12:38 12/06/03
 

EMPRESAS PROPONEN UN ESTÁNDAR PARA AVISAR SOBRE FALLOS INFORMÁTICOS
 

Mercè Molist
La coalición "Organization for Internet Safety" (OIS), auspiciada por Microsoft, que reune a once compañías, entre ellas Internet Security Systems, Network Associates, Oracle, Symantec o SGI, ha hecho públicas una serie de directrices para estandarizar las relaciones entre las empresas creadoras de programas y los investigadores que encuentran fallos en éstos. El documento quiere poner fin a la polémica sobre cuándo y cuánta información de una vulnerabilidad debe darse a conocer. La comunidad de seguridad ha respondido calificando la propuesta de "ridícula".

El texto, abierto a comentarios hasta el 7 de julio, pide que las empresas informáticas respondan antes de siete días a quien les notifique una vulnerabilidad y se comprometan a solucionarla en menos de un mes. Los investigadores, por su parte, no deben publicar "exploits" (código que demuestra el fallo) ni dar datos técnicos hasta treinta días después que el parche esté en circulación. Pasado este tiempo, podrán ofrecer la información sólo a "organizaciones como instituciones académicas que estén investigando en seguridad informática".

El documento no difiere mucho de otra propuesta, realizada por la misma coalición hace dos años y nunca puesta en práctica, a la que expertos como Bruce Schneier, Jericho, Phil Agre o Eric S. Raymond respondieron pública y negativamente. Es la misma vieja discusión en torno a la conveniencia o no del "full disclosure" (divulgación total de  información sobre vulnerabilidades informáticas). Mientras las empresas se quejan de que favorece los ataques, los investigadores aducen que, sin esta información, los administradores no podrán defenderse y, en cambio, los intrusos la conseguirán en el mercado negro.

Como hace dos años, la comunidad se ha mostrado en contra de la nueva propuesta. Incluso el  moderado boletín "SANS NewsBites": "Un parche en 30 días y 30 más de espera para la publicación del fallo significan 60 días; suena excesivo, aunque no irracional". Según Marc Maiffret, de eEye Digital Security, "si no tenemos los detalles de un fallo, estaremos totalmente en manos de un pequeño grupo de compañías". Más duros han sido los comentarios de los lectores de "SecurityFocus": "No queda claro qué ganan las partes: ¿Darán dinero a los investigadores para que no publiquen su código? ¿Les meterán en la cárcel?".

Otro lector denuncia: "Esta propuesta sólo ayudará a que las vulnerabilidades sean desconocidas por el público un largo periodo de tiempo, durante el cual el "underground" podrá explotarlas. ¿Por qué no ahorramos tiempo y nos rendimos directamente a los malos? Una mejor idea sería pedir a las empresas que diseñen código más seguro y crear leyes para denunciarlas si no lo hacen".
 

Security Vulnerability Reporting and Response Process
http://www.oisafety.org/process.html
Comentarios al proyecto
http://www.oisafety.org/resources.html
Group Releases Anti-Disclosure Plan
http://www.securityfocus.com/news/5458
 
 

Copyright (C) 2003 Mercè Molist.
Verbatim copying, translation and distribution of this entire article is permitted in any medium, provided this notice is preserved.
 

<<