_
_
_
_
SEGURIDAD

Empresas proponen directrices para avisar sobre fallos informáticos

La coalición Organization for Internet Safety (OIS), auspiciada por Microsoft y que reúne a 11 compañías, entre ellas Internet Security Systems, Network Associates, Oracle, Symantec y SGI, ha hecho públicas una serie de directrices para estandarizar las relaciones entre las empresas creadoras de programas y los investigadores que encuentran fallos en éstos.

El documento quiere poner fin a la polémica sobre cuánta información de una vulnerabilidad debe darse a conocer y cuándo. La comunidad de seguridad ha respondido calificando la propuesta de "ridícula".

El texto, abierto a comentarios hasta el 7 de julio, pide que las empresas informáticas respondan antes de siete días a quien les notifique una vulnerabilidad y se comprometan a solucionarla en menos de un mes. Los investigadores, por su parte, no deben publicar exploits (código que demuestra el fallo) ni dar datos técnicos hasta 30 días después de que el parche esté en circulación. Pasado ese tiempo, podrán ofrecer la información a "organizaciones como instituciones académicas que investiguen en seguridad informática".

Más información
SECURITY VULNERABILITY::
COMENTARIOS::
ANTI-DISCLOSURE PLAN::

El documento no difiere mucho de otra propuesta, realizada por la misma coalición hace dos años y nunca puesta en práctica, a la que expertos como Bruce Schneier, Jericho, Phil Agre y Eric S. Raymond respondieron pública y negativamente. Es la misma vieja discusión en torno a la conveniencia o no del full disclosure (divulgación total de información sobre vulnerabilidades informáticas). Mientras que las empresas se quejan de que favorece los ataques, los investigadores aducen que sin esta información los administradores no podrán defenderse y, en cambio, los intrusos la conseguirán en el mercado negro.

Contra la propuesta

Como hace dos años, la comunidad se ha mostrado en contra de la propuesta. Incluso el moderado boletín SANS NewsBites: "Un parche en 30 días y 30 más de espera para la publicación del fallo significan 60 días; suena excesivo". Marc Maiffret, de eEye Digital Security, afirma: "Si no tenemos los detalles de un fallo, estaremos totalmente en manos de un pequeño grupo de compañías". Más duros han sido los comentarios de los lectores de SecurityFocus: "No queda claro qué ganan las partes: ¿darán dinero a los investigadores para que no publiquen su código? ¿Les meterán en la cárcel?".

Otro denuncia: "Esta propuesta sólo ayudará a que las vulnerabilidades sean desconocidas por el público durante largo tiempo, durante el cual el underground podrá explotarlas. Mejor idea sería pedir a las empresas que diseñen códigos más seguro y crear leyes para denunciarlas si no lo hacen".

Tu suscripción se está usando en otro dispositivo

¿Quieres añadir otro usuario a tu suscripción?

Si continúas leyendo en este dispositivo, no se podrá leer en el otro.

¿Por qué estás viendo esto?

Flecha

Tu suscripción se está usando en otro dispositivo y solo puedes acceder a EL PAÍS desde un dispositivo a la vez.

Si quieres compartir tu cuenta, cambia tu suscripción a la modalidad Premium, así podrás añadir otro usuario. Cada uno accederá con su propia cuenta de email, lo que os permitirá personalizar vuestra experiencia en EL PAÍS.

En el caso de no saber quién está usando tu cuenta, te recomendamos cambiar tu contraseña aquí.

Si decides continuar compartiendo tu cuenta, este mensaje se mostrará en tu dispositivo y en el de la otra persona que está usando tu cuenta de forma indefinida, afectando a tu experiencia de lectura. Puedes consultar aquí los términos y condiciones de la suscripción digital.

Archivado En

Recomendaciones EL PAÍS
Recomendaciones EL PAÍS
Recomendaciones EL PAÍS
_
_