18:25 14/11/01
 

MICROSOFT QUIERE LIMITAR LA DIVULGACIÓN DE FALLOS INFORMÁTICOS
 

Mercè Molist
Microsoft presentaba la semana pasada una coalición con las compañías de seguridad Bindview, Foundstone, Guardent, @Stake e Internet Security Systems, para limitar la información sobre nuevos fallos informáticos. Las empresas se comprometen a no hacerlos públicos hasta 30 días después de su descubrimiento y a no publicar código que sirva para explotarlos. El objetivo es crear un estándar oficial de la Internet Engineering Task Force sobre la notificación de vulnerabilidades.

Scott Culp, responsable del Centro de Emergencias de Seguridad de Microsoft, sentó en octubre las bases de esta política, en el artículo, "Es hora de acabar con la anarquía informativa", donde afirmaba que el libre flujo de información era el responsable del aumento de virus y ataques: "No podemos seguir armando a cibercriminales". Cult abría así la caja de Pandora del "full disclosure" (divulgación total), una vieja y recurrente discusión en la comunidad de seguridad informática.

Ésta ha reaccionado en bloque contra lo que llama "censura" y "dictadura" informativas, que harán más inseguros los programas y criminalizarán la investigación, relegándola al "underground", donde los atacantes tendrán los datos que se prohibe a quienes defienden los sistemas. El criptólogo Bruce Schneier aseguraba: "Cuando se publica una vulnerabilidad, la presión pública es un gran incentivo para que el fabricante arregle el problema rápidamente. Es la mala calidad del "software" la responsable, pero es más fácil eliminar la información que solucionar el problema".

El hacker norteamericano Jericho añadía: "Si cuando se descubrió un fallo en el sistema Passport de Microsoft, que permitía ver las tarjetas de crédito de los usuarios, se hubiese seguido esta política, millones de personas y sus datos sensibles habrían estado abiertos al ataque todo un mes, sin saberlo". El investigador Phil Agre era más escueto: "Microsoft a los hackers: no publiquéis código. La Tierra a Microsoft: no vendas basura". Y el padre de hackers, Eric S. Raymond: "Si no pueden aguantar el calor, que salgan de la cocina".
 

"It's time to end information anarchy"
http://www.microsoft.com/TechNet/columns/security/noarch.asp

Respuesta de Bruce Schneier
http://www.zdnet.com/zdnn/stories/comment/0,5859,2824251,00.html