SEGURIDAD

Empresas proponen directrices para avisar sobre fallos informáticos

03 jul 2003 - 00:00CEST

La coalición Organization for Internet Safety (OIS), auspiciada por Microsoft y que reúne a 11 compañías, entre ellas Internet Security Systems, Network Associates, Oracle, Symantec y SGI, ha hecho públicas una serie de directrices para estandarizar las relaciones entre las empresas creadoras de programas y los investigadores que encuentran fallos en éstos.

El documento quiere poner fin a la polémica sobre cuánta información de una vulnerabilidad debe darse a conocer y cuándo. La comunidad de seguridad ha respondido calificando la propuesta de "ridícula".

El texto, abierto a comentarios hasta el 7 de julio, pide que las empresas informáticas respondan antes de siete días a quien les notifique una vulnerabilidad y se comprometan a solucionarla en menos de un mes. Los investigadores, por su parte, no deben publicar exploits (código que demuestra el fallo) ni dar datos técnicos hasta 30 días después de que el parche esté en circulación. Pasado ese tiempo, podrán ofrecer la información a "organizaciones como instituciones académicas que investiguen en seguridad informática".

Más información

SECURITY VULNERABILITY::

COMENTARIOS::

ANTI-DISCLOSURE PLAN::

El documento no difiere mucho de otra propuesta, realizada por la misma coalición hace dos años y nunca puesta en práctica, a la que expertos como Bruce Schneier, Jericho, Phil Agre y Eric S. Raymond respondieron pública y negativamente. Es la misma vieja discusión en torno a la conveniencia o no del full disclosure (divulgación total de información sobre vulnerabilidades informáticas). Mientras que las empresas se quejan de que favorece los ataques, los investigadores aducen que sin esta información los administradores no podrán defenderse y, en cambio, los intrusos la conseguirán en el mercado negro.

Contra la propuesta

Como hace dos años, la comunidad se ha mostrado en contra de la propuesta. Incluso el moderado boletín SANS NewsBites: "Un parche en 30 días y 30 más de espera para la publicación del fallo significan 60 días; suena excesivo". Marc Maiffret, de eEye Digital Security, afirma: "Si no tenemos los detalles de un fallo, estaremos totalmente en manos de un pequeño grupo de compañías". Más duros han sido los comentarios de los lectores de SecurityFocus: "No queda claro qué ganan las partes: ¿darán dinero a los investigadores para que no publiquen su código? ¿Les meterán en la cárcel?".

Otro denuncia: "Esta propuesta sólo ayudará a que las vulnerabilidades sean desconocidas por el público durante largo tiempo, durante el cual el underground podrá explotarlas. Mejor idea sería pedir a las empresas que diseñen códigos más seguro y crear leyes para denunciarlas si no lo hacen".