martes, 17 de junio de 2008

"Security and economics"


En el trabajo nos han presentado hoy un resumen de este informe de ENISA, titulado "Security, Economics, and the Internal Market". Menos mal, porque son 114 páginas de informe, y la verdad, ya se sabe que el tiempo es oro así que uno se plantea seriamente cuánto tiempo puede dedicar a leer qué cosa al día.

La ENISA (European Network and Information Security Agency) es una agencia de la UE cuya función es aconsejar a la Comisión Europea y a los Estados Miembros en materia de seguridad de la información. Sobre estas recomendaciones, se tomarán después decisiones sobre legislación a nivel europeo. La realización de un informe como el que se indica es una de sus funciones.

Como lectura en realidad es muy entretenido, y nos ha dado para buen rato de debate. Si tienes ocasión, se puede leer al menos las 6-8 primeras páginas, que traen un resumen de todo lo que viene después. Da una serie de recomendaciones, elaboradas para la UE, y extraídas a partir de un estudio socioeconómico, sin duda interesantes. Queda por ver cómo las aplicarán.

De entre todas las recomendaciones, me he quedado particularmente con la sexta (en la página 64 del informe), que dice:

"We recommend that the EU adopt a combination of early responsible vulnerability disclosure and vendor liability for unpatched software to speed the patch-development cycle"


porque hace que me plantee una pregunta. La publicación responsable de una vulnerabilidad consiste en avisar primero al fabricante, esperar a que salga la actualización, y después informar al público sobre la vulnerabilidad. El informe agrega que no se dará ningún tipo de exploit como prueba de concepto. Argumentan, por ejemplo, que en la lista bugtraq esto no siempre es así, es decir, que hay quién publica directamente las vulnerabilidades.

El caso es que si algo así llegara a legislarse, me pregunto: ¿significaría que listas de correo como la mencionada bugtraq, u otras como full-disclosure o similares, llegarían a estar prohibidas?. Porque sería una verdadera lástima... ¿o estoy exagerando mucho y eso no pasaría?. ¿No lo he entendido bien, quizás?. ¿?.

A ver qué pasa de aquí a unos años...

Slds!

P.D. encontré enlaces a este trabajo de ENISA en Cryptex, Sahw, y Schneier.

No hay comentarios: