, no después de que voluntarios de sombrero blanco desmenucen el código base.
Y no es culpa de los desarrolladores, por cierto. Terminan sus estudios superiores con pocos conocimientos de programación segura y, a lo largo de sus carreras, sus KPI casi siempre se relacionan con la funcionalidad de las funciones y la velocidad de entrega; la parte de la seguridad la tiene que gestionar otra persona una vez que han terminado. Necesitamos llegar rápidamente a un estado final de codificación segura y, aunque ahora no es el momento de hacer cambios radicales en la cultura de los departamentos que crean estas aplicaciones, es un recordatorio oportuno de que nuestra área de riesgo digital se está expandiendo y que están en una posición privilegiada para marcar la diferencia si se les dan las herramientas y los conocimientos necesarios para compartir la responsabilidad de las mejores prácticas de seguridad.
¿Es seguro descargar la aplicación?
Esta es la cuestión: para mí, que soy un experto en seguridad, he llegado a la conclusión de que los beneficios de la aplicación superan a los problemas. No es ideal que las vulnerabilidades anteriores estén (o hayan estado) presentes en este software, pero las implicaciones de convertirlas en armas son las peores hipótesis posibles. Por el momento, el rastreo de contactos es un componente vital para ayudar a nuestros héroes de la medicina de todo el mundo a controlar la propagación, detener el flujo de ingresos hospitalarios y mantenerse unos a otros lo más seguros posible.
Sirve para resaltar que tenemos una largo mucho camino por recorrer cuando se trata de promulgar las mejores prácticas de seguridad de forma predeterminada en una compilación de software, y es importante que el público tenga la información necesaria para tomar decisiones informadas.
Mi familia y yo seguiremos usándolo, aunque permanecemos atentos para mantenernos al día con nuestros parches de Android, como todos deberíamos.
Klicken Sie auf den untenstehenden Link und laden Sie die PDF-Datei dieser Ressource herunter.
Secure Code Warrior hier, um Ihrem Unternehmen dabei zu helfen, den Code während des gesamten Lebenszyklus der Softwareentwicklung zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie AppSec-Administrator, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht anzeigenEine Vorführung buchen
Vorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Una versión de este artículo apareció originalmente en DevOps Digest. Se ha actualizado y distribuido aquí.
En este punto, estoy seguro de que todos nos estamos cansando un poco de la frase «en estos tiempos sin precedentes»... pero, en realidad, estos son tiempos sin precedentes. ¿Quién hubiera pensado, a finales del año pasado, que correríamos para derrotar una pandemia destructiva a nivel mundial este año y que íbamos a hacer todo lo posible por ella? Habría parecido casi ridículo, y más parecido a una nueva serie de ciencia ficción de Netflix que a parte de nuestra realidad mundial. La COVID-19 ha transformado por completo nuestra vida social, nuestra economía y nuestra seguridad laboral, por no hablar de las prioridades políticas.
Uno de los contraataques contra la COVID-19 ha sido a través de la tecnología, y muchos países han lanzado aplicaciones de rastreo de contactos. Australia cuenta con CovidSafe, siguiendo el modelo de TraceTogether de Singapur. Hong Kong, Taiwán, China, Corea del Sur, Israel y Alemania tienen implementada o en camino la tecnología de rastreo de contactos. El Reino Unido ha sido la región más afectada de Europa, con decenas de miles de muertes relacionadas con el virus y una alta tasa de infección. El lanzamiento de su aplicación es inminente. Los Estados Unidos, que también están profundamente afectados, ya que muchas personas pierden la vida trágicamente, también están desplegando la tecnología, pero el enfoque estatal por estado del rastreo de contactos hace que su situación sea bastante compleja.
Con la excepción de países más controlados por el estado, como China y Taiwán, el uso de estas aplicaciones es voluntario y requiere que los ciudadanos descarguen y usen la tecnología por su propia cuenta. Algunas tasas de adopción tienen más éxito que otras; por ejemplo, la aplicación TraceTogether de Singapur tuvo una tasa de adopción del 25%, lo que la hace bastante ineficaz para el propósito deseado.
La idea detrás de las aplicaciones de rastreo de contactos es sólida. Esta tecnología, cuando funciona bien, garantizará que los puntos críticos se detecten rápidamente y que se puedan realizar pruebas exhaustivas, dos componentes esenciales para combatir la propagación de un virus contagioso. Sin embargo, las palabras «gobierno» y «rastreo» no son precisamente muy atractivas, y es natural que las personas se muestren cautelosas a la hora de pensar qué significaría para ellas descargar algo así.
Entonces, ¿cuáles son las principales preocupaciones de los usuarios? Si nos guiamos por los comentarios en línea, algunas de estas dudas son:
- Falta de confianza en el gobierno para utilizar los datos recopilados de manera responsable
- Temor sobre qué tan bien se protegerán los datos personales de los ciberataques
- Falta de claridad sobre qué datos se recopilan realmente, dónde se almacenan y con quién
- ... y para los desarrolladores y geeks que hay entre nosotros, la solidez con la que están realmente creadas las aplicaciones.
Siempre es un poco preocupante cuando las aplicaciones se crean rápidamente, y estas aplicaciones de rastreo de contactos tienen que implementarse en un tiempo récord. Es una pesadilla para los desarrolladores, el personal de seguridad y las agencias gubernamentales.
Entonces, ¿la desconfianza es una reacción válida? ¿Y qué debemos considerar prioritario en nuestra evaluación de las aplicaciones de rastreo de contactos de la COVID-19 y la seguridad de los usuarios finales? Como experto en seguridad, mi instinto es, por supuesto, profundizar en los elementos de ciberseguridad del programa, es decir, qué tan seguro es el código base de una aplicación que todos estamos intentando instalar (por la mejor de las intenciones).
Muchas de las aplicaciones son copias unas de otras (y heredan los mismos problemas).
La aplicación CovidSafe de Australia se basa esencialmente en Carrera abierta, al igual que el software TraceTogether de Singapur. Sin embargo, el problema es que TraceTogether tuvo una serie de problemas reportados y una mala aceptación, ya que solo el 25% de la población optó por registrarse como usuario, muy por debajo de Se requiere un 75% para que sea efectivo. Ha habido quejas sobre su rendimiento general, especialmente en iOS, por ejemplo, que las baterías se agotan muy rápidamente. CovidSafe tiene un posible defecto de UX en su versión de iOS, lo que requiere que el teléfono esté desbloqueado y que la aplicación se ejecute en primer plano para registrar todos los datos correctamente.
Si bien los problemas anteriores son molestos, la preocupación más apremiante es que las vulnerabilidades de Bluetooth abundan y ni TraceTogether ni la australiana COVIDSafe son inmunes a ellas. El 14 de mayo, El NIST informó que CovidSafe tenía una vulnerabilidad de denegación de servicio, lo que permite a un atacante bloquear la aplicación de forma remota si está a distancia de un apretón de manos por Bluetooth. Esto permitiría que un ataque organizado interrumpiera el rastreo de contactos en áreas densamente pobladas, donde resulta más útil: algo explicado en detalle del investigador de seguridad Richard Nelson. Se sabe que afecta a CovidSafe, TraceTogether, la polaca ProteGo y la canadiense AbtraceTogether. Todas ellas heredaron el problema de la defectuosa empresa OpenTrace Datos manuales. Subdatos llamada.
También existen otros problemas de privacidad y seguridad relacionados con la funcionalidad Bluetooth en general. El hecho de que esta tecnología se utilice para rastrear los movimientos humanos a través de un identificador único (TempID) y recopilar datos significativos aumentará inevitablemente el interés por los atacantes para detectar puntos débiles, momento en el que habrá que analizar minuciosamente qué es lo que se está recopilando, dónde se almacena y durante cuánto tiempo.
Algunas aplicaciones ya muestran signos de errores simples que causan debilidades complejas.
Ingeniero de software australiano Geoffrey Huntley ha estado estudiando el código fuente de CovidSafe y, lamentablemente, hay problemas que no necesariamente nos están destacando a nosotros, los usuarios finales.
Un ejemplo crítico fue un error lógico que violaba la privacidad y que permitiría a un atacante realizar un seguimiento a largo plazo de los dispositivos; algo que representa un enorme riesgo para los usuarios vulnerables, sin mencionar que contraviene la Política de privacidad de la propia aplicación.
Es importante tener en cuenta que estas vulnerabilidades lógicas se corrigieron el 14 de mayo, pero el problema más urgente es que se dejó sin corregir, en estado salvaje, durante 17 días después de que el Sr. Huntley lo denunciara. Él y otros miembros de la increíble comunidad de seguridad están rastreando las CVE relacionadas con la aplicación COVIDSafe aquí.
Una cosa que Huntley señala, después del parche, es que incluso la solución muestra signos de, bueno, incompetencia. En su público registro, señala que el parche consistía en añadir lógica en lugar de simplemente eliminar una caché defectuosa, siendo esta última una solución mucho más sólida. Ambas funcionan, pero la solución actual carece de precisión, lo que es un problema en una aplicación tan importante.
Aunque tenemos miembros diligentes de la sociedad que utilizan su tiempo y experiencia para analizar minuciosamente el código fuente y destacar los problemas, su trabajo se hace mucho más difícil que si el código fuera de código abierto en primer lugar. Tal como están las cosas, 28 aplicaciones siguen cerrados a los investigadores de seguridad.
La codificación segura sigue haciendo tropezar con nosotros en la línea de meta.
Si bien no cabe duda de que puedo entender el exceso de trabajo de los desarrolladores, así como la situación tan inusual de tener que crear una aplicación que salve vidas en medio de una pandemia, lo anterior debería destacar que unas cuantas vulnerabilidades simples en lo que es esencialmente una base de código comunitaria podrían significar problemas importantes para millones de usuarios.
Me gustaría pensar que la mayoría de las personas quieren ser buenos ciudadanos, apoyar la aplicación y dar a todos la mejor oportunidad posible de rastrear los contactos y controlar los brotes de este terrible virus. Yo también estoy a favor de la tecnología que puede ayudar a conseguirlo, pero, en muchos sentidos, esto ha puesto de manifiesto la falta general de principios de codificación seguros inherentes a los desarrolladores de todo el mundo.
En cualquier situación en la que el software deba escribirse rápidamente, los errores no son precisamente inesperados. Sin embargo, las vulnerabilidades de seguridad más comunes, como las fallas lógicas, los errores de configuración y los errores de inyección de código, deberían prevenirse mientras se escribe el código, no después de que voluntarios de sombrero blanco desmenucen el código base.
Y no es culpa de los desarrolladores, por cierto. Terminan sus estudios superiores con pocos conocimientos de programación segura y, a lo largo de sus carreras, sus KPI casi siempre se relacionan con la funcionalidad de las funciones y la velocidad de entrega; la parte de la seguridad la tiene que gestionar otra persona una vez que han terminado. Necesitamos llegar rápidamente a un estado final de codificación segura y, aunque ahora no es el momento de hacer cambios radicales en la cultura de los departamentos que crean estas aplicaciones, es un recordatorio oportuno de que nuestra área de riesgo digital se está expandiendo y que están en una posición privilegiada para marcar la diferencia si se les dan las herramientas y los conocimientos necesarios para compartir la responsabilidad de las mejores prácticas de seguridad.
¿Es seguro descargar la aplicación?
Esta es la cuestión: para mí, que soy un experto en seguridad, he llegado a la conclusión de que los beneficios de la aplicación superan a los problemas. No es ideal que las vulnerabilidades anteriores estén (o hayan estado) presentes en este software, pero las implicaciones de convertirlas en armas son las peores hipótesis posibles. Por el momento, el rastreo de contactos es un componente vital para ayudar a nuestros héroes de la medicina de todo el mundo a controlar la propagación, detener el flujo de ingresos hospitalarios y mantenerse unos a otros lo más seguros posible.
Sirve para resaltar que tenemos una largo mucho camino por recorrer cuando se trata de promulgar las mejores prácticas de seguridad de forma predeterminada en una compilación de software, y es importante que el público tenga la información necesaria para tomar decisiones informadas.
Mi familia y yo seguiremos usándolo, aunque permanecemos atentos para mantenernos al día con nuestros parches de Android, como todos deberíamos.
Inhaltsverzeichnis
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior hier, um Ihrem Unternehmen dabei zu helfen, den Code während des gesamten Lebenszyklus der Softwareentwicklung zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie AppSec-Administrator, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Eine Vorführung buchenHerunterladenRessourcen für den Einstieg
Themen und Inhalte der Schulung zum Thema sicherer Code
Unsere branchenführenden Inhalte werden ständig weiterentwickelt, um sich an die sich wandelnde Landschaft der Softwareentwicklung anzupassen und dabei Ihre Rolle zu berücksichtigen. Es werden Themen angeboten, die von KI bis hin zu XQuery-Injektion reichen und sich an verschiedene Positionen richten, von Architekten und Ingenieuren bis hin zu Produktmanagern und Qualitätskontrolleuren. Verschaffen Sie sich einen Überblick über unser Angebot an Inhalten nach Thema und Funktion.
Die Kamer van Koophandel setzt Maßstäbe für entwicklergesteuerte Sicherheit in großem Maßstab
Die Kamer van Koophandel berichtet, wie sie sicheres Codieren durch rollenbasierte Zertifizierungen, Trust Score-Benchmarking und eine Kultur der gemeinsamen Verantwortung für Sicherheit in die tägliche Entwicklungsarbeit integriert hat.
%20(1).avif)
.avif)
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
Ressourcen für den Einstieg
Cybermon ist zurück: Die KI-Missionen von Beat the Boss sind jetzt auf Abruf verfügbar.
Cybermon 2025 Beat the Boss ist jetzt das ganze Jahr über bei SCW verfügbar. Implementieren Sie fortschrittliche KI- und LLM-Sicherheitsherausforderungen, um die sichere Entwicklung von KI in großem Maßstab zu stärken.
Erläuterung des Gesetzes zur Cyberresilienz: Was bedeutet es für die Entwicklung sicherer Software?
Entdecken Sie, was das EU-Gesetz zur Cyberresilienz (CRA) verlangt, für wen es gilt und wie sich Ingenieurteams mit sicheren Designpraktiken, der Vermeidung von Schwachstellen und der Entwicklung von Fähigkeiten für Entwickler darauf vorbereiten können.
SCW feiert sein 11-jähriges Bestehen: eine Lektion in Echtzeit über Anpassungsfähigkeit und kontinuierliche Verbesserung
2025 war ein großartiges Jahr für KI, Cybersicherheit und SCW. Ich gehe mit ruhiger Zuversicht und dem Optimismus, den nur harte und lohnende Arbeit mit sich bringen kann, auf das Jahr 2026 zu.