{"id":89371,"date":"2022-08-12T01:28:38","date_gmt":"2022-08-12T01:28:38","guid":{"rendered":"https:\/\/magazineoffice.com\/como-una-junta-del-gobierno-de-ee-uu-ayudo-a-la-comunidad-de-codigo-abierto-a-dar-el-salto-al-parche-log4j\/"},"modified":"2022-08-12T01:28:39","modified_gmt":"2022-08-12T01:28:39","slug":"como-una-junta-del-gobierno-de-ee-uu-ayudo-a-la-comunidad-de-codigo-abierto-a-dar-el-salto-al-parche-log4j","status":"publish","type":"post","link":"https:\/\/magazineoffice.com\/como-una-junta-del-gobierno-de-ee-uu-ayudo-a-la-comunidad-de-codigo-abierto-a-dar-el-salto-al-parche-log4j\/","title":{"rendered":"C\u00f3mo una junta del gobierno de EE. UU. ayud\u00f3 a la comunidad de c\u00f3digo abierto a dar el salto al parche Log4j"},"content":{"rendered":"


\n<\/p>\n

\n

LAS VEGAS\u2013Hace seis meses, el gobierno federal estableci\u00f3 una nueva oficina y le asign\u00f3 una primera tarea dif\u00edcil: informar sobre la respuesta p\u00fablico-privada a la vulnerabilidad Log4j que dej\u00f3 a una gran fracci\u00f3n de la web vulnerable a compromisos remotos.<\/p>\n

En un panel de discusi\u00f3n el mi\u00e9rcoles en la conferencia de seguridad de la informaci\u00f3n Black Hat aqu\u00ed, el presidente y el vicepresidente de la junta compartieron las principales lecciones aprendidas de ese esfuerzo, comenzando con una disposici\u00f3n bienvenida entre los tipos de la industria para hablar con una organizaci\u00f3n gubernamental.<\/p>\n

\u00abCreo que lo que sorprendi\u00f3 a mucha gente fue lo profundo que pod\u00eda llegar la investigaci\u00f3n\u00bb, Junta de Revisi\u00f3n de Seguridad Cibern\u00e9tica(Se abre en una nueva ventana)<\/span> El presidente (y subsecretario de pol\u00edticas del Departamento de Seguridad Nacional), Robert Silvers, le dijo al moderador del panel y fundador de Black Hat, Jeff Moss. \u00abDe hecho, creamos un resumen f\u00e1ctico de c\u00f3mo el proceso de divulgaci\u00f3n de vulnerabilidades de Log4J, la respuesta, se vino abajo\u00bb.<\/p>\n

La copresidenta Heather Adkins, vicepresidenta de ingenier\u00eda de seguridad de Google, se\u00f1al\u00f3 lo mismo y se describi\u00f3 a s\u00ed misma como \u00abmuy gratamente sorprendida\u00bb de que m\u00e1s de 80 organizaciones e investigadores de seguridad hablaran con la junta para el informe de 52 p\u00e1ginas.(Se abre en una nueva ventana)<\/span> (PDF) se public\u00f3 en julio. \u00abIncluso escuchamos de la Rep\u00fablica Popular China\u00bb. <\/p>\n

La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) inaugur\u00f3 la junta de 15 miembros en febrero, siguiendo una directiva en la orden ejecutiva sobre seguridad de la informaci\u00f3n.(Se abre en una nueva ventana)<\/span> que el presidente Biden emiti\u00f3 en mayo de 2021. Se basa aproximadamente en el modelo de la Junta Nacional de Seguridad en el Transporte, con el objetivo de brindar transparencia a un campo en el que los objetivos de los ataques a menudo se han retirado.(Se abre en una nueva ventana)<\/span> en un vago silencio sobre lo que sali\u00f3 mal.<\/p>\n

\u00abHasta que se cre\u00f3 la CSRB, realmente no hab\u00eda nadie cuyo trabajo fuera convocar a 80 empresas e investigadores de seguridad diferentes\u00bb, dijo Silvers. \u00abNuestro cargo era, averig\u00fcemos qu\u00e9 sucedi\u00f3 solo para que la comunidad pueda saber\u00bb. <\/p>\n

\u00c9l y Adkins felicitaron a organizaciones como el gigante chino del comercio electr\u00f3nico Alibaba y la Apache Software Foundation de c\u00f3digo abierto por apresurarse a parchear la vulnerabilidad en Log4j (las personas tambi\u00e9n se refieren a esta \u00abvuln\u00bb como Log4Shell o CVE-2021-44228(Se abre en una nueva ventana)<\/span>). Millones de sitios utilizan esa biblioteca Java de c\u00f3digo abierto desarrollada por Apache para registrar sus actividades, pero una falla no descubierta permiti\u00f3 a los atacantes explotarla de forma remota para ejecutar c\u00f3digo arbitrario en esos servidores. <\/p>\n

Pero el hecho de que tantas organizaciones se apresuraran a lanzar parches mientras los sitios se apresuraban a instalarlos, \u00abesta puede haber sido la respuesta cibern\u00e9tica a gran escala m\u00e1s grande de la historia\u00bb, dijo Silvers, caus\u00f3 nuevas complicaciones. <\/p>\n

\u00abHubo algunas iteraciones del parche. Definitivamente descubrimos que esto indujo algo de fatiga por el parche\u00bb, dijo. CISA intent\u00f3 aliviar esta fatiga publicando un repositorio de GitHub(Se abre en una nueva ventana)<\/span> de paquetes vulnerables a Log4j.<\/p>\n

Adkins, a su vez, coment\u00f3 que tener estas correcciones \u00abrealizadas abiertamente\u00bb inevitablemente hizo que algunos atacantes fueran m\u00e1s conscientes de la vulnerabilidad: \u00abEmpezamos a ver publicaciones en WeChat en China, hablando de esta versi\u00f3n candidata que tiene esta correcci\u00f3n\u00bb. <\/p>\n

Alibaba informar p\u00fablicamente de la vulnerabilidad sin notificar primero al gobierno chino tambi\u00e9n llev\u00f3 a Beijing a castigar a la empresa.(Se abre en una nueva ventana)<\/span>.<\/p>\n

\n
\n

Recomendado por Nuestros Editores<\/h3>\n<\/div>\n<\/div>\n

Y aunque los primeros exploits pueden haber consistido simplemente en husmear por los piratas inform\u00e1ticos, a eso le siguieron instalaciones remotas de software de miner\u00eda de criptomonedas, la venta de kits de exploits y luego el uso por parte de atacantes del estado-naci\u00f3n.<\/p>\n

\u00ab\u00bfC\u00f3mo construimos un ecosistema de software donde las cosas pueden suceder r\u00e1pidamente?\u00bb ella pregunt\u00f3. \u00ab\u00bfC\u00f3mo hacemos que el conocimiento del error sea algo irrelevante?\u00bb<\/p>\n

El resto del panel se centr\u00f3 en c\u00f3mo la junta y la industria en general podr\u00edan hacer que eso sucediera. Adkins respald\u00f3 medidas para ayudar a las fundaciones de c\u00f3digo abierto a capacitar a los desarrolladores y auditar el c\u00f3digo que podr\u00eda hacer que el esfuerzo del grupo detr\u00e1s de estos proyectos sea m\u00e1s efectivo. <\/p>\n

Como ella lo expres\u00f3: \u00abEstamos algo esquiando sobre una buena avalancha de apoyo entre la comunidad\u00bb.<\/p>\n

Silvers dijo que el gobierno deber\u00eda exigir transparencia de software a los proveedores, lo que incluye proporcionar una lista de materiales de software (SBOM, pronunciado \u00abs-bomba\u00bb) para los entregables. \u00abLa junta cree totalmente en el concepto SBOM, pero tiene que evolucionar\u00bb, dijo. \u00abTienes que saber qu\u00e9 tienes y d\u00f3nde\u00bb. <\/p>\n

\n
\n

\u00bfTe gusta lo que est\u00e1s leyendo?<\/h4>\n

Matricularse en Vigilancia de la seguridad<\/strong> bolet\u00edn de noticias para nuestras principales historias de privacidad y seguridad directamente en su bandeja de entrada.<\/p>\n

Este bolet\u00edn puede contener publicidad, ofertas o enlaces de afiliados. Suscribirse a un bolet\u00edn informativo indica su consentimiento a nuestros T\u00e9rminos de uso y Pol\u00edtica de privacidad. Puede darse de baja de los boletines en cualquier momento.<\/p>\n<\/p><\/div>\n<\/div>\n<\/div>\n