Revelación responsable

De Wikipedia, la enciclopedia libre
Saltar a: navegación, búsqueda

La revelación responsable, en inglés responsible disclosure, es una política de revelación parcial de vulnerabilidades.

Descripción[editar]

Hay controversia respecto a la definición concreta y no hay una definición concreta uniformemente aceptada. La base es la misma pero se diferencias en los detalles. Una de las propuestas más aceptadas es la de Stephen Shepherd[1] que se puede resumir en los siguientes puntos:

  • Cuando se descubre una vulnerabilidad el investigador informa al proveedor del sistema. A veces es conveniente tener una tercera parte que coordine, gestione y facilite la comunicación entre revelador y proveedor. Es conveniente esforzarse en que la información sea sólo accesible al menor número de personas posible y de la máxima confianza. Toda la comunicación debería ser por un canal seguro para evitar una filtración.
  • Si el proveedor es receptivo y coopera adecuadamente en la resolución del problema el investigador espera a que se publique el arreglo para revelar toda la información sobre la misma salvo el exploit. Se suele considerar que el proveedor actúa adecuadamente si rápidamente reproduce y reconoce el problema, da méritos a los descubridores, soluciona el problema de forma probada en un periodo apropiado (suele ser 30 días a partir del contacto inicial aunque puede haber factores que reduzcan o extiendan este periodo de tiempo).
  • Si el proveedor no actúa de forma correcta el investigador procede con una revelación completa de la información sobre la vulnerabilidad salvo el exploit, sin que la vulnerabilidad haya sido arreglada.
  • En cualquier momento si se tiene constancia de que se está utilizan un exploit que aprovecha la vulnerabilidad, se procede con la revelación de la información sobre la vulnerabilidad para proteger los recursos de los usuarios.

En este modelo cuando se llega a la revelación se revela toda la información excepto el código del exploit, que no se incluye nunca basándose en el hecho de que un exploit puede ser desarrollado con la información que se provee y no hay razón de peso para incluirlo porque sólo podría ser aprovechado por script kiddies.


Referencias[editar]

  • Andrew Cencini et ali., "Software Vulnerabilities: Full-, Responsible-, and Non-Disclosure". Diciembre 2005
  • Stephen A. Sheperd,"Vulnerability Disclosure. How do we define Responsible Disclosure?. SANS Institute. Abril 2003
  1. Stephen A. Sheperd,"Vulnerability Disclosure. How do we define Responsible Disclosure?. SANS Institute. Abril 2003