Empresa rusa revelará vulnerabilidades sin coordinar con fabricantes
Empresa rusa emergente de seguridad informática se desentiende de la cooperación con los fabricantes de software. La pequeña empresa rusa Intevydis publicó el 11 de enero el primero de una serie de ejemplos sobre las posibilidades de explotar vulnerabilidades en algunos programas para servidores.
Según el plan, las vulnerabilidades serán reveladas durante un período de tres semanas.
Durante la primera semana la atención se concentrará en los agujeros de seguridad de programas como Novell eDirectory, Sun Directory y Tivoli Directory.
La primera revelación fue publicada el 11 de enero y se refiere a Sun Directory Server 7.0. En concreto, se trataría de vulnerabilidades que hacen posibles sabotajes de negación de servicio.
Durante la próxima semana, la atención estará dirigida a vulnerabilidades de servidores web como Zeus Web Server, Sun Web Server e incluso Apache.
Para la semana que comienza el 25 de enero, la atención se concentrará en vulnerabilidades en bases de datos como MySQL, IBM DB2, Lotus Domino, Informix y posiblemente Oracle.
Evgeny Legerov, fundador de Intevydis, escribe en el blog de la empresa que lo normal es que las empresas de seguridad informática notifiquen primero a los fabricantes de software, por lo general dando aviso de un mes, antes de publicar por cuenta propia información sobre vulnerabilidades. Intevydis dice no estar ya de acuerdo con este procedimiento debido a que las empresas del rubro trabajan gratuitamente para los fabricantes. A juicio de Legerov, es un trabajo que deberían hacer los propios fabricantes.
"Después de haber cooperado con los fabricantes, concluimos que es una pérdida de tiempo. A partir de ahora no cooperaremos con ellos ni tampoco respetaremos su política de revelación responsable", comentó Legerov a Krebs On Security.
Fuente: DiarioTI
Según el plan, las vulnerabilidades serán reveladas durante un período de tres semanas.
Durante la primera semana la atención se concentrará en los agujeros de seguridad de programas como Novell eDirectory, Sun Directory y Tivoli Directory.
La primera revelación fue publicada el 11 de enero y se refiere a Sun Directory Server 7.0. En concreto, se trataría de vulnerabilidades que hacen posibles sabotajes de negación de servicio.
Durante la próxima semana, la atención estará dirigida a vulnerabilidades de servidores web como Zeus Web Server, Sun Web Server e incluso Apache.
Para la semana que comienza el 25 de enero, la atención se concentrará en vulnerabilidades en bases de datos como MySQL, IBM DB2, Lotus Domino, Informix y posiblemente Oracle.
Evgeny Legerov, fundador de Intevydis, escribe en el blog de la empresa que lo normal es que las empresas de seguridad informática notifiquen primero a los fabricantes de software, por lo general dando aviso de un mes, antes de publicar por cuenta propia información sobre vulnerabilidades. Intevydis dice no estar ya de acuerdo con este procedimiento debido a que las empresas del rubro trabajan gratuitamente para los fabricantes. A juicio de Legerov, es un trabajo que deberían hacer los propios fabricantes.
"Después de haber cooperado con los fabricantes, concluimos que es una pérdida de tiempo. A partir de ahora no cooperaremos con ellos ni tampoco respetaremos su política de revelación responsable", comentó Legerov a Krebs On Security.
Fuente: DiarioTI
Ojala todas las empresas de seguridad informatica hicieran lo mismo. De este modo, los fabricantes de software tratarian de hacer las cosas mucho mejor, ya que no tendrian la tranquilidad de que decenas de empresas revisaran su producto, y si hicieron cagadas... bue, tendremos un mes para arreglarlas y mandar una actualizacion, total... ¿a quien le molesta tener que estar actualizando su soft todos los dias?
ResponderBorrar