Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el
19/10/97 por NedStat

Proponen estándar para avisar sobre fallos informáticos
 
VSantivirus No. 1093 Año 7, Sábado 5 de julio de 2003

Proponen estándar para avisar sobre fallos informáticos
http://www.vsantivirus.com/mm-estandar-fallos.htm

Por Mercè Molist (*)
colaboradores@videosoft.net.uy



La coalición "Organization for Internet Safety" (OIS), auspiciada por Microsoft, que reúne a once compañías, entre ellas Internet Security Systems, Network Associates, Oracle, Symantec o SGI, ha hecho públicas una serie de directrices para estandarizar las relaciones entre las empresas creadoras de programas y los investigadores que encuentran fallos en éstos. El documento quiere poner fin a la polémica sobre cuándo y cuánta información de una vulnerabilidad debe darse a conocer. La comunidad de seguridad ha respondido calificando la propuesta de "ridícula".

El texto, abierto a comentarios hasta el 7 de julio, pide que las empresas informáticas respondan antes de siete días a quien les notifique una vulnerabilidad y se comprometan a solucionarla en menos de un mes. Los investigadores, por su parte, no deben publicar "exploits" (código que demuestra el fallo) ni dar datos técnicos hasta treinta días después que el parche esté en circulación. Pasado este tiempo, podrán ofrecer la información sólo a "organizaciones como instituciones académicas que estén investigando en seguridad informática".

El documento no difiere mucho de otra propuesta, realizada por la misma coalición hace dos años y nunca puesta en práctica, a la que expertos como Bruce Schneier, Jericho, Phil Agre o Eric S. Raymond respondieron pública y negativamente. Es la misma vieja discusión en torno a la conveniencia o no del "full disclosure" (divulgación total de información sobre vulnerabilidades informáticas). Mientras las empresas se quejan de que favorece los ataques, los investigadores aducen que, sin esta información, los administradores no podrán defenderse y, en cambio, los intrusos la conseguirán en el mercado negro.

Como hace dos años, la comunidad se ha mostrado en contra de la nueva propuesta. Incluso el moderado boletín "SANS NewsBites": "Un parche en 30 días y 30 más de espera para la publicación del fallo significan 60 días; suena excesivo, aunque no irracional". Según Marc Maiffret, de eEye Digital Security, "si no tenemos los detalles de un fallo, estaremos totalmente en manos de un pequeño grupo de compañías". Más duros han sido los comentarios de los lectores de "SecurityFocus": "No queda claro qué ganan las partes: ¿Darán dinero a los investigadores para que no publiquen su código? ¿Les meterán en la cárcel?".

Otro lector denuncia: "Esta propuesta sólo ayudará a que las vulnerabilidades sean desconocidas por el público un largo periodo de tiempo, durante el cual el "underground" podrá explotarlas. ¿Por qué no ahorramos tiempo y nos rendimos directamente a los malos? Una mejor idea sería pedir a las empresas que diseñen código más seguro y crear leyes para denunciarlas si no lo hacen".


Relacionados:

Security Vulnerability Reporting and Response Process
http://www.oisafety.org/process.html

Comentarios al proyecto
http://www.oisafety.org/resources.html

Group Releases Anti-Disclosure Plan
http://www.securityfocus.com/news/5458



(*) Copyright (C) 2003 Mercè Molist.
Verbatim copying, translation and distribution of this entire article is permitted in any medium, provided this notice is preserved.




(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2003 Video Soft BBS