Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Resultados encuesta: ¿Es correcto revelar las fallas?
 
VSantivirus No. 472 - Año 5 - Martes 23 de octubre 2001

Resultados encuesta: ¿Es correcto revelar las fallas?
Por José Luis López

En nuestro boletín 470, planteábamos a nuestros lectores la pregunta de cuán correcto era revelar o no, las fallas de los productos, antes que los parches o correcciones respectivas fueran elaboradas.

Esta encuesta, estaba basada sobre todo, en la actitud de Microsoft, quien la semana pasada lanzara una dura crítica hacia empresas de seguridad y hackers, ya que según un estudio llevado a cabo durante las recientes acciones de gusanos como el CodeRed y el Nimda, cada uno de estos ataques había sido prolongado y aumentado por la descarga y utilización de código que explotaba las vulnerabilidades descubiertas, código en su mayoría creado por las propias compañías de seguridad para la demostración informativa de las fallas encontradas.

Las preguntas de nuestra encuesta fueron:

a. ¿Está de acuerdo en que se debería limitar este tipo de información para evitar que basándose en ella, aumente la creación de virus más dañinos?.

b. ¿Piensa que por el contrario, la divulgación de los detalles de toda nueva vulnerabilidad, debería llevar a una acción más responsable por parte de los fabricantes para hacer su producto más seguro, y que por lo tanto esta información debería ser revelada lo más detalladamente posible?.

De un total de 153 respuestas, estos fueron los resultados:

a33 +++++++++++
b = 120 ++++++++++++++++++++++++++++++++++++++++

Está claro que la mayoría piensa que la divulgación de las fallas o vulnerabilidades, obliga a una actitud más responsable por parte de los creadores de software para corregirlas.

Entre las opiniones emitidas, curiosamente las dadas a la respuesta (a), o sea a la de limitar la información, fueron las más elaboradas, y con excelentes puntos de vista sobre las razones para hacerlo así. Las opiniones por la opción ganadora, fueron prácticamente nulas, con un solo comentario.

Las conclusiones de estos resultados, y de las opiniones, las dejamos a nuestros lectores, pero sería bueno pensar con cuánta responsabilidad actuamos al manejar toda la información posible con la mayor libertad.

Estas son las opiniones más significativas de nuestros lectores para la opción (a):

----- Original Message ----- 
From: "Francisco Javier Fernández Fernández" <fj.fernandez@coitt.es>
To: <opcion-a@videosoft.net.uy>
Sent: Sunday, October 21, 2001 11:55 AM
Subject: opcion-a

a. ¿Está de acuerdo en que se debería limitar este tipo de
información para evitar que basándose en ella, aumente la
creación de virus más dañinos?.


Pero no en el sentido literal del texto, solo evitaría la propagación de las herramientas que demuestran dichas vulnerabilidades fuera del ámbito adecuado. Desde luego me puedo confundir pero creo que los últimos virus están creados por niños que se aburren y cuando encuentran algo así deciden explotarlo para hacerse "famosos". Los virus siempre han estado mal, pero recuerdo cosas que leí cuando casi todos los PC tenían MS-DOS y los creadores de aquellos virus se molestaban mucho. Había algunos que metían su código en unos sectores que después marcaban como defectuosos y la parte de código que lo ponía en marcha pasaba perfectamente los rastreos de los antivirus. Y habría muchas cosas parecidas con un enorme conocimiento de el sistema operativo y de las máquinas que los iban a tratar de localizar. Por suerte aquellos autores lo han dejado, con la cantidad de información que actualmente tienen a su disposición si un niño puede hacer tanto daño, ellos ¿que podrían llegar a hacer?


----- Original Message ----- 
From: <jcasistemas@uole.com>
To: <opcion-a@videosoft.net.uy>
Sent: Sunday, October 21, 2001 6:08 PM

Pienso que una de las finalidades de Internet es Informar, de allí que considere prudente que los usuarios sepan de estas anomalías o problemas en la Red, sin embargo debería haber un mecanismo entre Hackers-Compañías Antivirus-Desarrolladores (No Crackers) que permitan intercambiar la información técnica detallada únicamente entre los entes comprometidos y lograr así una solución confiable a los usuarios.

Juan Carlos Achury G.


----- Original Message ----- 
From: "Space Saturn" <space_saturn@hotmail.com>
To: <opcion-a@videosoft.net.uy>
Sent: Monday, October 22, 2001 5:08 AM
Subject: Creo que si...

Me explico:

Yo soy partidario de dar cuanta más información mejor, pero, en algunos casos en los que la información puede ser usada con fines 'maliciosos', creo que se debería limitar el porcentaje informativo. Reportar la existencia de una vulnerabilidad es bueno, pero dar todos los detalles de cómo explotarla, sin duda, puede llegar a 'picar la curiosidad' del menos curioso.

Por tanto, hemos de actuar con cautela: cuando una falla es descubierta, lo primero de todo es reportarla con el máximo detalle al responsable del software o hardware, para que éste la corrija. Es entonces, cuando la falla ha sido convenientemente parcheada, el momento de difundir su existencia junto con "la solución" e informar al mayor número de usuarios posible.

En ésta difusión se debe explicar en qué consiste la falla reportada y, sobre todo, sus consecuencias para el usuario. Se debe acompañar la noticia con la solución, para que todo el que la lea pueda corregir su sistema en ese preciso momento.

Si no se siguieran éstos pasos y en el momento de descubrir una falla, publicáramos con todo lujo de detalles el cómo explotarla, de seguro aumentarían vertiginosamente el número de 'atacantes' pues, es bien conocido el gran número de 'Script Kiddies' que se dedican a buscar código malicioso sin ningún tipo de escrúpulos, y esto sería ponerles el camino demasiado fácil.

Evidentemente, ésta medida no acabará con la proliferación de Virus como el CodeRed o el Nimda que se aprovechan de vulnerabilidades ya reportadas para efectuar su propagación, pues los creadores de éstos tipos de virus son "investigadores" de sistemas, y no simples 'Script Kiddies' que se dedican a ejecutar código "a diestro y siniestro", pero, sin duda, bajaría el porcentaje de atacantes potenciales.

Saturn
S;-D

Esta es la única opinión dada por un lector para la opción ganadora (b):

----- Original Message ----- 
From: " V@lentin " <adminet@ar.inter.net>
To: <opcion-b@videosoft.net.uy>
Sent: Sunday, October 21, 2001 8:24 PM


"...Por su parte, el miércoles pasado, Microsoft lanzó una dura crítica hacia empresas de seguridad..."

PERO MIREN QUIEN SE QUEJA???

El tío Bill, libero la versión final de Internet Explorer, Y a los pocos días ya había que estar poniendo parches.

Valentin

Referencias:

VSantivirus No. 470 - 21/oct/01
El final de los virus sociales
http://www.vsantivirus.com/virus-sociales.htm

VSantivirus No. 470 - 21/oct/01
Su opinión: ¿Es correcto revelar fallas detalladamente?
http://www.vsantivirus.com/21-10-01.htm


(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2001 Video Soft BBS