La políticas de revelación parcial (en inglés partial disclosure) es una tipo de políticas de revelación de vulnerabilidades que establecerse como punto intermedio entre la política de no revelación de vulnerabilidades y la política de revelación completa. Intentan aprovechar buenas ideas de una y otra para situarse en un punto intermedio con mejores características. Se han desarrollado distintos modelos pero cada uno tiene sus inconvenientes considerándose el problema de la política de revelación como un problema abierto y pendiente de solución.
El uso masivo de políticas de revelación completa provocó la aparición masiva de exploits. Esto, junto con la tardanza de los proveedores de software en liberar los parches y las malas prácticas de los responsables de seguridad en aplicarlos, provocó un éxito masivo de dichos exploits hasta proporciones epidémicas. En esta situación aparició un movimiento importante por parte de algunas compañías de software y de algunos investigadores de seguridad para promover otro tipo de políticas de revelación de vulnerabilidades que no redujeran la información publicada de forma que no se dieran detalles que permitieran el desarrollo de exploits que permitieran automatizar el ataque y permitir así que cualquier persona pudiera realizar dicho ataque script kiddies. Este tipo de políticas estarían basadas en las siguientes ideas no desprovistas de polémica:
Críticas a este tipo de políticas frente a las políticas de revelación completa:
Basándose en las distintas consideraciones han aparecido distintas políticas de revelación que establecen términos medios entre la política de no-revelación y la política de revelación completa. Ejemplos: Revelación limitada, revelación responsable, revelación constructiva, RFPolicy, las políticas de revelación llevadas a cabo por ciertas organizaciones (Ej. IBM Internet Security Systems, NTBugTraq, CERT Coordination Center) o la política de revelación propuesta por Steven Christey y Chris Wysopal (borrador de estándar para el IETF que finalmente no fue aprobado).
Se han propuesto también organismos que ayuden como intermediarios entre originadores de la vulnerabilidad y proveedores de sistemas. Ejemplos de propuestas: The Responsible Disclosure Forum y Fisher Plan
Escribe un comentario o lo que quieras sobre Revelación parcial (directo, no tienes que registrarte)
Comentarios
(de más nuevos a más antiguos)