2 puntos por GN⁺ 2023-08-29 | 1 comentarios | Compartir por WhatsApp
  • Estudiantes que revisaron de buena fe Fizz, una app social anónima que estaba ganando popularidad en el campus de Stanford, descubrieron acceso de lectura y escritura a toda la base de datos, además de información de usuarios y publicaciones no anonimizada
  • Los investigadores enviaron un reporte de divulgación de vulnerabilidades y propuestas de corrección, y hasta aceptaron retrasar la divulgación pública para darle tiempo a Fizz de arreglarlo, pero después la respuesta cambió a amenazas legales
  • Fizz exigió que no revelaran lo que habían encontrado, mencionando violaciones a leyes estatales y federales, responsabilidad civil y penal, y la posibilidad de 20 años de prisión
  • Los investigadores obtuvieron representación legal gratuita de Kurt Opsahl y Andrew Crocker de la Electronic Frontier Foundation, y no cedieron ante la exigencia de guardar silencio
  • Incluso en investigaciones de seguridad hechas de buena fe, es más seguro dejar registro del objetivo, el alcance y las acciones realizadas, evitar guardar o filtrar datos y manipular cuentas, y no enfrentar amenazas legales en solitario

Problemas de seguridad encontrados en Fizz

  • La app de redes sociales anónimas Fizz, una startup fundada por estudiantes de Stanford, se estaba volviendo popular en el campus, y promocionaba algo muy cercano a “100% secure”
  • Como era un espacio donde los usuarios publicaban historias sensibles, estudiantes interesados en seguridad quisieron comprobar si esa información realmente estaba protegida
  • En cuestión de horas lograron acceso completo de lectura y escritura a la base de datos de Fizz
    • La base contenía información de usuarios y publicaciones
    • Esa información no estaba completamente anonimizada
  • Los investigadores concluyeron que Fizz casi no tenía protecciones de seguridad

De la divulgación responsable a las amenazas legales

  • Los investigadores organizaron sus hallazgos en un reporte de divulgación de vulnerabilidades y se lo enviaron por correo a Fizz
  • El reporte incluía los problemas encontrados y propuestas de corrección, y además acordaron por adelantado no hablar públicamente del tema hasta una fecha de embargo específica para darle tiempo a Fizz de arreglarlo
  • Al principio, Fizz respondió agradeciendo el reporte y diciendo que corregir el problema era su prioridad máxima, y durante algunas semanas envió ciertas actualizaciones
  • Después cambió de actitud y empezó a enviar amenazas a los investigadores, mencionando violaciones a leyes estatales y federales, así como responsabilidad civil y penal
    • Las amenazas incluían incluso la posibilidad de 20 años de prisión
    • El punto central era exigir que no divulgaran lo que habían encontrado
    • La estructura del mensaje era que, si aceptaban guardar silencio, no impulsarían acciones legales, y el plazo para responder era de 5 días
  • Los investigadores interpretaron esto como un intento de intimidarlos para silenciarlos

Apoyo legal de la EFF y resolución

  • Los investigadores pidieron ayuda a su red de contactos y, en pocos días, fueron conectados con Kurt Opsahl y Andrew Crocker de la Electronic Frontier Foundation
  • Ambos aceptaron representarlos gratuitamente, y los investigadores les explicaron el proceso de divulgación y los documentos relacionados
  • Después de recibir asesoría legal, decidieron no ceder ante las amenazas de Fizz
  • Kurt y Andrew redactaron la respuesta para enviar a Fizz, y luego el equipo de Fizz pidió una reunión
  • Ambas partes resolvieron la situación de forma amistosa, y los investigadores presionaron a Fizz para que revelara el problema de manera proactiva a sus usuarios
  • Fizz finalmente informó a sus usuarios sobre el problema

Principios que deben seguir los investigadores de seguridad

  • Mantener la investigación como algo legítimo y documentado
    • Antes de investigar, hay que dejar claro el objetivo y confirmar que no se están cruzando límites éticos
    • Los investigadores no guardaron ni filtraron datos a los que podían acceder
    • No manipularon cuentas de otras personas ni causaron daños
    • Documentaron todo con detalle, y eso ayudó tanto a redactar el reporte de vulnerabilidades como a responder legalmente
  • Hace falta responder con calma
    • Incluso si se reciben amenazas legales, hay que responder de forma profesional
    • El objetivo es resolver la situación sin escalar el problema
    • Responder correos de forma emocional puede dañar la posibilidad de una resolución amistosa
  • Hay que conseguir un abogado

    • Intentar manejar amenazas legales por cuenta propia puede ser un gran error
    • Consideran que Fizz esperaba que los investigadores cedieran ingenuamente ante las amenazas
    • No todo el mundo puede recibir representación gratuita de la EFF, pero hay cada vez más recursos para investigadores de seguridad que actúan de buena fe, así que conviene aprovecharlos

1 comentarios

 
GN⁺ 2023-08-29
Opiniones de Hacker News
  • No soy abogado, pero por trabajo me interesa esta zona extraña de la ley, y parece que el abogado del equipo de la EFF aquí hizo una afirmación un poco forzada.
    Fizz es una aplicación cliente/servidor, probablemente una webapp, y lo que probaron los investigadores fue software que corría en los servidores de Fizz.
    Tras encontrar la vulnerabilidad, los investigadores usaron la actividad de base de datos que habían obtenido para crear una cuenta de administrador, y nunca habían recibido autorización para esta prueba.
    Si estos hechos son correctos, salvo que haya alguna ley de California que desconozco —e incluso en ese caso quizá sería irrelevante por la supremacía de la ley federal—, me parece que, a diferencia de lo que sostiene la respuesta de la EFF, violaron la CFAA de forma bastante directa.
    Dicho eso, hay al menos tres factores que reducen el riesgo legal: por lo publicado y por su conducta posterior, queda claro que fue investigación de seguridad de buena fe, lo que los vuelve poco atractivos como objetivo de una acusación; tampoco está claro que haya habido un daño significativo; y Fizz es pequeña y nueva, así que parece poco probable que esto haya llegado hasta una firma forense o a una liquidación con una aseguradora.
    Además, que los abogados de Fizz hayan amenazado a los investigadores con cargos penales para obtener concesiones valiosas, como señaló la EFF, viola las reglas del colegio de abogados estatal.
    Aquí parece que ganó el lado bueno, pero sería prudente no generalizar demasiadas lecciones. Si en lugar de Fizz hubiera sido la función social de Dunder Mifflin Infinity, el resultado podría haber sido mucho más duro.

    • Como señaló un amigo, la rama en la que se apoyó la EFF era bastante sólida. El DOJ emitió una declaración de política indicando que no acusará la investigación de seguridad de buena fe.
      https://www.justice.gov/opa/pr/department-justice-announces-...
    • Si esto funciona como “con una investigación de seguridad no solicitada se pueden acumular fácilmente daños de cinco o seis cifras”, entonces parece un problema de la ley vigente.
      La magnitud de los “daños” queda en manos de la víctima, y le da a una gran burocracia un incentivo perverso para gastar arbitrariamente recursos que para ella son menores, pero grandes en términos absolutos, con el fin de imponer castigos severos a un actor imperfecto que la dejó en ridículo.
      Incluso si esas medidas estuvieran dentro de un rango justificable, también es inapropiado trasladarle el costo a la persona que informó de la necesidad de tomarlas. Si operabas un servicio público con una vulnerabilidad grave, independientemente de si esta persona actuó de manera indebida, tenías que evaluar la posibilidad de que alguien más la hubiera explotado.
      La causa de ese costo es tu propia conducta al operar un servicio vulnerable, y es un costo que habrías tenido que asumir después de ponerlo en operación incluso si hubieras descubierto la vulnerabilidad por tu cuenta.
      Los daños atribuibles al acusado deberían limitarse al daño que efectivamente causó, por ejemplo, si hubiera usado el acceso para obtener información financiera de clientes y cometer fraude con tarjetas de crédito.
    • Creo que la “rama” en la que se apoyó el abogado de la EFF, al final, habría sido un punto a discutir en tribunales.
      Si la configuración de la app era tan mala que, con solo seguir el protocolo de Firebase, se obtenían permisos de escritura en la base de datos, se puede argumentar fácilmente que en realidad no se eludió ninguna medida de seguridad. Porque no había medida de seguridad que eludir.
      Me recuerda al caso en que AT&T simplemente puso la información de suscriptores de datos de iPad en una página web no listada. No recuerdo el resultado, pero entiendo que en aquel caso la persona intentó extraer la mayor cantidad posible de datos a los que podía acceder, lo cual es distinto de esto.
    • Buen análisis. De verdad no entiendo quién en la década de 2020 cree que una prueba de penetración no solicitada sea algo sensato y bien recibido.
      En el texto original no parece haber un “mea culpa”, pero aunque el tono del artículo sea medio meme, tipo “¿pueden creer lo que esta gente intentó hacer?”, espero que hayan aprendido la lección.
      Sus intenciones parecen buenas, pero da la impresión de que violaron la ley con bastante claridad.
    • Una salvedad importante es que, aunque técnicamente pueda ser una violación de la CFAA, es muy poco probable que el DOJ realmente presente cargos.
      El año pasado, el DOJ actualizó su política de acusaciones bajo la CFAA para no procesar a quienes realizan “investigación de seguridad de buena fe” [1].
      La CFAA es notoriamente amplia, así que la política del DOJ se queda bastante corta en comparación con reformar la ley para aclarar mejor la legalidad de la investigación de seguridad.
      Aun así hay riesgo, porque una nueva administración podría cambiar la política, pero es menos riesgoso que antes de que se formalizara.
      [1] https://www.justice.gov/opa/pr/department-justice-announces-...
  • En contratos o, especialmente, en comunicaciones legales amenazantes, cuesta entender por qué quien las redacta casi no enfrenta consecuencias por no escribir el contenido con precisión.
    He visto frases en contratos laborales como “si una parte de este contrato resulta inválida, el resto no quedará invalidado”. El empleador intenta hacer cumplir sus propias reglas, y eso en sí es razonable, pero no hay ninguna desventaja por incluir cosas que no están permitidas. Como mucho, un tribunal considerará inválida esa cláusula.
    La carga recae sobre el lector, que por lo general es la parte mucho más débil.
    Aquí también, ¿por qué una empresa puede enviar una carta amenazante del tipo “¡por esto podrías ir 20 años a una prisión federal!”? Aunque sea claramente falso.
    ¿No debería recaer sobre quien redacta la responsabilidad de garantizar que el contenido sea razonable? Si es absurdo y demostrablemente incorrecto, ¿no debería haber una consecuencia negativa mayor que “ah, no pasó nada”?

    • El concepto de que “aunque una parte del contrato sea inválida, el resto se mantiene” es la separabilidad; existe en casi todos los contratos y normalmente se limita a cláusulas que no son fundamentales para la esencia del contrato.
      Como dijiste, qué es fundamental lo interpreta el tribunal.
      En el ejemplo del contrato laboral, la separabilidad también te protege a ti como individuo. Porque aunque algunas cláusulas queden invalidadas, el resto del acuerdo, incluidas las cláusulas que te protegen, sigue vigente.
      Si todo el contrato quedara invalidado, habría que empezar de nuevo sin nada, y quizá hasta podrías perder el empleo. Tener algo de protección es mejor que tener cero.
    • La separabilidad es el concepto que permite eliminar una parte de un contrato y mantener el resto, siempre que eso no cambie de manera fundamental las condiciones del contrato; proviene del derecho constitucional y buscaba evitar que la jurisprudencia se diera vuelta por completo con cada caso nuevo.
      Evita que ambas partes se liberen de todas sus obligaciones legales por un tecnicismo menor, o que incluyan deliberadamente cláusulas venenosas que no resistirían una revisión legal.
      Si una parte del contrato queda invalidada, esa parte no puede usarse. Si la invalidez de esa parte cambia fundamentalmente el contrato, entonces todo el contrato queda invalidado. No sé qué más se espera de eso.
      Suena como si se propusiera una respuesta punitiva por haber redactado un mal contrato, y eso me parece una idea bastante mala porque podría generar un efecto inhibidor sobre la formación de todo tipo de relaciones legales y comerciales.
      También es probable que afecte más a la parte débil, que tiene menos acceso a redactores legales sólidos. Si incluso negociar cambios en el texto contractual se convierte en un campo minado de responsabilidad para quien negocia, ¿no quedaría la carga de responsabilidad aún más desproporcionada para un actor pequeño enfrentado a todo un equipo legal?
      No veo bien cómo el mundo que imaginas no terminaría creando más riesgos para las partes débiles que el mundo actual.
    • Sin duda hay casos excesivos, pero es difícil trazar una línea clara.
      En contextos de buena fe, la ley y la jurisprudencia cambian rápido, a veces dependen de los caprichos de un juez, y hay muchas áreas del derecho sin precedentes claros o con directrices difusas.
      En esos casos, la separabilidad es importante para que no haya que renegociar todo el contrato solo porque una pequeña cláusula no resistió en tribunales.
      Por ejemplo, piensa en un contrato laboral con una cláusula de no competencia: la empresa puede usar el mismo contrato en todas las regiones, y en los estados donde la no competencia es ilegal, la cláusula de separabilidad evita tener que redactar contratos separados para cada jurisdicción.
      Si un estado antes permitía las cláusulas de no competencia y luego aprueba una ley que las prohíbe, ¿deberían quedar de pronto invalidados todos los contratos laborales que contienen una cláusula de no competencia? Por supuesto que no. Para eso sirve la separabilidad.
      En cuanto a la amenaza del texto original, es difícil saber el contexto, pero podría haber sido una formulación como “el acceso no autorizado a nuestra red informática es un delito federal según la ley XYZ y puede conllevar hasta 20 años de prisión”.
      Para una persona común suena muy intimidante, pero en sentido estricto no es falso; la mayoría de los abogados pondría los ojos en blanco y diría que es una tontería, pero si se agregan suficientes salvedades, se vuelve difícil decidir dónde trazar la línea.
      Al final, estos documentos los escriben abogados en lenguaje jurídico que no está diseñado para personas comunes. Hacerles este tipo de amenaza a estudiantes universitarios fue pésimo, y el abogado que redactó y envió esta carta en nombre de la empresa le dio a la empresa un consejo tremendamente malo.
      Se podría plantear el problema ante el colegio de abogados, pero creo que sería muy difícil convertir una situación así en un caso convincente.
      Esta es una de las razones por las que la negociación colectiva es importante. Un sindicato puede costear representación legal para enfrentarse a los abogados de la empresa, pero a un empleado individual le resulta difícil hacerlo.
    • Por un lado, se trata de fomentar que la gente haga valer sus derechos; por el otro, de equilibrarlo con desalentar la presentación de demandas frívolas.
      El sistema estadounidense funciona con el principio de “cada quien paga sus propios costos legales”, lo que facilita que las víctimas presenten demandas.
      En cambio, el Reino Unido en general aplica el criterio de que “el perdedor paga los costos legales de ambas partes”, lo que hace que muchos demandantes duden en demandar aunque hayan sufrido un daño importante.
    • Puede haber consecuencias, pero hay que demostrar que se sufrió un daño.
      ¿Qué daño causó esa amenaza y cuál sería una compensación justa? ¿Cuánto costaría contratar a un abogado y demandar para obtener esa compensación, y qué probabilidades habría de ganar?
      Quien envió la carta amenazante probablemente se hizo el mismo tipo de preguntas.
      Si se siente injusto porque la otra parte tiene más recursos, eso es un problema social más general. Tener más dinero da mejor acceso a todas las formas de justicia.
  • Este texto parece mostrar que la forma en que hoy se maneja la divulgación de vulnerabilidades cambió en general para bien
    En los 90, todas las empresas eran así. Las compañías amenazaban con demandas, y la divulgación en sí parecía legalmente sospechosa. En foros o BBS se discutía desde el principio si era seguro divulgar, y circulaban sugerencias como usar cuentas de correo anónimas
    Claro que algo de eso todavía queda. Sobre todo si se trata de empresas a la antigua o, como aquí, de universitarios ingenuos, pero en general la situación cambió drásticamente a favor de la divulgación
    Ahora hay intermediarios dedicados a proteger la identidad de los investigadores de seguridad, grandes empresas que fomentan y elogian la divulgación, bug bounties de seis cifras e incluso leyes que se han vuelto más favorables para los investigadores de seguridad
    Para el autor habrá sido una experiencia bastante desagradable, pero es un buen recordatorio de que antes situaciones así eran lo normal, o incluso peores, y ahora se han vuelto relativamente raras

    • El problema es que hacer este tipo de hackeo sin permiso sigue siendo completamente ilegal
      Como muchas empresas aceptan bug bounties y fomentan este tipo de actividades contra ellas mismas, lamentablemente se termina enseñando a los “chicos” que esto es totalmente legal, moral y ético
      Pero, como se ve en esta historia, en realidad es tirar los dados, y esta vez simplemente salió bien
      Si no se cuenta con la cooperación del objetivo mediante un programa de bug bounty explícito, métodos como un correo anónimo todavía pueden ser una mejor idea. Aunque no ayudan a que un investigador de seguridad “se haga un nombre”
      En la práctica, también equivale a admitir una intrusión no autorizada. Es como entrar por una puerta sin llave solo para comprobar si se puede ver dentro del refrigerador
      En el tribunal de la opinión pública puede parecer que ayudaste a exponer las mentiras de una empresa, pero en un tribunal real eso no cambia el hecho de que eres culpable de un delito
    • También parece que los estudiantes estaban intentando proteger sus futuras carreras. Algo como “si no dejamos esto en silencio…”, sobre todo si el problema se corrigió rápido
      En ese sentido, es distinto de una represalia típica de los 90. Para los estudiantes debe haber sido bastante aterrador
      No descartaría la posible intervención de padres adinerados, aunque por supuesto no sé nada sobre la situación ni sobre las personas involucradas
    • Métodos como usar una cuenta de correo anónima siguen siendo el camino a seguir en muchos países occidentales
  • Es una historia impresionante. El artículo de Stanford Daily tiene copias de las cartas intercambiadas por los abogados, y son bastante fuertes. Si EFF no hubiera intervenido, no habríamos podido leerlas
    https://stanforddaily.com/2022/11/01/opinion-fizz-previously...

  • Según el artículo de Stanford Daily, “en ese momento Fizz usaba el producto de base de datos Firestore de Google para almacenar información de usuarios, publicaciones, etc.… Fizz no configuró las reglas de seguridad necesarias, por lo que cualquiera podía consultar directamente la base de datos… se podía acceder por completo a los números de teléfono y/o direcciones de correo electrónico de todos los usuarios, y las publicaciones y upvotes podían vincularse directamente con esa información identificatoria… además, toda la base de datos era editable. Cualquiera podía editar publicaciones, valores de karma, estado de moderador, etc.”
    Esto es verdaderamente absurdo

    • Lamentablemente, es un problema muy común en las apps de Firebase
      Como el cliente escribe directamente en la base de datos, normalmente se olvidan de verificar permisos y confían en que el cliente solo escribirá en sus propios objetos
      Hace mucho cambié un valor de usuario de Firebase a isAdmin=true y obtuve acceso de administrador en una empresa de scooters eléctricos; después, por accidente, borré de Firebase el scooter que estaba rentando. No sé qué habrá pasado con ese scooter después
    • Hace unos años descubrí que HelloTalk, una app de pen pals para aprender idiomas, guardaba las coordenadas GPS reales de los usuarios en un SQLite que podía encontrarse en un respaldo de iOS
      El mapa dentro de la app solo mostraba una ubicación aproximada, y en ciertos niveles de zoom los pines desaparecían
      Reescribiendo las solicitudes con mitmproxy, también se podían eludir filtros que impedían a menores buscar mayores de 18 o a adultos buscar menores, así como filtros exclusivos de pago como ubicación y género. El estado de pago no se verificaba del lado del servidor
    • Relacionado con esto, ¿existe alguna herramienta para auditar o explorar bases de datos Firebase/Firestore? Por ejemplo, para comprobar si se pueden leer colecciones o documentos
      Imagino una herramienta web donde se introduzcan el app ID y los valores de API incluidos en el frontend público, que opcionalmente también admita un ID de sesión para cubrir apps de Firestore con reglas de seguridad ligeras que solo muestran datos a usuarios logueados, y que acepte nombres de colecciones encontrados en código JavaScript para explorarlas
  • Curiosamente, Ashton Cofer y Teddy Solomon de Fizz intentaron hacer control de daños de relaciones públicas cuando se reveló su error https://stanforddaily.com/2022/11/01/opinion-fizz-previously...
    Su respuesta fue débil, y desde entonces parecen haberse negado a comentar sobre este asunto

    • Según el artículo de Stanford Daily [0] enlazado en el texto original, Fizz también eliminó de su sitio web la declaración sobre este incidente y sus supuestas mejoras
      “Fizz publicó el 7 de diciembre de 2021 una declaración titulada ‘Security Improvements Regarding Fizz’, pero al momento de publicación de este artículo, esa página ya no se puede encontrar en el sitio web de Fizz ni mediante una búsqueda en Google”
      Además, parece muy probable que la app todavía almacene información de identificación personal sobre la actividad “anónima” de los usuarios
      “Además, todavía no sabemos si nuestros datos están anonimizados internamente. Los fundadores le dijeron a The Daily el año pasado que los usuarios eran identificables para los desarrolladores, y la política de privacidad de Fizz sigue sugiriendo que es así”
      Aquí, “desarrolladores” podría incluir a esos mismos fundadores que se negaron a comentar sobre este problema, eliminaron las comunicaciones relacionadas de la empresa y, al principio, comercializaban un balde completamente agujereado como una “app de redes sociales 100% segura”, para luego recurrir a amenazas legales cuando los descubrieron
      No me dan ninguna gana de poner mi información en Fizz
  • ¿Por qué se pueden hacer amenazas legales y evitar consecuencias, pero si se amenaza con violencia física se puede terminar en la cárcel?

    • Esa sensación es un poco rara. En general, aunque hay matices importantes que no voy a desarrollar aquí, amenazar con presentar una demanda, que es un acto legal, es obviamente algo que se puede decir; amenazar con cometer una agresión física, que es un acto ilegal, no se puede decir.
    • No soy abogado, pero tengo entendido que en algunas jurisdicciones y situaciones, amenazar con una acusación penal en sí puede constituir extorsión o un delito de abuso de procedimiento.
    • No soy abogado, pero: 1) las amenazas de violencia son explícitamente un delito; 2) viéndolo a un nivel más general, la razón por la que las amenazas de violencia son delito es que el acto subyacente, ejercer violencia, también es delito.
      Amenazar con realizar un acto legal suele ser legal. Por ejemplo, amenazar con denunciar algo ante las autoridades no es ilegal.
    • Amenazar con hacer algo completamente legal es completamente legal.
    • https://en.wikipedia.org/wiki/Monopoly_on_violence
  • “Al final de la amenaza había una exigencia: que nunca hablaran públicamente de lo que habían descubierto. En esencia, si aceptaban guardar silencio, no buscarían acciones legales”.
    Legalmente, ¿una exigencia así puede impedir incluso hablar con la fiscalía estatal o la policía?
    Si afirman que es “100% seguro” cuando en realidad no lo es, y saben que los usuarios no tienen ninguna protección contra el espionaje de la empresa o incluso de hackers con un mínimo de habilidad, como mínimo es fraude y se acerca más a la interceptación ilegal. Porque están engañando deliberadamente a los usuarios para que crean que es “100% seguro” y confiesen secretos al servicio.
    Que esto haya terminado de forma “amistosa” es, honestamente, un fracaso de la justicia. El equipo de Fizz debería enfrentar cargos por fraude.

    • Es posible que Fizz realmente no supiera de sus propias vulnerabilidades de seguridad. En ese caso, podría estar más cerca de la negligencia que del fraude.
    • No creo que la exigencia de Fizz sea muy convincente legalmente.
      En Estados Unidos se valora más a las empresas que a los ciudadanos. La publicidad estadounidense está llena de afirmaciones falsas.
      Lo ignoramos fingiendo que las palabras no tienen significado.
  • Interesante. En mi escuela también hay una plataforma muy parecida llamada SideChat, y no creo que sea muy diferente.
    Como el año pasado me bloquearon permanentemente por cuestionar la validez de la “atención de afirmación de género”, me pregunto cuánto sabrán sobre mí.

  • Desde el punto de vista periodístico, fue excelente que señalaran públicamente a Fizz. “Fizz no protegió los datos de los usuarios. ¿Qué pasó después?”
    Esto no es “alguien hackeó”, sino que Fizz no hizo lo que prometió.
    Todavía me pregunto si se probó que la vulnerabilidad ya esté resuelta.

    • Creo que en un artículo de seguimiento de Stanford Daily se decía que los creadores de la app recibieron millones de dólares de inversión y mucha ayuda profesional, incluida la corrección de problemas de seguridad.
      Sin embargo, parece que los datos de los usuarios no están completamente anonimizados internamente, como se había afirmado antes.