Todos los días, a primera hora, tras leer el correo, suelo darme una vueltecita por páginas como SecurityFocus, Secunia, Vupen, o la OSVDB, para ver qué nuevas vulnerabilidades han salido (si hay alguna crítica, si alguna afecta a algún producto ampliamente utilizado tanto por usuarios particulares como por empresas como pueden ser las de productos de Microsoft, Adobe, Apache, el kernel de Linux, Oracle, etc) y, sobre todo, si ha aparecido alguna que pueda afectar a nuestros clientes o, por qué no, a nosotros mismos.

Como es natural, ninguna de las bases de datos de vulnerabilidades (VDBs) que existen en la actualidad es perfecta -y no solo porque la tarea de clasificar vulnerabilidades es intrínsecamente compleja, pues no siempre es fácil encontrar información detallada sobre las mismas, sino porque, en la práctica, a veces surgen discrepancias sobre lo que se considera o no una vulnerabilidad- y, cada una de ellas, tiene sus particularidades, con sus puntos fuertes, pero, lógicamente, también con sus puntos débiles. En algunas, por ejemplo, prima la rapidez con la que se hace pública una nueva vulnerabilidad frente a la cantidad de información que se aporta sobre las mismas, mientras que en otras, prima, ante todo, la calidad de la información presente en la base de datos.

De entre todas ellas, me gustaría destacar especialmente a la OSVDB. A diferencia del resto, la OSVDB es una base de datos de vulnerabilidades basada en el concepto “open source” y que, como proyecto surgido en plena web 2.0 se basa en la colaboración de gente interesada en el mundillo de las vulnerabilidades de software -y en todo aquello que lo rodea- para construir una base de datos lo más completa y precisa posible.

A día de hoy la OSVDB cuenta ya con más de 64.000 vulnerabilidades y todos los días hay nuevas entradas y actualizaciones que van enriqueciendo las entradas de días anteriores.

Por supuesto, por las características particulares del problema a resolver (clasificar las vulnerabilidades de software) todavía hace falta bastante trabajo para completar todas y cada una de ellas. Me gustaría animar desde aquí a todo aquel que esté interesado en el tema de las vulnerabilidades a aportar su granito de arena ayudando a construir una BB.DD. que ya, a día de hoy, se ha convertido en un referente y no tiene nada que envidiar a las de Secunia o SecurityFocus.

Para aquel que se anime o, simplemente, tenga curiosidad, os explico un poco por encima cómo podéis contribuir en el proyecto.

Ante todo, deberemos registrarnos en la página (de forma que se evita que cualquiera pueda entrar y borrar o alterar información) y una vez hecho esto, ya podemos empezar a añadir información a la base de datos.

Aunque lo normal es que editemos alguna vulnerabilidad que nos interese especialmente, como se puede apreciar en la siguiente captura existe la posibilidad de dejar que sea la propia OSVDB la que nos ofrezca una vulnerabilidad sobre la que trabajar elegida aleatoriamente.



Las vulnerabilidades más recientes, por lo general, suelen tener menos claves de cruce (en el caso que nos ocupa, las claves de cruce de una vulnerabilidad dada son aquellos identificadores utilizados en otras VDBs para identificar dicha vulnerabilidad), y una forma sencilla de empezar a contribuir es ir añadiendo estas referencias (CVE de Mitre, BID -Bugtraq ID- de SecurityFocus, ID de Secunia, etc.); por ejemplo, podemos suscribirnos a la NVD (National Vulnerability Database) y ver las últimas asignaciones de CVEs que se han ido realizando y, en base a ellas, ir completando la vulnerabilidad correspondiente de la OSVDB .



Una vez localizada, y después de habernos cerciorado al 100% que se trata e la misma vulnerabilidad (pues debemos evitar en la medida de lo posible introducir errores en la BB.DD.), podemos proceder a editarla e ir añadiendo las referencias que hayamos podido encontrar a través de la pestaña 'References'.

Además de las referencias, también podemos aventurarnos a completar la descripción de las vulnerabilidades que carezcan de ella. Para ello, la página de la OSVDB incorpora unas plantillas estandard que nos servirán de ayuda y, en general, como podemos apreciar en la siguiente captura, solamente tendremos que cambiar algunos campos (producto, parámetro, script).



Una vez enviados los cambios recibiremos un correo automático notificándonos si el cambio ha sido aprobado o no por los moderadores, dado que esta es una operación manual el tiempo desde que enviemos un cambio hasta que sea aprobado variará entre unos minutos y varias horas dependiendo, por supuesto, de la disponibilidad de tiempo y carga de trabajo de los moderadores. Si los datos que hemos introducido en la edición son correctos, obtendremos, aparte de la satisfacción de colaborar con este interesante proyecto, una serie de “puntos” (variable en función del tipo de información añadida) que se irán acumulando en nuestro perfil y que podremos consultar en cualquier momento en una página habilitada al efecto en el que se mostrarán estadísticas con “rankings” y donde podremos comprobar cuanto nos queda para situarnos a la cabeza de la clasificación

No debemos olvidar que contribuir a un proyecto como este no solamente nos aportará un conocimiento más profundo sobre este ámbito de la seguridad informática sino que, además, siempre podemos añadirlo al currículum, que nunca está de más.


Josu Tamayo
S21sec e-crime http://blog.s21sec.com/2010/05/un-granito-de-arena.html