domingo, 22 de noviembre de 2009

Responsible disclosure - cosas nuevas


Leo con interés este post en OSVDB Blog: "Responsible disclosure - Old debate, fresh aspects?!", del que me quiero hacer eco aquí por instructivo. Este se centra en torno a una nueva norma de seguridad que se publicará en diciembre 2010: la ISO 29147 - Responsible Vulnerability Disclosure. El debate sobre cómo publicar la información de una vulnerabilidad descubierta siempre ha sido calentito, y como el que os escribe no tenía ni idea acerca de la existencia de esta norma, he estado leyendo un poco sobre ello, aquí va lo que he sacado.

En primer lugar: de qué va. En la web de ISO no dice absolutamente nada, ni otras personas, reconocidas en el mundo de la seguridad informática, parecen tener tampoco información de primera mano. Al parecer la mera existencia de esta norma ha causado algún revuelo en la comunidad de la seguridad informática, al menos entre los grandes del mundillo (leer, por ejemplo, el propio post de OSVDB, o este de Halvar Flake), porque podría querer "regular" cómo ha de comportarse quien descubre una vulnerabilidad. Sin embargo, parece lógico suponer que no tendrá nada que ver con aquellos vulnerability researchers que publiquen, de forma independiente, sus hallazgos en la materia, sino con cómo una organización va a lidiar con la publicación de los defectos encontrados en sus productos (esta línea de pensamiento la sugiere, por ejemplo, technicalinfodotnet, que escribe Gunter Ollmann). Más que nada, porque el individuo se pasará la ISO por el arco del triunfo, estando las normas de este estilo orientadas a su adopción a nivel corporativo.

Segundo punto: si está orientada a una organización, ¿qué podría tener cabida en esta norma?. Algunas cosas podrían ser: cuándo hacer público el problema. Qué detalles publicar. Orientación para valorar el problema. El tiempo que se considera aceptable desde que se descubre el problema hasta que aparece una solución al mismo. Si sólo se publican los detalles de problemas descubiertos por expertos ajenos a la empresa que produce el producto con problemas, o también los descubiertos de forma interna sencillamente durante el desarrollo de actualizaciones del producto o nuevas versiones, informando al usuario para que este actualice (este nivel de transparencia sería casi idílico). Cómo trabajar con otras organizaciones, en caso de que haya que publicar problemas de forma coordinada. ¿Otros?.

Tercer punto: ¿Existe algún trabajo ya hecho en esta línea?. Pues resulta que sí. Gunter Ollmann nos indica la existencia del proyecto "Common Frameworks for Vulnerability Disclosure and Response (CVRF)" de ICASI. ¿Alguien sabe de algún otro? Si es así, deja un comentario por favor.

Si te gustó esta entrada, quizás quieras suscribirte al blog por RSS...