A principios del pasado Octubre, el CERT norteamericano hizo pública
su nueva política a la hora de difundir avisos de seguridad. En ella
se indica que los problemas de seguridad serán anunciados de forma
pública a los 45 días del aviso inicial, independientemente de que
existan o no soluciones por parte de los fabricantes.
El CERT fue creado en 1.988 por el gobierno americano, tras el
archiconocido ataque del «gusano de Morris» que -en aquel año-
contaminó el 10% de todas las máquinas conectadas a Internet. El fin
del CERT es servir de punto de coordinación entre usuarios y
fabricantes, recibiendo avisos de seguridad, informando a los
fabricantes y emitiendo boletines de seguridad una vez que se disponía
de una solución o un parche.

La necesidad de disponer de soluciones antes de difundir un aviso de
seguridad de forma pública suponía que, en muchos casos, los avisos
del CERT llegaban muy tarde y, desde luego, mucho después de que se
conociese el problema por otros medios (por ejemplo, a través de
«una-al-dia»). Por otra parte, el propio CERT reconoce que en
numerosas ocasiones la única manera de forzar a los fabricantes a
elaborar un parche para un problema de seguridad es presionarlos
haciendo público dicho problema.

Debido a estos hechos, y a que dicha información estará disponible de
todas maneras a través de otros medios, la nueva política del CERT
indica que se publicarán boletines incluso en los casos en que algún
fabricante no haya solucionado el problema. Los fabricantes serán
informados desde el primer momento, y se les integrará en el proceso,
pero no se retrasará ningún aviso de forma indefinida por la falta de
diligencia de ningún vendedor.

Jesús Cea Avión
jcea@hispasec.com

Más información:

CERT
http://www.cert.org/

The CERT® Coordination Center Vulnerability Disclosure Policy
http://www.cert.org/faq/vuldisclosurepolicy.html

Compártelo: