Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
20/04/2011
Microsoft impone política de revelación de fallos de seguridad para todos sus trabajadores
Esta política obliga a todos los empleados a seguir una serie de pasos y procedimientos detallados al reportar fallos de seguridad en productos de terceros.
Estas prácticas son una evolución de la doctrina de revelación coordinada de vulnerabilidades (conocida como CVD o coordinated vulnerability disclosure, en inglés) propuesta el pasado julio. Con ellas se pretende simplificar la comunicación entre las partes afectadas y reducir las posibilidades de que los informes de vulnerabilidades acaben ocasionando que dichas vulnerabilidades se exploten activamente.
Entre otras cosas, se requiere que los empleados envien notificaciones privadas a la organización responsable del software, hardware o servicio vulnerable, antes de publicar cualquier aviso de seguridad público. "No queremos sorpresas para ninguno de los vendedores en los que encontramos vulnerabilidades", dijo Katie Moussouris, estratega de seguridad senior de Microsoft. "Estamos siguiendo la regla de oro en la revelación de vulnerabilidades, que es proteger al usuario, porque no hay razón para amplificar el riesgo al imponer un límite de tiempo único para la revelación de cualquier tipo de fallo".
La política se aplica a todos los empleados de Microsoft, sin importar si encuentran las vulnerabilidades en su tiempo personal o como parte de su trabajo diario. Los procedimientos pretenden separarse de la doctrina de la revelación responsable, que ha molestado a mucha gente del ámbito de la seguridad porque sugiere que aquellos que discrepan con ella están actuando de forma incorrecta.
Bajo esta política, los empleados de Microsoft que descubran vulnerabilidades informarán de forma privada a las organizaciones responsables. El correo electrónico cifrado es el medio favorito, pero únicamente cuando se haya identificado el interlocutor adecuado de la organización. Los informes deben incluir información del fallo de la aplicación, pruebas de concepto o exploits, análisis de la causa del fallo, así como otros detalles técnicos. "Cualquier información proporcionada a la organización responsable no está destinada a su uso público, sino al uso del responsable para identificar y solucionar la vulnerabilidad", indica la política.
Por primera vez, Microsoft empezará a publicar avisos sobre las vulnerabilidades que sus empleados descubren, preferiblemente solo cuando los fallos han sido solucionados. Microsoft también publicará avisos si encuentra que el fallo está siendo explotado, o en caso de no recibir respuesta de las terceras partes.
Esta política parece ser la primera vez que una compañía ha publicado exactamente cuando y como va a reportar vulnerabilidades en los productos de sus compañeros, asociados y competidores. En julio, el equipo de seguridad de Google publicó una política menos detallada que indicaba que los miembros del equipo darían generalmente 60 días a las empresas para parchear vulnerabilidades antes de hacerlas públicas.
Más información:
The Inquirer.
Política de seguridad de Microsoft.
Avisos de seguridad de Microsoft.