12/11/01

NOTICIAS

¿Es conveniente publicar los "agujeros" de los programas?


[Económica]
[Seguridad]
[Nuevos Virus]
[Nuevos Productos]
[Otras noticias]

Microsoft persigue la creación de un código de conducta que regule la publicación de vulnerabilidades, y al que de momento, apoyan algunas empresas de seguridad
La petición de Microsoft a la comunidad de expertos en seguridad informática de no publicar los fallos de seguridad presentes en su software hasta que no se tuviera el parche correspondiente, ha dado un paso adelante. Desoyendo las críticas que su "petición" causó en determinados círculos, el gigante informático junto con cinco empresas de seguridad han decidido unirse para crear lo que deberá ser un código de conducta.

Para conocer la postura de las principales empresas de seguridad y llegar a algún tipo de acuerdo, según informa el diario estadounidense The Wall Street Journal, Microsoft organizó, a finales de la semana pasada, una reunión en Mountain View (California) con cinco de las grandes, entre las que se encuentran @Stake, Bindview y Internet Security Systems. Las decisiones que allí se tomaron se engloban en una especie de código de conducta. Como paso preliminar, los presentes decidieron no dar ningún tipo de información detallada acerca de los fallos hasta 30 días después de que el desarrollador del software afectado haya publicado el parche que corrige dicha vulnerabilidad.

En esta línea, los presentes se comprometieron a hacer públicos avisos informativos sobre el fallo en el momento que ellos consideren adecuado pero, no revelarán nunca características de los agujeros de seguridad, evitando así que los programadores malintencionados se aprovechen de la fragilidad del software afectado.

Recordemos que la petición de Microsoft ya trajo consigo fuertes críticas por parte de la comunidad de seguridad informática. Algunos expertos opinan que lo único que persigue el gigante es limpiar su nombre y evitar la mala publicidad que se genera cuando se dan a conocer los fallos presentes en su software. Además, creen que lo único que conseguirán con ello es desinformar a los administradores de sistemas encargados de proteger y gestionar los sistemas informáticos.

Por su parte, el gigante informático ha declarado que quiere encontrar una solución intermedia que convenza a todos sobre cuál es el grado de detalle y el momento preciso en el que se deben dar a conocer los fallos de seguridad de los programas. Además, fuentes de la compañía opinan que gran parte de los administradores a cargo de servidores de empresas no necesitan estar al tanto de todos los detalles de las vulnerabilidades.

Sin embargo, la postura de Microsoft no convence a casi nadie y más si se siguen conociendo fallos de la talla del último. La semana pasada alertábamos de un agujero de seguridad en el servicio UPnP, Microsoft publicó el parche correspondiente y todo arreglado. Sin embargo, el colmo de los colmos, es que al poco tiempo de sacar la actualización tuvo que retirarla la destinada a Windows Me porque, según informó la compañía, presentaba problemas en su implementación.

Fallos y más fallos, ¿está Microsoft en condiciones de "pedir" favores a la comunidad internauta?


Copyright © VIRUSPROT.COM