| Artículos | 01 DIC 2001

Microsoft lidera un grupo contra la libre información sobre fallos de seguridad

Tags: Histórico
Microsoft se encuentra entre los cinco fabricantes de software que presionan para que se sigan ciertos estándares a la hora de informar acerca de las vulnerabilidades de seguridad. Mientras tanto, siguen surgiendo noticias sobre nuevos fallos en productos de Microsoft.
El grupo formado contra la diseminación de información sobre fallos, que presentó su proyecto durante el Trusted Computing Forum 2001 de Microsoft, celebrado en noviembre, incluye a Microsoft y a compañías de seguridad como Guardent, Internet Security Systems, @stake, Foundstone y Bindview. Este grupo y su misión han levantado las burlas de algunos sectores. Los expertos dicen que la información sobre seguridad diseminada y publicada en grupos de noticias y boletines de seguridad hace más mal que bien, pero que no debería estar controlada por ningún grupo centralizado, y menos formado por fabricantes cuyos productos se ven directamente involucrados.
Este grupo de seguridad pretende ofrecer una especie de control gestionado y responsabilidad contra el creciente problema de los virus, así como contra otros ataques informáticos que han afectado a los usuarios durante los últimos seis meses, según Eddie Schwartz, COO de Guardent. “Nuestros clientes se están viendo afectados. Publicar scripts que hacen caer un servidor o destruyen datos es completamente irresponsable. Es estúpido que las compañías que podemos controlar esto no hagamos nada”. Precisamente esta noticia llegaba acompañada del anuncio de nuevas vulnerabilidades, como los agujeros encontrados en Passport por Microsoft, que permitían acceder a información relativa a tarjetas de crédito y efectuar compras a través de Internet. Otro fallo en Internet Explorer permitía a los sitios web investigar las cookies de los usuarios.

Un mes de gracia
Las cinco compañías han trabajado para integrar los parámetros en los que se basará la iniciativa. Bajo su plan, los fabricantes o clientes que descubran vulnerabilidades acordarán un período de 30 días de gracia antes de darlas a conocer públicamente, permitiendo que los fabricantes tengan tiempo para preparar los parches y defensas apropiados. Durante los próximos días el grupo establecerá directrices, reclutará nuevos miembros y fijará estándares de actuación. También tratará de obtener el apoyo de fabricantes como Cisco, HP y Sun.
Los miembros de la comunidad de desarrolladores -sobre todo los afiliados a la lista de correo BugTraq- denuncian la existencia de intereses para interferir con la misión de ofrecer a los usuarios protección adicional. “Suprimir la información sobre vulnerabilidades no evitará que proliferen los hackers”, afirman.

Contenidos recomendados...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información