A Organization for Internet Safety (OIS), um grupo de 11 das maiores produtoras de software e firmas de segurança informática, divulgou ontem a primeira versão pública provisória de uma proposta para a implementação de um padrão de divulgação de bugs informáticos e outras vulnerabilidades, com vista a obter comentários e sugestões da comunidade de segurança.

O documento de 37 páginas intitulado Security
Vulnerabilty Reporting and Response Guide, traça um plano temporal
detalhado para a divulgação de vulnerabilidades informáticas e padroniza as
interacções entre os investigadores de segurança que descobrirem bugs e as produtoras de software responsáveis pela sua criação. O grupo espera que a versão final do plano obtenha a aceitação generalizada por parte da indústria.

Formada oficialmente em Setembro de 2002, a OIS tem a sua origem numa
conferência privada de segurança organizada pela Microsoft em Silicon Valley quase um ano antes. Os seus membros consistem, para além da gigante de software, na @stake, BindView, SCO,
Foundstone, Guardent, Internet Security Systems, Network Associates, Oracle, SGI e Symantec. Um dos principais objectivos desta organização consiste em encorajar uma forma limitada de alerta público que mantém em segredo os detalhes úteis para os hackers.

Para esse fim, o plano prevê impedir a prática comum mas controversa de
revelar publicamente código exploit que demonstra um buraco de
segurança. Os investigadores que seguirem este conjunto de regras e normas não poderão divulgar exploits ou disponibilizar "informação técnica pormenorizada como inputs exactos de dados, buffer offsets ou estratégias de código shell" ao público em geral.

Mas, a partir do trigésimo dia após a divulgação de um código de correcção para o bug por parte da produtora de software, o investigador que tiver descoberto a vulnerabilidade pode distribuir código exploit ou detalhes técnicos a "organizações como instituições académicas que realizam pesquisas relativas a técnicas de desenvolvimento de software seguro".

Segundo os responsáveis do grupo, ainda não foi determinado se essa descrição abrange fóruns e mailing-lists populares como a Bugtraq, a
NTBugtraq e a Full Disclosure, pelo que será uma questão aberta pelo grupo à interpretação dos comentários e sugestões enviados por email por um prazo de 30 dias, até 4
de Julho. A OIS espera divulgar o plano final na Conferência Black Hat em Las Vegas, a realizar-se de 28 a 31 de Julho deste ano.

Notícias Relacionadas:
2002-09-27 - Empresas de tecnologia formalizam organização para reforçar
segurança na Internet
2002-02-25 - Produtoras de software estabelecem normas de divulgação
de falhas de segurança