Tipo de empresa | FFRDC (parte del Instituto de Ingeniería de Software ) |
---|---|
Industria | Seguridad de software y redes |
Fundado | 1988 |
Sede | Pittsburgh, PA , Estados Unidos |
Personas clave | General de brigada (retirado) de la Fuerza Aérea de EE. UU. Gregory J. Touhill Director |
Sitio web | sei.cmu.edu/about/divisions/cert/index.cfm |
El Centro de Coordinación CERT ( CERT/CC ) es el centro de coordinación del equipo de respuesta a emergencias informáticas (CERT) del Instituto de Ingeniería de Software (SEI), un centro de investigación y desarrollo sin fines de lucro financiado por el gobierno federal de los Estados Unidos . El CERT/CC investiga errores de software que afectan la seguridad del software y de Internet, publica investigaciones e información sobre sus hallazgos y trabaja con empresas y el gobierno para mejorar la seguridad del software y de Internet en su conjunto.
El CERT/CC, la primera organización de su tipo, se creó en Pittsburgh en noviembre de 1988 bajo la dirección de la DARPA en respuesta al incidente del gusano Morris . [1] El CERT/CC ahora es parte de la División CERT del Instituto de Ingeniería de Software, que cuenta con más de 150 profesionales de la ciberseguridad que trabajan en proyectos que adoptan un enfoque proactivo para proteger los sistemas. El Programa CERT se asocia con el gobierno, la industria, las fuerzas de seguridad y el mundo académico para desarrollar métodos y tecnologías avanzados para contrarrestar las ciberamenazas sofisticadas a gran escala.
El programa CERT es parte del Instituto de Ingeniería de Software (SEI), un centro de investigación y desarrollo financiado por el gobierno federal ( FFRDC ) en el campus principal de la Universidad Carnegie Mellon en Pittsburgh. CERT es una marca registrada de la Universidad Carnegie Mellon. [2]
En 2003, el Departamento de Seguridad Nacional firmó un acuerdo con la Universidad Carnegie Mellon para crear el US-CERT . [3] El US-CERT es el equipo nacional de respuesta a incidentes de seguridad informática ( CSIRT ) de los Estados Unidos de América. Esta cooperación suele causar confusión entre el CERT/CC y el US-CERT. Aunque están relacionadas, las dos organizaciones son entidades distintas. En general, el US-CERT se ocupa de casos que conciernen a la seguridad nacional de los EE. UU., mientras que el CERT/CC se ocupa de casos más generales, a menudo a nivel internacional.
El CERT/CC coordina la información con el US-CERT y otros equipos de respuesta a incidentes de seguridad informática, algunos de los cuales tienen licencia para utilizar el nombre "CERT". [4] Si bien estas organizaciones utilizan el nombre "CERT" de la Universidad Carnegie Mellon, son entidades independientes establecidas en sus propios países y no están operadas por el CERT/CC.
El CERT/CC estableció FIRST , una organización que promueve la cooperación y el intercambio de información entre los diversos CERT nacionales y los equipos privados de respuesta a incidentes de seguridad de productos (PSIRT).
El trabajo de investigación del CERT/CC se divide en varias áreas de trabajo diferentes. [5] A continuación se enumeran algunas capacidades y productos clave.
El CERT/CC trabaja directamente con los proveedores de software del sector privado y con agencias gubernamentales para abordar las vulnerabilidades del software y proporcionar soluciones al público. Este proceso se conoce como coordinación.
El CERT/CC promueve un proceso particular de coordinación conocido como Divulgación Responsable Coordinada . En este caso, el CERT/CC trabaja en forma privada con el proveedor para abordar la vulnerabilidad antes de que se publique un informe público, generalmente en conjunto con el propio aviso de seguridad del proveedor. En casos extremos, cuando el proveedor no está dispuesto a resolver el problema o no se puede contactar con él, el CERT/CC generalmente divulga la información públicamente 45 días después del primer intento de contacto. [6]
Las vulnerabilidades de software coordinadas por el CERT/CC pueden provenir de investigaciones internas o de informes externos. Las vulnerabilidades descubiertas por personas u organizaciones externas pueden ser informadas al CERT/CC mediante el Formulario de Informe de Vulnerabilidades del CERT/CC. [7] Dependiendo de la gravedad de la vulnerabilidad informada, el CERT/CC puede tomar medidas adicionales para abordar la vulnerabilidad y coordinarse con el proveedor del software.
El CERT/CC publica periódicamente Notas de vulnerabilidad en la Base de conocimiento del CERT. [8] [9] Las Notas de vulnerabilidad incluyen información sobre vulnerabilidades recientes que se investigaron y coordinaron, y cómo las personas y las organizaciones pueden mitigar dichas vulnerabilidades.
La base de datos de Notas de Vulnerabilidad no pretende ser exhaustiva.
El CERT/CC proporciona una serie de herramientas gratuitas a la comunidad de investigación de seguridad. [10] Algunas de las herramientas ofrecidas incluyen las siguientes.
El CERT/CC ofrece periódicamente cursos de capacitación para investigadores u organizaciones que buscan establecer sus propios PSIRT. [11]
En el verano de 2014, la investigación del CERT financiada por el gobierno federal de los EE. UU. fue clave para la desanonimización de Tor , y la información obtenida del CERT por orden judicial del FBI se utilizó para desmantelar SilkRoad 2.0 ese otoño. El FBI negó haber pagado a CMU para desanonimizar a los usuarios, [12] y CMU negó haber recibido fondos para su cumplimiento de la orden judicial del gobierno. [13]
A pesar de haber contribuido indirectamente al desmantelamiento de numerosos sitios web ilícitos y al arresto de al menos 17 sospechosos, la investigación planteó múltiples cuestiones:
En noviembre de 2015, la CMU afirmó en una declaración que "... la universidad recibe de vez en cuando citaciones judiciales en las que se solicita información sobre las investigaciones que ha realizado. La universidad respeta el estado de derecho, cumple con las citaciones emitidas legalmente y no recibe financiación por su cumplimiento", aunque Motherboard informó que ni el FBI ni la CMU explicaron cómo la autoridad se enteró por primera vez de la investigación y luego citó a la institución para obtener la información correspondiente. [13] En el pasado, SEI también se había negado a explicar la naturaleza de esta investigación en particular en respuesta a las consultas de la prensa diciendo: "Gracias por su consulta, pero es nuestra práctica no hacer comentarios sobre investigaciones policiales o procedimientos judiciales". [16]