• Durant 2 setmanes i amb la participació exclusiva d’un conjunt de reputats experts en ciberseguretat, s’han identificat 5 bugs en els actius inclosos en l’abast de la prova pilot
  • El Catalonia-CERT de l’Agència de Ciberseguretat ha supervisat el desenvolupament programa pilot amb la validació de les vulnerabilitats identificades i la gestió de la seva corresponent solució
  • La Generalitat utilitzarà programes bug bounty per aconseguir uns sistemes d’informació més segurs, promoure la participació i aproximar l’Administració Pública a la ciutadania
Persona d'esquenes teclejant un ordinador amb la imatge d'un candau a la pantalla

En ciberseguretat, una vulnerabilitat és una feblesa d’un sistema informàtic que posa en risc la seva seguretat i pot permetre que un atacant en comprometi la informació. Segons la llista CVE (Comon Vulnerabilities and Exposure), el nombre de  tipus de vulnerabilitats identificades i degudament classificades es comptabilitza per milers cada any. El 2016 es van identificar 6.447 noves vulnerabilitats, però el seu nombre va fer un important salt durant els anys següents: 14.714 el 2017, 16.556 el 2018 i 12.174 el 2019[1]. Es pot identificar com el nombre de deteccions de vulnerabilitats en aplicacions, dispositius i sistemes d’informació segueix una tendència creixent, al mateix temps que proliferen les noves tecnologies.

Què és un programa bug bounty?

Una de les pràctiques que es duen a terme en l’àmbit de la ciberseguretat amb l’objectiu d’identificar les vulnerabilitats existents és la realització de pentests o testos de penetració. Són anàlisis informàtiques en què es fan proves d’intrusió per posar a prova un actiu informàtic per descobrir-ne les vulnerabilitats o errors de seguretat amb la finalitat de prevenir possibles atacs.

Tot i que aquestes pràctiques són elements clau en l’anàlisi de la seguretat dels elements TIC corporatius, també presenten certes limitacions inherents. Els testos de penetració són accions puntuals i de limitada durada, involucren un nombre reduït de pentesters i requereixen una identificació acurada prèvia dels objectius a analitzar.

Per donar resposta als punts febles de la pràctica de pentests, sorgeixen els programes bug bounty, és a dir, l’establiment d’un marc controlat on s’ofereix una recompensa (bounty) per a la detecció d’errors (bugs). En aquests programes, una organització, companyia o desenvolupador de programari, estableix unes normes segons les quals s’ofereixen recompenses (tant monetàries com no) als individus que hi participen per reportar errors, vulnerabilitats o fallades de seguretat. A diferència dels testos de penetració, aquests programes poden allargar-se en el temps indefinidament, poden involucrar un elevat nombre d’investigadors i els objectius a analitzar poden ser indeterminats.

Aquests programés, a més, ofereixen l’oportunitat als experts en ciberseguretat per participar activament en la millora de la ciberseguretat, al mateix temps que són reconeguts per fer-ho.

 

Programa pioner a l’Administració Pública

Mentre els programes bug bounty són habituals en entorns corporatius o privats, encara no són una pràctica habitual dins de l’Administració Pública. El 2016 va tenir lloc el primer programa de recompensa del govern dels EUA, “Hack the Pentagon”, una pràctica exitosa que encara es du a terme a dia d’avui. A la UE, els Països Baixos porten la davantera i, des del 2013, disposen d’una política que estableix els mecanismes per a la revelació de vulnerabilitats, els canals de comunicació, les condicions de resolució dels errors detectats i les possibles recompenses[2]. Més recentment, el 2019, el programa bug bounty EU-FOSSA 2[3] destinat a detectar errors en el programari obert utilitzat per les institucions de la UE ha aconseguit crear un notable impacte en els mitjans d’informació especialitzats.

En aquest context, el dia 11 de desembre de 2020 i durant dues setmanes, l’Agència de Ciberseguretat de Catalunya del Departament de Polítiques Digitals i Administració Pública, en coordinació amb Departament de la Vicepresidència i d'Economia i Hisenda, ha endegat la realització d’una prova pilot pionera per a la realització d’un programa bug bounty sobre un conjunt d’actius de la Generalitat de Catalunya. Entre els actius analitzats hi ha una part de la web de la web que proveeix de serveis al Departament de la Vicepresidència i d'Economia i Hisenda i les apps de la Generalitat de Catalunya que es poden trobar als mercats oficials de Play Store de Google i l’App Store d’Apple.

En aquest cas, la prova pilot ha consistit en un programa bug bounty limitat en el temps que ha comptat amb la participació d’un nombre restringit d’investigadors que hi participen a través d’una invitació personal i exclusiva. Entre els participants hi figuren reputats professionals de la ciberseguretat del panorama nacional i estatal, entre els quals hi figuren tres dels 100 investigadors del món amb millor valoració, segons la prestigiosa plataforma Hackerone[4].

En aquest cas, els professionals de la ciberseguretat involucrats en el programa pilot han participat de manera desinteressada. Són la constatació del talent existent i proven la voluntat de la societat civil per participar en iniciatives que permetin disposar d’una Administració Pública i digital més segura al benefici de tothom.

 

Conclusions de la prova pilot

Els investigadors participants en el programa han provat la capacitat col·lectiva  per analitzar i identificar vulnerabilitats sobre els actius a analitzar. Els investigadors han realitzat les seves tasques de recerca seguint rigorosament una norma acordada per garantir que tota acció és segura, fonamentada i persegueix el benefici col·lectiu del programa. Cada vulnerabilitat identificada ha estat examinada, classificada i s’ha procedit a donar-li solució. En aquest sentit, l’equip de resposta a incidents Catalonia-CERT de l’Agència de Ciberseguretat de Catalunya ha participat activament en la supervisió de tot el procés.

En total, s’han informat 2 vulnerabilitats presents en les webs i 3 en les apps, fet que ha permès procedir a la seva resolució i evitar que puguin ser explotades en un futur per un actor maliciós.

Malgrat el limitat abast en temps i actius a analitzar d’aquesta prova pilot, els resultats permeten constatar que un programa bug bounty és un mecanisme per incentivar la participació dels experts en ciberseguretat d’entre la societat civil amb l’objectiu de reforçar la seguretat dels sistemes d’informació de l’Administració Pública que, en definitiva, són els mitjans informàtics de què disposa la ciutadania per interactuar amb els serveis públics. Queda demostrat que, si l’Administració Pública és capaç d’alinear i involucrar el talent col·lectiu en matèria de ciberseguretat que existeix entre la ciutadania, n’esdevé una millora de la seguretat dels sistemes d’informació públics que va més enllà dels resultats obtinguts en les accions tradicionals.

Després d’aquesta experiència positiva, en un futur, la Generalitat de Catalunya obté l’experiència per posar en pràctica programes de bug bounty que, si bé seran útils per aconseguir uns sistemes d’informació més segurs, també esdevindran un mecanisme per promoure la participació i aproximar l’Administració Pública a la ciutadania, així com ha de permetre mobilitzar els professionals de la ciberseguretat del país i identificar-ne el talent de valor.

Més informació a Agència de Ciberseguretat de Catalunya

 

 

 

 

[1] https://www.cvedetails.com/browse-by-date.php

[2] https://english.ncsc.nl/publications/publications/2019/juni/01/coordinated-vulnerability-disclosure-the-guideline

[3] https://ec.europa.eu/info/news/eu-fossa-bug-bounties-full-force-2019-apr-05_en

[4] https://hackerone.com/leaderboard