|
Comparte este artículo
Twitter
Digg
Del.icio.us
Slashdot
Furl
Yahoo
Technorati
Googlize this
Blinklist
Facebook
Wikio
Meneame
¿Qué demonios es eso de la política de descubrimiento responsable? Pues veréis, es un método de publicación de vulnerabilidades. Existen diversas formas de publicar vulnerabilidades: las que se encuentran en los extremos son "Full Disclosure" y "seguridad por oscuridad"; entre medias está la de descubrimiento responsable (Responsible Disclosure).
La primera se basa en publicar la vulnerabilidad antes de informar al vendedor. Con esto no se da tiempo a la empresa a corregir el fallo y sí se facilita a los atacantes la posibilidad de atacar ese fallo. Sus defensores argumentan que con esta política la empresa tiene que esforzarse en buscar una solución y no puede escudarse en sus "tiempos de respuesta" ante cualquier incidente.
En el otro extremo está la seguridad por ocultación/oscuridad: según nuestra querida Wikipedia, "un sistema que se apoya en la seguridad por ocultación puede tener vulnerabilidades teóricas o prácticas, pero sus propietarios o diseñadores creen que esos puntos débiles no se conocen, y que es probable que los atacantes no los descubran". O sea, se oculta la forma en la que se proporciona seguridad a un elemento para que no se descubran vulnerabilidades. En este tipo de productos existen vulnerabilidades, pero son conocidas por un pequeño grupo de personas, que pueden explotarlas para acceder a quién sabe qué datos...
Como los extremos no son buenos, se crearon algunas políticas intermedias como de la que hablo: se informa al fabricante de una vulnerabilidad encontrada y se le da un tiempo prudencial antes de publicarla. Este es el compromiso de numerosas empresas que se dedican a testear la seguridad del software. Sin embargo, muchas empresas desarrolladoras de software dan poca o ninguna importancia a estas notificaciones y, por lo general, se publica la vulnerabilidad al no obtener ni siquiera una respuesta por parte de 
los responsables.
Este es el caso de la empresa Intevydis, que desarrolla productos de pentesting o revisión de códigos. Su fundador, Evgeny Legerov, ha anunciado que cambia su política y que publicará un montón de vulnerabilidades (con exploits para algunas de ellas...) en el transcurso de este mes. Según algunas fuentes, podrían encontrarse vulnerabilidades en los servidores web Zeus, Sun, Mysql e Informix y en los servidores de directorio Novell eDirectory y Sun Directory, entre otros. Según Legerov, "después de trabajar con los proveedores de software un largo tiempo, hemos llegado a la conclusión de que es una pérdida de tiempo notificar las vulnerabilidades".
Lo que para algunos es un movimiento irresponsable, para otros es una consecuencia lógica de lo poco en serio que se toman la seguridad algunos vendedores de software. La primera ficha del dominó ya ha caído, ¿caerán más...?
