CERT revelará agujeros de seguridad

El Centro de Coordinación CERT de la Universidad Carnegie Mellon dio a conocer una nueva política bajo la cual planea revelar públicamente todos los agujeros de seguridad y vulnerabilidades detectadas en programas informáticos 45 días después de que hayan sido reportados a la organización, sin considerar si los problemas han sido arreglados o no.

Hasta ahora, las advertencias publicadas por CERT habían sido restringidas a vulnerabilidades que el centro consideraba particularmente serias y que requiriesen atención inmediata de los usuarios.

La semana pasada, CERT publicó los detalles de su nueva política en su sitio web. CERT informó que continuará pasando toda la información relevante sobre un problema de seguridad específico al correspondiente vendedor de software antes de hacer cualquier revelación pública. Sin embargo, después de 45 días, la información será lanzada al público junto con cualquier ”parche” disponible que el usuario pueda implementar.

”La información sobre vulnerabilidades que sean consideradas particularmente serias, o que serían fáciles de explotar por ataques maliciosos, serán lanzadas aún antes si la situación justifica una revelación acelerada”, señaló Shawn Hernan, miembro de CERT.

Según Hernan, la idea es proveer a los usuarios de software revelaciones calificadas con responsabilidad, mientras que se les da a los vendedores una razonable cantidad tiempo para arreglar los problemas.

”La política es en realidad un intento de balancear las necesidades de los vendedores con las del público en general”, añadió Hernan.

De acuerdo a Hernan, bajo su nueva política CERT tratará de publicar los reportes sobre cuantas vulnerabilidades sea necesario. Pero en un intento por minimizar la posibilidad de ataques resultado de las revelaciones, la organización no planea publicar ninguna información que podría ser usada por hackers maliciosos para explotar el agujero de seguridad.


Únase a la conversación

Contacto | Diario TI es una publicación de MPA Publishing International Ltd., Reino Unido. © Copyright 1997-2022