Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
20/04/2011
Microsoft imposa política de revelació de fallades de seguretat per a tots els seus treballadors
Aquesta política obliga tots els empleats a seguir una sèrie de passos i procediments detallats, en reportar fallades de seguretat en productes de tercers.
Aquestes pràctiques són una evolució de la doctrina de revelació coordinada de vulnerabilitats (coneguda com CVD o coordinated vulnerability disclosure, en anglés) proposada el passat juliol. Amb elles es pretén simplificar la comunicació entre les parts afectades i reduir les possibilitats que els informes de vulnerabilitats acaben ocasionant que les dites vulnerabilitats s'exploten activament.
Entre altres coses, es requereix que els empleats envien notificacions privades a l'organització responsable del programari, maquinari o servei vulnerable, abans de publicar qualsevol avís públic de seguretat. "No volem sorpreses per a cap dels venedors en què trobem vulnerabilitats", va dir Katie Moussouris, estrateg de seguretat Senior de Microsoft. "Estem seguint la regla d'or en la revelació de vulnerabilitats, que és protegir a l'usuari/ària, perquè no hi ha raó per a amplificar el risc en imposar un límit de temps únic per a la revelació de qualsevol tipus de fallada".
La política s'aplica a tots els empleats/ades de Microsoft, sense importar si troben les vulnerabilitats en el seu temps personal o com a part del seu treball diari. Els procediments pretenen separar-se de la doctrina de la revelació responsable, que ha molestat molta gent de l'àmbit de la seguretat, perquè suggereix que aquells que discrepen amb ella estan actuant de forma incorrecta.
Sota aquesta política, els empleats/ades de Microsoft, que descobrisquen vulnerabilitats, informaran de forma privada les organitzacions responsables. El correu electrònic xifrat és el medi favorit, però únicament quan s'haja identificat l'interlocutor adequat de l'organització. Els informes han d'incloure informació de la fallada de l'aplicació; proves de concepte o exploits; anàlisi de la causa de la fallada, així com altres detalls tècnics. "Qualsevol informació proporcionada a l'organització responsable no està destinada al seu ús públic, sinó a l'ús del responsable per a identificar i solucionar la vulnerabilitat", indica la política.
Per primera vegada, Microsoft començarà a publicar avisos sobre les vulnerabilitats que els seus empleats descobreixen, preferiblement només quan les fallades han estat solucionades. Microsoft també publicarà avisos si troba que la fallada està sent explotada, o en cas de no rebre resposta de les terceres parts.
Sembla que és la primera vegada que, amb aquesta política, una companyia ha publicat exactament quan i com reportarà vulnerabilitats en els productes dels seus companys, associats i competidors. Al juliol, l'equip de seguretat de Google va publicar una política menys detallada, que indicava que els membres de l'equip donarien generalment 60 dies a les empreses per a posar "pegats" a les vulnerabilitats abans de fer-les públiques.
Més informació:
The Inquirer.
Política de seguretat de Microsoft.
Avisos de seguretat de Microsoft.