Rastreo de contactos por la COVID-19: ¿Cuál es la situación de la codificación segura?
Una versión de este artículo apareció originalmente en DevOps Digest. Se ha actualizado y distribuido aquí.
En este punto, estoy seguro de que todos nos estamos cansando un poco de la frase «en estos tiempos sin precedentes»... pero, en realidad, estos son tiempos sin precedentes. ¿Quién hubiera pensado, a finales del año pasado, que correríamos para derrotar una pandemia destructiva a nivel mundial este año y que íbamos a hacer todo lo posible por ella? Habría parecido casi ridículo, y más parecido a una nueva serie de ciencia ficción de Netflix que a parte de nuestra realidad mundial. La COVID-19 ha transformado por completo nuestra vida social, nuestra economía y nuestra seguridad laboral, por no hablar de las prioridades políticas.
Uno de los contraataques contra la COVID-19 ha sido a través de la tecnología, y muchos países han lanzado aplicaciones de rastreo de contactos. Australia cuenta con CovidSafe, siguiendo el modelo de TraceTogether de Singapur. Hong Kong, Taiwán, China, Corea del Sur, Israel y Alemania tienen implementada o en camino la tecnología de rastreo de contactos. El Reino Unido ha sido la región más afectada de Europa, con decenas de miles de muertes relacionadas con el virus y una alta tasa de infección. El lanzamiento de su aplicación es inminente. Los Estados Unidos, que también están profundamente afectados, ya que muchas personas pierden la vida trágicamente, también están desplegando la tecnología, pero el enfoque estatal por estado del rastreo de contactos hace que su situación sea bastante compleja.
Con la excepción de países más controlados por el estado, como China y Taiwán, el uso de estas aplicaciones es voluntario y requiere que los ciudadanos descarguen y usen la tecnología por su propia cuenta. Algunas tasas de adopción tienen más éxito que otras; por ejemplo, la aplicación TraceTogether de Singapur tuvo una tasa de adopción del 25%, lo que la hace bastante ineficaz para el propósito deseado.
La idea detrás de las aplicaciones de rastreo de contactos es sólida. Esta tecnología, cuando funciona bien, garantizará que los puntos críticos se detecten rápidamente y que se puedan realizar pruebas exhaustivas, dos componentes esenciales para combatir la propagación de un virus contagioso. Sin embargo, las palabras «gobierno» y «rastreo» no son precisamente muy atractivas, y es natural que las personas se muestren cautelosas a la hora de pensar qué significaría para ellas descargar algo así.
Entonces, ¿cuáles son las principales preocupaciones de los usuarios? Si nos guiamos por los comentarios en línea, algunas de estas dudas son:
- Falta de confianza en el gobierno para utilizar los datos recopilados de manera responsable
- Temor sobre qué tan bien se protegerán los datos personales de los ciberataques
- Falta de claridad sobre qué datos se recopilan realmente, dónde se almacenan y con quién
- ... y para los desarrolladores y geeks que hay entre nosotros, la solidez con la que están realmente creadas las aplicaciones.
Siempre es un poco preocupante cuando las aplicaciones se crean rápidamente, y estas aplicaciones de rastreo de contactos tienen que implementarse en un tiempo récord. Es una pesadilla para los desarrolladores, el personal de seguridad y las agencias gubernamentales.
Entonces, ¿la desconfianza es una reacción válida? ¿Y qué debemos considerar prioritario en nuestra evaluación de las aplicaciones de rastreo de contactos de la COVID-19 y la seguridad de los usuarios finales? Como experto en seguridad, mi instinto es, por supuesto, profundizar en los elementos de ciberseguridad del programa, es decir, qué tan seguro es el código base de una aplicación que todos estamos intentando instalar (por la mejor de las intenciones).
Muchas de las aplicaciones son copias unas de otras (y heredan los mismos problemas).
La aplicación CovidSafe de Australia se basa esencialmente en Carrera abierta, al igual que el software TraceTogether de Singapur. Sin embargo, el problema es que TraceTogether tuvo una serie de problemas reportados y una mala aceptación, ya que solo el 25% de la población optó por registrarse como usuario, muy por debajo de Se requiere un 75% para que sea efectivo. Ha habido quejas sobre su rendimiento general, especialmente en iOS, por ejemplo, que las baterías se agotan muy rápidamente. CovidSafe tiene un posible defecto de UX en su versión de iOS, lo que requiere que el teléfono esté desbloqueado y que la aplicación se ejecute en primer plano para registrar todos los datos correctamente.
Si bien los problemas anteriores son molestos, la preocupación más apremiante es que las vulnerabilidades de Bluetooth abundan y ni TraceTogether ni la australiana COVIDSafe son inmunes a ellas. El 14 de mayo, El NIST informó que CovidSafe tenía una vulnerabilidad de denegación de servicio, lo que permite a un atacante bloquear la aplicación de forma remota si está a distancia de un apretón de manos por Bluetooth. Esto permitiría que un ataque organizado interrumpiera el rastreo de contactos en áreas densamente pobladas, donde resulta más útil: algo explicado en detalle del investigador de seguridad Richard Nelson. Se sabe que afecta a CovidSafe, TraceTogether, la polaca ProteGo y la canadiense AbtraceTogether. Todas ellas heredaron el problema de la defectuosa empresa OpenTrace Datos manuales. Subdatos llamada.
También existen otros problemas de privacidad y seguridad relacionados con la funcionalidad Bluetooth en general. El hecho de que esta tecnología se utilice para rastrear los movimientos humanos a través de un identificador único (TempID) y recopilar datos significativos aumentará inevitablemente el interés por los atacantes para detectar puntos débiles, momento en el que habrá que analizar minuciosamente qué es lo que se está recopilando, dónde se almacena y durante cuánto tiempo.
Algunas aplicaciones ya muestran signos de errores simples que causan debilidades complejas.
Ingeniero de software australiano Geoffrey Huntley ha estado estudiando el código fuente de CovidSafe y, lamentablemente, hay problemas que no necesariamente nos están destacando a nosotros, los usuarios finales.
Un ejemplo crítico fue un error lógico que violaba la privacidad y que permitiría a un atacante realizar un seguimiento a largo plazo de los dispositivos; algo que representa un enorme riesgo para los usuarios vulnerables, sin mencionar que contraviene la Política de privacidad de la propia aplicación.
Es importante tener en cuenta que estas vulnerabilidades lógicas se corrigieron el 14 de mayo, pero el problema más urgente es que se dejó sin corregir, en estado salvaje, durante 17 días después de que el Sr. Huntley lo denunciara. Él y otros miembros de la increíble comunidad de seguridad están rastreando las CVE relacionadas con la aplicación COVIDSafe aquí.
Una cosa que Huntley señala, después del parche, es que incluso la solución muestra signos de, bueno, incompetencia. En su público registro, señala que el parche consistía en añadir lógica en lugar de simplemente eliminar una caché defectuosa, siendo esta última una solución mucho más sólida. Ambas funcionan, pero la solución actual carece de precisión, lo que es un problema en una aplicación tan importante.
Aunque tenemos miembros diligentes de la sociedad que utilizan su tiempo y experiencia para analizar minuciosamente el código fuente y destacar los problemas, su trabajo se hace mucho más difícil que si el código fuera de código abierto en primer lugar. Tal como están las cosas, 28 aplicaciones siguen cerrados a los investigadores de seguridad.
La codificación segura sigue haciendo tropezar con nosotros en la línea de meta.
Si bien no cabe duda de que puedo entender el exceso de trabajo de los desarrolladores, así como la situación tan inusual de tener que crear una aplicación que salve vidas en medio de una pandemia, lo anterior debería destacar que unas cuantas vulnerabilidades simples en lo que es esencialmente una base de código comunitaria podrían significar problemas importantes para millones de usuarios.
Me gustaría pensar que la mayoría de las personas quieren ser buenos ciudadanos, apoyar la aplicación y dar a todos la mejor oportunidad posible de rastrear los contactos y controlar los brotes de este terrible virus. Yo también estoy a favor de la tecnología que puede ayudar a conseguirlo, pero, en muchos sentidos, esto ha puesto de manifiesto la falta general de principios de codificación seguros inherentes a los desarrolladores de todo el mundo.
En cualquier situación en la que el software deba escribirse rápidamente, los errores no son precisamente inesperados. Sin embargo, las vulnerabilidades de seguridad más comunes, como las fallas lógicas, los errores de configuración y los errores de inyección de código, deberían prevenirse mientras se escribe el código, no después de que voluntarios de sombrero blanco desmenucen el código base.
Y no es culpa de los desarrolladores, por cierto. Terminan sus estudios superiores con pocos conocimientos de programación segura y, a lo largo de sus carreras, sus KPI casi siempre se relacionan con la funcionalidad de las funciones y la velocidad de entrega; la parte de la seguridad la tiene que gestionar otra persona una vez que han terminado. Necesitamos llegar rápidamente a un estado final de codificación segura y, aunque ahora no es el momento de hacer cambios radicales en la cultura de los departamentos que crean estas aplicaciones, es un recordatorio oportuno de que nuestra área de riesgo digital se está expandiendo y que están en una posición privilegiada para marcar la diferencia si se les dan las herramientas y los conocimientos necesarios para compartir la responsabilidad de las mejores prácticas de seguridad.
¿Es seguro descargar la aplicación?
Esta es la cuestión: para mí, que soy un experto en seguridad, he llegado a la conclusión de que los beneficios de la aplicación superan a los problemas. No es ideal que las vulnerabilidades anteriores estén (o hayan estado) presentes en este software, pero las implicaciones de convertirlas en armas son las peores hipótesis posibles. Por el momento, el rastreo de contactos es un componente vital para ayudar a nuestros héroes de la medicina de todo el mundo a controlar la propagación, detener el flujo de ingresos hospitalarios y mantenerse unos a otros lo más seguros posible.
Sirve para resaltar que tenemos una largo mucho camino por recorrer cuando se trata de promulgar las mejores prácticas de seguridad de forma predeterminada en una compilación de software, y es importante que el público tenga la información necesaria para tomar decisiones informadas.
Mi familia y yo seguiremos usándolo, aunque permanecemos atentos para mantenernos al día con nuestros parches de Android, como todos deberíamos.
La idea detrás de las aplicaciones de rastreo de contactos es sólida. Esta tecnología, cuando funciona bien, garantizará que los puntos críticos se detecten rápidamente y que se puedan realizar pruebas exhaustivas, dos componentes esenciales para combatir la propagación de un virus contagioso.
Chief Executive Officer, Chairman, and Co-Founder
Secure Code Warrior está aquí para que su organización le ayude a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Ya sea administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados con el código inseguro.
Reserva una demostración
Chief Executive Officer, Chairman, and Co-Founder
Pieter Danhieux is a globally recognized security expert, with over 12 years experience as a security consultant and 8 years as a Principal Instructor for SANS teaching offensive techniques on how to target and assess organizations, systems and individuals for security weaknesses. In 2016, he was recognized as one of the Coolest Tech people in Australia (Business Insider), awarded Cyber Security Professional of the Year (AISA - Australian Information Security Association) and holds GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA certifications.
Una versión de este artículo apareció originalmente en DevOps Digest. Se ha actualizado y distribuido aquí.
En este punto, estoy seguro de que todos nos estamos cansando un poco de la frase «en estos tiempos sin precedentes»... pero, en realidad, estos son tiempos sin precedentes. ¿Quién hubiera pensado, a finales del año pasado, que correríamos para derrotar una pandemia destructiva a nivel mundial este año y que íbamos a hacer todo lo posible por ella? Habría parecido casi ridículo, y más parecido a una nueva serie de ciencia ficción de Netflix que a parte de nuestra realidad mundial. La COVID-19 ha transformado por completo nuestra vida social, nuestra economía y nuestra seguridad laboral, por no hablar de las prioridades políticas.
Uno de los contraataques contra la COVID-19 ha sido a través de la tecnología, y muchos países han lanzado aplicaciones de rastreo de contactos. Australia cuenta con CovidSafe, siguiendo el modelo de TraceTogether de Singapur. Hong Kong, Taiwán, China, Corea del Sur, Israel y Alemania tienen implementada o en camino la tecnología de rastreo de contactos. El Reino Unido ha sido la región más afectada de Europa, con decenas de miles de muertes relacionadas con el virus y una alta tasa de infección. El lanzamiento de su aplicación es inminente. Los Estados Unidos, que también están profundamente afectados, ya que muchas personas pierden la vida trágicamente, también están desplegando la tecnología, pero el enfoque estatal por estado del rastreo de contactos hace que su situación sea bastante compleja.
Con la excepción de países más controlados por el estado, como China y Taiwán, el uso de estas aplicaciones es voluntario y requiere que los ciudadanos descarguen y usen la tecnología por su propia cuenta. Algunas tasas de adopción tienen más éxito que otras; por ejemplo, la aplicación TraceTogether de Singapur tuvo una tasa de adopción del 25%, lo que la hace bastante ineficaz para el propósito deseado.
La idea detrás de las aplicaciones de rastreo de contactos es sólida. Esta tecnología, cuando funciona bien, garantizará que los puntos críticos se detecten rápidamente y que se puedan realizar pruebas exhaustivas, dos componentes esenciales para combatir la propagación de un virus contagioso. Sin embargo, las palabras «gobierno» y «rastreo» no son precisamente muy atractivas, y es natural que las personas se muestren cautelosas a la hora de pensar qué significaría para ellas descargar algo así.
Entonces, ¿cuáles son las principales preocupaciones de los usuarios? Si nos guiamos por los comentarios en línea, algunas de estas dudas son:
- Falta de confianza en el gobierno para utilizar los datos recopilados de manera responsable
- Temor sobre qué tan bien se protegerán los datos personales de los ciberataques
- Falta de claridad sobre qué datos se recopilan realmente, dónde se almacenan y con quién
- ... y para los desarrolladores y geeks que hay entre nosotros, la solidez con la que están realmente creadas las aplicaciones.
Siempre es un poco preocupante cuando las aplicaciones se crean rápidamente, y estas aplicaciones de rastreo de contactos tienen que implementarse en un tiempo récord. Es una pesadilla para los desarrolladores, el personal de seguridad y las agencias gubernamentales.
Entonces, ¿la desconfianza es una reacción válida? ¿Y qué debemos considerar prioritario en nuestra evaluación de las aplicaciones de rastreo de contactos de la COVID-19 y la seguridad de los usuarios finales? Como experto en seguridad, mi instinto es, por supuesto, profundizar en los elementos de ciberseguridad del programa, es decir, qué tan seguro es el código base de una aplicación que todos estamos intentando instalar (por la mejor de las intenciones).
Muchas de las aplicaciones son copias unas de otras (y heredan los mismos problemas).
La aplicación CovidSafe de Australia se basa esencialmente en Carrera abierta, al igual que el software TraceTogether de Singapur. Sin embargo, el problema es que TraceTogether tuvo una serie de problemas reportados y una mala aceptación, ya que solo el 25% de la población optó por registrarse como usuario, muy por debajo de Se requiere un 75% para que sea efectivo. Ha habido quejas sobre su rendimiento general, especialmente en iOS, por ejemplo, que las baterías se agotan muy rápidamente. CovidSafe tiene un posible defecto de UX en su versión de iOS, lo que requiere que el teléfono esté desbloqueado y que la aplicación se ejecute en primer plano para registrar todos los datos correctamente.
Si bien los problemas anteriores son molestos, la preocupación más apremiante es que las vulnerabilidades de Bluetooth abundan y ni TraceTogether ni la australiana COVIDSafe son inmunes a ellas. El 14 de mayo, El NIST informó que CovidSafe tenía una vulnerabilidad de denegación de servicio, lo que permite a un atacante bloquear la aplicación de forma remota si está a distancia de un apretón de manos por Bluetooth. Esto permitiría que un ataque organizado interrumpiera el rastreo de contactos en áreas densamente pobladas, donde resulta más útil: algo explicado en detalle del investigador de seguridad Richard Nelson. Se sabe que afecta a CovidSafe, TraceTogether, la polaca ProteGo y la canadiense AbtraceTogether. Todas ellas heredaron el problema de la defectuosa empresa OpenTrace Datos manuales. Subdatos llamada.
También existen otros problemas de privacidad y seguridad relacionados con la funcionalidad Bluetooth en general. El hecho de que esta tecnología se utilice para rastrear los movimientos humanos a través de un identificador único (TempID) y recopilar datos significativos aumentará inevitablemente el interés por los atacantes para detectar puntos débiles, momento en el que habrá que analizar minuciosamente qué es lo que se está recopilando, dónde se almacena y durante cuánto tiempo.
Algunas aplicaciones ya muestran signos de errores simples que causan debilidades complejas.
Ingeniero de software australiano Geoffrey Huntley ha estado estudiando el código fuente de CovidSafe y, lamentablemente, hay problemas que no necesariamente nos están destacando a nosotros, los usuarios finales.
Un ejemplo crítico fue un error lógico que violaba la privacidad y que permitiría a un atacante realizar un seguimiento a largo plazo de los dispositivos; algo que representa un enorme riesgo para los usuarios vulnerables, sin mencionar que contraviene la Política de privacidad de la propia aplicación.
Es importante tener en cuenta que estas vulnerabilidades lógicas se corrigieron el 14 de mayo, pero el problema más urgente es que se dejó sin corregir, en estado salvaje, durante 17 días después de que el Sr. Huntley lo denunciara. Él y otros miembros de la increíble comunidad de seguridad están rastreando las CVE relacionadas con la aplicación COVIDSafe aquí.
Una cosa que Huntley señala, después del parche, es que incluso la solución muestra signos de, bueno, incompetencia. En su público registro, señala que el parche consistía en añadir lógica en lugar de simplemente eliminar una caché defectuosa, siendo esta última una solución mucho más sólida. Ambas funcionan, pero la solución actual carece de precisión, lo que es un problema en una aplicación tan importante.
Aunque tenemos miembros diligentes de la sociedad que utilizan su tiempo y experiencia para analizar minuciosamente el código fuente y destacar los problemas, su trabajo se hace mucho más difícil que si el código fuera de código abierto en primer lugar. Tal como están las cosas, 28 aplicaciones siguen cerrados a los investigadores de seguridad.
La codificación segura sigue haciendo tropezar con nosotros en la línea de meta.
Si bien no cabe duda de que puedo entender el exceso de trabajo de los desarrolladores, así como la situación tan inusual de tener que crear una aplicación que salve vidas en medio de una pandemia, lo anterior debería destacar que unas cuantas vulnerabilidades simples en lo que es esencialmente una base de código comunitaria podrían significar problemas importantes para millones de usuarios.
Me gustaría pensar que la mayoría de las personas quieren ser buenos ciudadanos, apoyar la aplicación y dar a todos la mejor oportunidad posible de rastrear los contactos y controlar los brotes de este terrible virus. Yo también estoy a favor de la tecnología que puede ayudar a conseguirlo, pero, en muchos sentidos, esto ha puesto de manifiesto la falta general de principios de codificación seguros inherentes a los desarrolladores de todo el mundo.
En cualquier situación en la que el software deba escribirse rápidamente, los errores no son precisamente inesperados. Sin embargo, las vulnerabilidades de seguridad más comunes, como las fallas lógicas, los errores de configuración y los errores de inyección de código, deberían prevenirse mientras se escribe el código, no después de que voluntarios de sombrero blanco desmenucen el código base.
Y no es culpa de los desarrolladores, por cierto. Terminan sus estudios superiores con pocos conocimientos de programación segura y, a lo largo de sus carreras, sus KPI casi siempre se relacionan con la funcionalidad de las funciones y la velocidad de entrega; la parte de la seguridad la tiene que gestionar otra persona una vez que han terminado. Necesitamos llegar rápidamente a un estado final de codificación segura y, aunque ahora no es el momento de hacer cambios radicales en la cultura de los departamentos que crean estas aplicaciones, es un recordatorio oportuno de que nuestra área de riesgo digital se está expandiendo y que están en una posición privilegiada para marcar la diferencia si se les dan las herramientas y los conocimientos necesarios para compartir la responsabilidad de las mejores prácticas de seguridad.
¿Es seguro descargar la aplicación?
Esta es la cuestión: para mí, que soy un experto en seguridad, he llegado a la conclusión de que los beneficios de la aplicación superan a los problemas. No es ideal que las vulnerabilidades anteriores estén (o hayan estado) presentes en este software, pero las implicaciones de convertirlas en armas son las peores hipótesis posibles. Por el momento, el rastreo de contactos es un componente vital para ayudar a nuestros héroes de la medicina de todo el mundo a controlar la propagación, detener el flujo de ingresos hospitalarios y mantenerse unos a otros lo más seguros posible.
Sirve para resaltar que tenemos una largo mucho camino por recorrer cuando se trata de promulgar las mejores prácticas de seguridad de forma predeterminada en una compilación de software, y es importante que el público tenga la información necesaria para tomar decisiones informadas.
Mi familia y yo seguiremos usándolo, aunque permanecemos atentos para mantenernos al día con nuestros parches de Android, como todos deberíamos.
Una versión de este artículo apareció originalmente en DevOps Digest. Se ha actualizado y distribuido aquí.
En este punto, estoy seguro de que todos nos estamos cansando un poco de la frase «en estos tiempos sin precedentes»... pero, en realidad, estos son tiempos sin precedentes. ¿Quién hubiera pensado, a finales del año pasado, que correríamos para derrotar una pandemia destructiva a nivel mundial este año y que íbamos a hacer todo lo posible por ella? Habría parecido casi ridículo, y más parecido a una nueva serie de ciencia ficción de Netflix que a parte de nuestra realidad mundial. La COVID-19 ha transformado por completo nuestra vida social, nuestra economía y nuestra seguridad laboral, por no hablar de las prioridades políticas.
Uno de los contraataques contra la COVID-19 ha sido a través de la tecnología, y muchos países han lanzado aplicaciones de rastreo de contactos. Australia cuenta con CovidSafe, siguiendo el modelo de TraceTogether de Singapur. Hong Kong, Taiwán, China, Corea del Sur, Israel y Alemania tienen implementada o en camino la tecnología de rastreo de contactos. El Reino Unido ha sido la región más afectada de Europa, con decenas de miles de muertes relacionadas con el virus y una alta tasa de infección. El lanzamiento de su aplicación es inminente. Los Estados Unidos, que también están profundamente afectados, ya que muchas personas pierden la vida trágicamente, también están desplegando la tecnología, pero el enfoque estatal por estado del rastreo de contactos hace que su situación sea bastante compleja.
Con la excepción de países más controlados por el estado, como China y Taiwán, el uso de estas aplicaciones es voluntario y requiere que los ciudadanos descarguen y usen la tecnología por su propia cuenta. Algunas tasas de adopción tienen más éxito que otras; por ejemplo, la aplicación TraceTogether de Singapur tuvo una tasa de adopción del 25%, lo que la hace bastante ineficaz para el propósito deseado.
La idea detrás de las aplicaciones de rastreo de contactos es sólida. Esta tecnología, cuando funciona bien, garantizará que los puntos críticos se detecten rápidamente y que se puedan realizar pruebas exhaustivas, dos componentes esenciales para combatir la propagación de un virus contagioso. Sin embargo, las palabras «gobierno» y «rastreo» no son precisamente muy atractivas, y es natural que las personas se muestren cautelosas a la hora de pensar qué significaría para ellas descargar algo así.
Entonces, ¿cuáles son las principales preocupaciones de los usuarios? Si nos guiamos por los comentarios en línea, algunas de estas dudas son:
- Falta de confianza en el gobierno para utilizar los datos recopilados de manera responsable
- Temor sobre qué tan bien se protegerán los datos personales de los ciberataques
- Falta de claridad sobre qué datos se recopilan realmente, dónde se almacenan y con quién
- ... y para los desarrolladores y geeks que hay entre nosotros, la solidez con la que están realmente creadas las aplicaciones.
Siempre es un poco preocupante cuando las aplicaciones se crean rápidamente, y estas aplicaciones de rastreo de contactos tienen que implementarse en un tiempo récord. Es una pesadilla para los desarrolladores, el personal de seguridad y las agencias gubernamentales.
Entonces, ¿la desconfianza es una reacción válida? ¿Y qué debemos considerar prioritario en nuestra evaluación de las aplicaciones de rastreo de contactos de la COVID-19 y la seguridad de los usuarios finales? Como experto en seguridad, mi instinto es, por supuesto, profundizar en los elementos de ciberseguridad del programa, es decir, qué tan seguro es el código base de una aplicación que todos estamos intentando instalar (por la mejor de las intenciones).
Muchas de las aplicaciones son copias unas de otras (y heredan los mismos problemas).
La aplicación CovidSafe de Australia se basa esencialmente en Carrera abierta, al igual que el software TraceTogether de Singapur. Sin embargo, el problema es que TraceTogether tuvo una serie de problemas reportados y una mala aceptación, ya que solo el 25% de la población optó por registrarse como usuario, muy por debajo de Se requiere un 75% para que sea efectivo. Ha habido quejas sobre su rendimiento general, especialmente en iOS, por ejemplo, que las baterías se agotan muy rápidamente. CovidSafe tiene un posible defecto de UX en su versión de iOS, lo que requiere que el teléfono esté desbloqueado y que la aplicación se ejecute en primer plano para registrar todos los datos correctamente.
Si bien los problemas anteriores son molestos, la preocupación más apremiante es que las vulnerabilidades de Bluetooth abundan y ni TraceTogether ni la australiana COVIDSafe son inmunes a ellas. El 14 de mayo, El NIST informó que CovidSafe tenía una vulnerabilidad de denegación de servicio, lo que permite a un atacante bloquear la aplicación de forma remota si está a distancia de un apretón de manos por Bluetooth. Esto permitiría que un ataque organizado interrumpiera el rastreo de contactos en áreas densamente pobladas, donde resulta más útil: algo explicado en detalle del investigador de seguridad Richard Nelson. Se sabe que afecta a CovidSafe, TraceTogether, la polaca ProteGo y la canadiense AbtraceTogether. Todas ellas heredaron el problema de la defectuosa empresa OpenTrace Datos manuales. Subdatos llamada.
También existen otros problemas de privacidad y seguridad relacionados con la funcionalidad Bluetooth en general. El hecho de que esta tecnología se utilice para rastrear los movimientos humanos a través de un identificador único (TempID) y recopilar datos significativos aumentará inevitablemente el interés por los atacantes para detectar puntos débiles, momento en el que habrá que analizar minuciosamente qué es lo que se está recopilando, dónde se almacena y durante cuánto tiempo.
Algunas aplicaciones ya muestran signos de errores simples que causan debilidades complejas.
Ingeniero de software australiano Geoffrey Huntley ha estado estudiando el código fuente de CovidSafe y, lamentablemente, hay problemas que no necesariamente nos están destacando a nosotros, los usuarios finales.
Un ejemplo crítico fue un error lógico que violaba la privacidad y que permitiría a un atacante realizar un seguimiento a largo plazo de los dispositivos; algo que representa un enorme riesgo para los usuarios vulnerables, sin mencionar que contraviene la Política de privacidad de la propia aplicación.
Es importante tener en cuenta que estas vulnerabilidades lógicas se corrigieron el 14 de mayo, pero el problema más urgente es que se dejó sin corregir, en estado salvaje, durante 17 días después de que el Sr. Huntley lo denunciara. Él y otros miembros de la increíble comunidad de seguridad están rastreando las CVE relacionadas con la aplicación COVIDSafe aquí.
Una cosa que Huntley señala, después del parche, es que incluso la solución muestra signos de, bueno, incompetencia. En su público registro, señala que el parche consistía en añadir lógica en lugar de simplemente eliminar una caché defectuosa, siendo esta última una solución mucho más sólida. Ambas funcionan, pero la solución actual carece de precisión, lo que es un problema en una aplicación tan importante.
Aunque tenemos miembros diligentes de la sociedad que utilizan su tiempo y experiencia para analizar minuciosamente el código fuente y destacar los problemas, su trabajo se hace mucho más difícil que si el código fuera de código abierto en primer lugar. Tal como están las cosas, 28 aplicaciones siguen cerrados a los investigadores de seguridad.
La codificación segura sigue haciendo tropezar con nosotros en la línea de meta.
Si bien no cabe duda de que puedo entender el exceso de trabajo de los desarrolladores, así como la situación tan inusual de tener que crear una aplicación que salve vidas en medio de una pandemia, lo anterior debería destacar que unas cuantas vulnerabilidades simples en lo que es esencialmente una base de código comunitaria podrían significar problemas importantes para millones de usuarios.
Me gustaría pensar que la mayoría de las personas quieren ser buenos ciudadanos, apoyar la aplicación y dar a todos la mejor oportunidad posible de rastrear los contactos y controlar los brotes de este terrible virus. Yo también estoy a favor de la tecnología que puede ayudar a conseguirlo, pero, en muchos sentidos, esto ha puesto de manifiesto la falta general de principios de codificación seguros inherentes a los desarrolladores de todo el mundo.
En cualquier situación en la que el software deba escribirse rápidamente, los errores no son precisamente inesperados. Sin embargo, las vulnerabilidades de seguridad más comunes, como las fallas lógicas, los errores de configuración y los errores de inyección de código, deberían prevenirse mientras se escribe el código, no después de que voluntarios de sombrero blanco desmenucen el código base.
Y no es culpa de los desarrolladores, por cierto. Terminan sus estudios superiores con pocos conocimientos de programación segura y, a lo largo de sus carreras, sus KPI casi siempre se relacionan con la funcionalidad de las funciones y la velocidad de entrega; la parte de la seguridad la tiene que gestionar otra persona una vez que han terminado. Necesitamos llegar rápidamente a un estado final de codificación segura y, aunque ahora no es el momento de hacer cambios radicales en la cultura de los departamentos que crean estas aplicaciones, es un recordatorio oportuno de que nuestra área de riesgo digital se está expandiendo y que están en una posición privilegiada para marcar la diferencia si se les dan las herramientas y los conocimientos necesarios para compartir la responsabilidad de las mejores prácticas de seguridad.
¿Es seguro descargar la aplicación?
Esta es la cuestión: para mí, que soy un experto en seguridad, he llegado a la conclusión de que los beneficios de la aplicación superan a los problemas. No es ideal que las vulnerabilidades anteriores estén (o hayan estado) presentes en este software, pero las implicaciones de convertirlas en armas son las peores hipótesis posibles. Por el momento, el rastreo de contactos es un componente vital para ayudar a nuestros héroes de la medicina de todo el mundo a controlar la propagación, detener el flujo de ingresos hospitalarios y mantenerse unos a otros lo más seguros posible.
Sirve para resaltar que tenemos una largo mucho camino por recorrer cuando se trata de promulgar las mejores prácticas de seguridad de forma predeterminada en una compilación de software, y es importante que el público tenga la información necesaria para tomar decisiones informadas.
Mi familia y yo seguiremos usándolo, aunque permanecemos atentos para mantenernos al día con nuestros parches de Android, como todos deberíamos.
Haga clic en el enlace de abajo y descargue el PDF de este recurso.
Secure Code Warrior está aquí para que su organización le ayude a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Ya sea administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados con el código inseguro.
Ver informeReserva una demostración
Chief Executive Officer, Chairman, and Co-Founder
Pieter Danhieux is a globally recognized security expert, with over 12 years experience as a security consultant and 8 years as a Principal Instructor for SANS teaching offensive techniques on how to target and assess organizations, systems and individuals for security weaknesses. In 2016, he was recognized as one of the Coolest Tech people in Australia (Business Insider), awarded Cyber Security Professional of the Year (AISA - Australian Information Security Association) and holds GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA certifications.
Una versión de este artículo apareció originalmente en DevOps Digest. Se ha actualizado y distribuido aquí.
En este punto, estoy seguro de que todos nos estamos cansando un poco de la frase «en estos tiempos sin precedentes»... pero, en realidad, estos son tiempos sin precedentes. ¿Quién hubiera pensado, a finales del año pasado, que correríamos para derrotar una pandemia destructiva a nivel mundial este año y que íbamos a hacer todo lo posible por ella? Habría parecido casi ridículo, y más parecido a una nueva serie de ciencia ficción de Netflix que a parte de nuestra realidad mundial. La COVID-19 ha transformado por completo nuestra vida social, nuestra economía y nuestra seguridad laboral, por no hablar de las prioridades políticas.
Uno de los contraataques contra la COVID-19 ha sido a través de la tecnología, y muchos países han lanzado aplicaciones de rastreo de contactos. Australia cuenta con CovidSafe, siguiendo el modelo de TraceTogether de Singapur. Hong Kong, Taiwán, China, Corea del Sur, Israel y Alemania tienen implementada o en camino la tecnología de rastreo de contactos. El Reino Unido ha sido la región más afectada de Europa, con decenas de miles de muertes relacionadas con el virus y una alta tasa de infección. El lanzamiento de su aplicación es inminente. Los Estados Unidos, que también están profundamente afectados, ya que muchas personas pierden la vida trágicamente, también están desplegando la tecnología, pero el enfoque estatal por estado del rastreo de contactos hace que su situación sea bastante compleja.
Con la excepción de países más controlados por el estado, como China y Taiwán, el uso de estas aplicaciones es voluntario y requiere que los ciudadanos descarguen y usen la tecnología por su propia cuenta. Algunas tasas de adopción tienen más éxito que otras; por ejemplo, la aplicación TraceTogether de Singapur tuvo una tasa de adopción del 25%, lo que la hace bastante ineficaz para el propósito deseado.
La idea detrás de las aplicaciones de rastreo de contactos es sólida. Esta tecnología, cuando funciona bien, garantizará que los puntos críticos se detecten rápidamente y que se puedan realizar pruebas exhaustivas, dos componentes esenciales para combatir la propagación de un virus contagioso. Sin embargo, las palabras «gobierno» y «rastreo» no son precisamente muy atractivas, y es natural que las personas se muestren cautelosas a la hora de pensar qué significaría para ellas descargar algo así.
Entonces, ¿cuáles son las principales preocupaciones de los usuarios? Si nos guiamos por los comentarios en línea, algunas de estas dudas son:
- Falta de confianza en el gobierno para utilizar los datos recopilados de manera responsable
- Temor sobre qué tan bien se protegerán los datos personales de los ciberataques
- Falta de claridad sobre qué datos se recopilan realmente, dónde se almacenan y con quién
- ... y para los desarrolladores y geeks que hay entre nosotros, la solidez con la que están realmente creadas las aplicaciones.
Siempre es un poco preocupante cuando las aplicaciones se crean rápidamente, y estas aplicaciones de rastreo de contactos tienen que implementarse en un tiempo récord. Es una pesadilla para los desarrolladores, el personal de seguridad y las agencias gubernamentales.
Entonces, ¿la desconfianza es una reacción válida? ¿Y qué debemos considerar prioritario en nuestra evaluación de las aplicaciones de rastreo de contactos de la COVID-19 y la seguridad de los usuarios finales? Como experto en seguridad, mi instinto es, por supuesto, profundizar en los elementos de ciberseguridad del programa, es decir, qué tan seguro es el código base de una aplicación que todos estamos intentando instalar (por la mejor de las intenciones).
Muchas de las aplicaciones son copias unas de otras (y heredan los mismos problemas).
La aplicación CovidSafe de Australia se basa esencialmente en Carrera abierta, al igual que el software TraceTogether de Singapur. Sin embargo, el problema es que TraceTogether tuvo una serie de problemas reportados y una mala aceptación, ya que solo el 25% de la población optó por registrarse como usuario, muy por debajo de Se requiere un 75% para que sea efectivo. Ha habido quejas sobre su rendimiento general, especialmente en iOS, por ejemplo, que las baterías se agotan muy rápidamente. CovidSafe tiene un posible defecto de UX en su versión de iOS, lo que requiere que el teléfono esté desbloqueado y que la aplicación se ejecute en primer plano para registrar todos los datos correctamente.
Si bien los problemas anteriores son molestos, la preocupación más apremiante es que las vulnerabilidades de Bluetooth abundan y ni TraceTogether ni la australiana COVIDSafe son inmunes a ellas. El 14 de mayo, El NIST informó que CovidSafe tenía una vulnerabilidad de denegación de servicio, lo que permite a un atacante bloquear la aplicación de forma remota si está a distancia de un apretón de manos por Bluetooth. Esto permitiría que un ataque organizado interrumpiera el rastreo de contactos en áreas densamente pobladas, donde resulta más útil: algo explicado en detalle del investigador de seguridad Richard Nelson. Se sabe que afecta a CovidSafe, TraceTogether, la polaca ProteGo y la canadiense AbtraceTogether. Todas ellas heredaron el problema de la defectuosa empresa OpenTrace Datos manuales. Subdatos llamada.
También existen otros problemas de privacidad y seguridad relacionados con la funcionalidad Bluetooth en general. El hecho de que esta tecnología se utilice para rastrear los movimientos humanos a través de un identificador único (TempID) y recopilar datos significativos aumentará inevitablemente el interés por los atacantes para detectar puntos débiles, momento en el que habrá que analizar minuciosamente qué es lo que se está recopilando, dónde se almacena y durante cuánto tiempo.
Algunas aplicaciones ya muestran signos de errores simples que causan debilidades complejas.
Ingeniero de software australiano Geoffrey Huntley ha estado estudiando el código fuente de CovidSafe y, lamentablemente, hay problemas que no necesariamente nos están destacando a nosotros, los usuarios finales.
Un ejemplo crítico fue un error lógico que violaba la privacidad y que permitiría a un atacante realizar un seguimiento a largo plazo de los dispositivos; algo que representa un enorme riesgo para los usuarios vulnerables, sin mencionar que contraviene la Política de privacidad de la propia aplicación.
Es importante tener en cuenta que estas vulnerabilidades lógicas se corrigieron el 14 de mayo, pero el problema más urgente es que se dejó sin corregir, en estado salvaje, durante 17 días después de que el Sr. Huntley lo denunciara. Él y otros miembros de la increíble comunidad de seguridad están rastreando las CVE relacionadas con la aplicación COVIDSafe aquí.
Una cosa que Huntley señala, después del parche, es que incluso la solución muestra signos de, bueno, incompetencia. En su público registro, señala que el parche consistía en añadir lógica en lugar de simplemente eliminar una caché defectuosa, siendo esta última una solución mucho más sólida. Ambas funcionan, pero la solución actual carece de precisión, lo que es un problema en una aplicación tan importante.
Aunque tenemos miembros diligentes de la sociedad que utilizan su tiempo y experiencia para analizar minuciosamente el código fuente y destacar los problemas, su trabajo se hace mucho más difícil que si el código fuera de código abierto en primer lugar. Tal como están las cosas, 28 aplicaciones siguen cerrados a los investigadores de seguridad.
La codificación segura sigue haciendo tropezar con nosotros en la línea de meta.
Si bien no cabe duda de que puedo entender el exceso de trabajo de los desarrolladores, así como la situación tan inusual de tener que crear una aplicación que salve vidas en medio de una pandemia, lo anterior debería destacar que unas cuantas vulnerabilidades simples en lo que es esencialmente una base de código comunitaria podrían significar problemas importantes para millones de usuarios.
Me gustaría pensar que la mayoría de las personas quieren ser buenos ciudadanos, apoyar la aplicación y dar a todos la mejor oportunidad posible de rastrear los contactos y controlar los brotes de este terrible virus. Yo también estoy a favor de la tecnología que puede ayudar a conseguirlo, pero, en muchos sentidos, esto ha puesto de manifiesto la falta general de principios de codificación seguros inherentes a los desarrolladores de todo el mundo.
En cualquier situación en la que el software deba escribirse rápidamente, los errores no son precisamente inesperados. Sin embargo, las vulnerabilidades de seguridad más comunes, como las fallas lógicas, los errores de configuración y los errores de inyección de código, deberían prevenirse mientras se escribe el código, no después de que voluntarios de sombrero blanco desmenucen el código base.
Y no es culpa de los desarrolladores, por cierto. Terminan sus estudios superiores con pocos conocimientos de programación segura y, a lo largo de sus carreras, sus KPI casi siempre se relacionan con la funcionalidad de las funciones y la velocidad de entrega; la parte de la seguridad la tiene que gestionar otra persona una vez que han terminado. Necesitamos llegar rápidamente a un estado final de codificación segura y, aunque ahora no es el momento de hacer cambios radicales en la cultura de los departamentos que crean estas aplicaciones, es un recordatorio oportuno de que nuestra área de riesgo digital se está expandiendo y que están en una posición privilegiada para marcar la diferencia si se les dan las herramientas y los conocimientos necesarios para compartir la responsabilidad de las mejores prácticas de seguridad.
¿Es seguro descargar la aplicación?
Esta es la cuestión: para mí, que soy un experto en seguridad, he llegado a la conclusión de que los beneficios de la aplicación superan a los problemas. No es ideal que las vulnerabilidades anteriores estén (o hayan estado) presentes en este software, pero las implicaciones de convertirlas en armas son las peores hipótesis posibles. Por el momento, el rastreo de contactos es un componente vital para ayudar a nuestros héroes de la medicina de todo el mundo a controlar la propagación, detener el flujo de ingresos hospitalarios y mantenerse unos a otros lo más seguros posible.
Sirve para resaltar que tenemos una largo mucho camino por recorrer cuando se trata de promulgar las mejores prácticas de seguridad de forma predeterminada en una compilación de software, y es importante que el público tenga la información necesaria para tomar decisiones informadas.
Mi familia y yo seguiremos usándolo, aunque permanecemos atentos para mantenernos al día con nuestros parches de Android, como todos deberíamos.
Tabla de contenido
Chief Executive Officer, Chairman, and Co-Founder
Secure Code Warrior está aquí para que su organización le ayude a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Ya sea administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados con el código inseguro.
Reserva una demostraciónDescargarRecursos para empezar
Temas y contenido de formación sobre código seguro
Nuestro contenido líder en la industria siempre está evolucionando para adaptarse al cambiante panorama del desarrollo de software teniendo en cuenta su función. Se ofrecen temas que abarcan desde la IA hasta la inyección de XQuery para distintos puestos, desde arquitectos e ingenieros hasta directores de productos y control de calidad. Obtenga un adelanto de lo que ofrece nuestro catálogo de contenido por tema y función.
%20(1).avif)
.avif)
Threat Modeling with AI: Turning Every Developer into a Threat Modeler
Walk away better equipped to help developers combine threat modeling ideas and techniques with the AI tools they're already using to strengthen security, improve collaboration, and build more resilient software from the start.
Recursos para empezar
Cybermon está de vuelta: las misiones de IA de Beat the Boss ya están disponibles bajo demanda
Cybermon 2025 Beat the Boss ya está disponible durante todo el año en SCW. Implemente desafíos de seguridad avanzados de IA y LLM para fortalecer el desarrollo seguro de la IA a gran escala.
Explicación de la Ley de Ciberresiliencia: qué significa para el desarrollo de software seguro por diseño
Descubra qué exige la Ley de Ciberresiliencia (CRA) de la UE, a quién se aplica y cómo los equipos de ingeniería pueden prepararse con prácticas de diseño seguras, prevención de vulnerabilidades y desarrollo de capacidades para desarrolladores.
Habilitador 1: Criterios de éxito definidos y medibles
Enabler 1 da inicio a nuestra serie Enablers of Success, de 10 partes, mostrando cómo vincular la codificación segura con los resultados empresariales, como la reducción del riesgo y la velocidad para lograr la madurez del programa a largo plazo.
