[HACK] full disclosure o no

merce at grn.es merce at grn.es
Sat Nov 24 13:04:21 CET 2001 

esto es viejo pero ahi va, por si alguien archiva estas cosas y porque
me encantan las dos ultimas citas, que no salieron publicadas

M&M

------------------------------------------------------


MICROSOFT QUIERE LIMITAR LA DIVULGACIÓN DE FALLOS INFORMÁTICOS


Mercè Molist
Microsoft  presentaba la semana pasada una coalición con las compañías
de   seguridad  Bindview,  Foundstone,  Guardent,  @Stake  e  Internet
Security  Systems,  para  limitar  la  información sobre nuevos fallos
informáticos. Las empresas se comprometen a no hacerlos públicos hasta
30  días después de su descubrimiento y a no publicar código que sirva
para  explotarlos.  El  objetivo  es  crear  un estándar oficial de la
Internet   Engineering   Task   Force   sobre   la   notificación   de
vulnerabilidades.

Scott  Culp,  responsable  del  Centro  de Emergencias de Seguridad de
Microsoft,  sentó  en  octubre  las  bases  de  esta  política,  en el
artículo,  "Es  hora  de  acabar  con  la anarquía informativa", donde
afirmaba  que  el  libre  flujo  de información era el responsable del
aumento  de  virus  y  ataques:  "No  podemos  seguir  armando       a
cibercriminales".  Cult  abría  así  la  caja  de  Pandora  del  "full
disclosure"  (divulgación  total), una vieja y recurrente discusión en
la comunidad de seguridad informática.

Ésta  ha  reaccionado  en  bloque  contra  lo  que  llama  "censura" y
"dictadura"  informativas,  que  harán  más  inseguros los programas y
criminalizarán  la  investigación, relegándola al "underground", donde
los atacantes tendrán los datos que se prohibe a quienes defienden los
sistemas.  El  criptólogo Bruce Schneier aseguraba: "Cuando se publica
una  vulnerabilidad,  la presión pública es un gran incentivo para que
el  fabricante arregle el problema rápidamente. Es la mala calidad del
"software"  la  responsable, pero es más fácil eliminar la información
que solucionar el problema".

El  hacker  norteamericano  Jericho añadía: "Si cuando se descubrió un
fallo  en  el  sistema  Passport  de  Microsoft,  que permitía ver las
tarjetas de crédito de los usuarios, se hubiese seguido esta política,
millones  de personas y sus datos sensibles habrían estado abiertos al
ataque  todo  un  mes, sin saberlo". El investigador Phil Agre era más
escueto:  "Microsoft  a los hackers: no publiquéis código. La Tierra a
Microsoft:  no vendas basura". Y el padre de hackers, Eric S. Raymond:
"Si no pueden aguantar el calor, que salgan de la cocina".


"It's time to end information anarchy"
http://www.microsoft.com/TechNet/columns/security/noarch.asp

Respuesta de Bruce Schneier
http://www.zdnet.com/zdnn/stories/comment/0,5859,2824251,00.html

More information about the hacking mailing list