[HACK] estandar disclosure

merce at grn.es merce at grn.es
Fri Jul 4 15:46:05 CEST 2003 

12:38 12/06/03


EMPRESAS PROPONEN UN ESTÁNDAR PARA AVISAR SOBRE FALLOS INFORMÁTICOS


Mercè Molist
La  coalición "Organization for Internet Safety" (OIS), auspiciada por
Microsoft,  que  reune a once compañías, entre ellas Internet Security
Systems, Network Associates, Oracle, Symantec o SGI, ha hecho públicas
una  serie  de  directrices para estandarizar las relaciones entre las
empresas  creadoras  de  programas y los investigadores que encuentran
fallos  en  éstos.  El  documento quiere poner fin a la polémica sobre
cuándo  y  cuánta  información  de  una  vulnerabilidad  debe  darse a
conocer.  La  comunidad  de  seguridad  ha  respondido  calificando la
propuesta de "ridícula".

El  texto,  abierto  a  comentarios  hasta el 7 de julio, pide que las
empresas  informáticas  respondan  antes  de  siete  días  a quien les
notifique  una vulnerabilidad y se comprometan a solucionarla en menos
de  un  mes.  Los  investigadores,  por  su  parte,  no deben publicar
"exploits" (código que demuestra el fallo) ni dar datos técnicos hasta
treinta  días  después  que el parche esté en circulación. Pasado este
tiempo,  podrán  ofrecer  la  información  sólo a "organizaciones como
instituciones   académicas   que   estén   investigando  en  seguridad
informática".

El  documento  no  difiere  mucho  de otra propuesta, realizada por la
misma  coalición  hace  dos  años y nunca puesta en práctica, a la que
expertos  como  Bruce  Schneier,  Jericho, Phil Agre o Eric S. Raymond
respondieron  pública  y negativamente. Es la misma vieja discusión en
torno  a la conveniencia o no del "full disclosure" (divulgación total
de  información  sobre  vulnerabilidades  informáticas).  Mientras las
empresas  se  quejan  de  que favorece los ataques, los investigadores
aducen  que,  sin  esta  información,  los  administradores  no podrán
defenderse  y,  en  cambio,  los intrusos la conseguirán en el mercado
negro.

Como  hace dos años, la comunidad se ha mostrado en contra de la nueva
propuesta. Incluso el moderado boletín "SANS NewsBites": "Un parche en
30 días y 30 más de espera para la publicación del fallo significan 60
días;  suena  excesivo, aunque no irracional". Según Marc Maiffret, de
eEye  Digital  Security,  "si  no  tenemos  los  detalles de un fallo,
estaremos  totalmente  en manos de un pequeño grupo de compañías". Más
duros han sido los comentarios de los lectores de "SecurityFocus": "No
queda  claro  qué ganan las partes: ¿Darán dinero a los investigadores
para que no publiquen su código? ¿Les meterán en la cárcel?".

Otro   lector  denuncia:  "Esta  propuesta  sólo  ayudará  a  que  las
vulnerabilidades  sean desconocidas por el público un largo periodo de
tiempo,  durante  el cual el "underground" podrá explotarlas. ¿Por qué
no ahorramos tiempo y nos rendimos directamente a los malos? Una mejor
idea  sería pedir a las empresas que diseñen código más seguro y crear
leyes para denunciarlas si no lo hacen".


Security Vulnerability Reporting and Response Process
http://www.oisafety.org/process.html
Comentarios al proyecto
http://www.oisafety.org/resources.html
Group Releases Anti-Disclosure Plan
http://www.securityfocus.com/news/5458



Copyright (C) 2003 Mercè Molist.
Verbatim  copying, translation and distribution of this entire article
is permitted in any medium, provided this notice is preserved.

More information about the hacking mailing list