Enviar artigo por e-mail:
Faltam caracteres
Sair
Consórcio de empresas sugere normas mais rígidas de divulgação de bugs
Publicado por Casa dos Bits às 15.12h no dia 05 de Junho de 2003 | 0 comentários
A Organization for Internet Safety (OIS), um grupo de 11 das maiores produtoras de software e firmas de segurança informática, divulgou ontem a primeira versão pública provisória de uma proposta para a implementação de um padrão de divulgação de bugs informáticos e outras vulnerabilidades, com vista a obter comentários e sugestões da comunidade de segurança.
O documento de 37 páginas intitulado Security Vulnerabilty Reporting and Response Guide, traça um plano temporal detalhado para a divulgação de vulnerabilidades informáticas e padroniza as interacções entre os investigadores de segurança que descobrirem bugs e as produtoras de software responsáveis pela sua criação. O grupo espera que a versão final do plano obtenha a aceitação generalizada por parte da indústria.
Formada oficialmente em Setembro de 2002, a OIS tem a sua origem numa conferência privada de segurança organizada pela Microsoft em Silicon Valley quase um ano antes. Os seus membros consistem, para além da gigante de software, na @stake, BindView, SCO, Foundstone, Guardent, Internet Security Systems, Network Associates, Oracle, SGI e Symantec. Um dos principais objectivos desta organização consiste em encorajar uma forma limitada de alerta público que mantém em segredo os detalhes úteis para os hackers.
Para esse fim, o plano prevê impedir a prática comum mas controversa de revelar publicamente código exploit que demonstra um buraco de segurança. Os investigadores que seguirem este conjunto de regras e normas não poderão divulgar exploits ou disponibilizar "informação técnica pormenorizada como inputs exactos de dados, buffer offsets ou estratégias de código shell" ao público em geral.
Mas, a partir do trigésimo dia após a divulgação de um código de correcção para o bug por parte da produtora de software, o investigador que tiver descoberto a vulnerabilidade pode distribuir código exploit ou detalhes técnicos a "organizações como instituições académicas que realizam pesquisas relativas a técnicas de desenvolvimento de software seguro".
Segundo os responsáveis do grupo, ainda não foi determinado se essa descrição abrange fóruns e mailing-lists populares como a Bugtraq, a NTBugtraq e a Full Disclosure, pelo que será uma questão aberta pelo grupo à interpretação dos comentários e sugestões enviados por email por um prazo de 30 dias, até 4 de Julho. A OIS espera divulgar o plano final na Conferência Black Hat em Las Vegas, a realizar-se de 28 a 31 de Julho deste ano.
O documento de 37 páginas intitulado Security Vulnerabilty Reporting and Response Guide, traça um plano temporal detalhado para a divulgação de vulnerabilidades informáticas e padroniza as interacções entre os investigadores de segurança que descobrirem bugs e as produtoras de software responsáveis pela sua criação. O grupo espera que a versão final do plano obtenha a aceitação generalizada por parte da indústria.
Formada oficialmente em Setembro de 2002, a OIS tem a sua origem numa conferência privada de segurança organizada pela Microsoft em Silicon Valley quase um ano antes. Os seus membros consistem, para além da gigante de software, na @stake, BindView, SCO, Foundstone, Guardent, Internet Security Systems, Network Associates, Oracle, SGI e Symantec. Um dos principais objectivos desta organização consiste em encorajar uma forma limitada de alerta público que mantém em segredo os detalhes úteis para os hackers.
Para esse fim, o plano prevê impedir a prática comum mas controversa de revelar publicamente código exploit que demonstra um buraco de segurança. Os investigadores que seguirem este conjunto de regras e normas não poderão divulgar exploits ou disponibilizar "informação técnica pormenorizada como inputs exactos de dados, buffer offsets ou estratégias de código shell" ao público em geral.
Mas, a partir do trigésimo dia após a divulgação de um código de correcção para o bug por parte da produtora de software, o investigador que tiver descoberto a vulnerabilidade pode distribuir código exploit ou detalhes técnicos a "organizações como instituições académicas que realizam pesquisas relativas a técnicas de desenvolvimento de software seguro".
Segundo os responsáveis do grupo, ainda não foi determinado se essa descrição abrange fóruns e mailing-lists populares como a Bugtraq, a NTBugtraq e a Full Disclosure, pelo que será uma questão aberta pelo grupo à interpretação dos comentários e sugestões enviados por email por um prazo de 30 dias, até 4 de Julho. A OIS espera divulgar o plano final na Conferência Black Hat em Las Vegas, a realizar-se de 28 a 31 de Julho deste ano.
Notícias recomendadas :
2002-09-27 - Empresas de tecnologia formalizam organização para reforçar segurança na Internet
2002-02-25 - Produtoras de software estabelecem normas de divulgação de falhas de segurança
Notícias relacionadas :
2007-02-16 - Microsoft alerta para nova falha de segurança no Word
2003-10-16 - Microsoft aponta novas falhas de segurança e respectivos patches
2002-09-27 - Empresas de tecnologia formalizam organização para reforçar segurança na Internet
2002-02-25 - Produtoras de software estabelecem normas de divulgação de falhas de segurança
2001-11-09 - Microsoft quer restringir divulgação pública de falhas de segurança
RSS