[SECURITY-L] Organizacao para seguranca na web comeca a mostrar propostas

[Daniela Regina Barbetti Silva]

----- Forwarded message from Jacomo Dimmit Boca Piccolini <jacomo em cais.rnp.br> -----

From: Jacomo Dimmit Boca Piccolini <jacomo em cais.rnp.br>
Subject: [S] Noticias-CAIS: Organização para segurança na web começa a mostrar propostas
To: <seguranca em pangeia.com.br>
Date: Tue, 1 Oct 2002 13:16:49 -0300 (EST)

Noticias - Centro de Atendimento a Incidentes de Seguranca (CAIS/RNP)
---------------------------------------------------------------------

[fonte:http://www1.uol.com.br/folha/informatica/ult124u11169.shtml]

Organização para segurança na web começa a mostrar propostas
da Folha Online

Inaugurada no ano passado durante o fórum Trusted Computing, a
Organisation for Internet Safety (OIS) foi incumbida de criar uma série de
diretrizes para controlar a descoberta de falhas e vulnerabilidades em
software.

Os fundadores, entre os quais estão a Microsoft, @stake, Guardant,
Bindview e Foundstone, defendem um padrão que limitaria a divulgação
pública de brechas de segurança em produtos. E ontem, foi anunciado que a
Caldera/SCO, Oracle, SGI, Symantec e Network Associates também integraram
o grupo.

A organização pretende divulgar parte de seus planos no início de 2003.

Quando foi discutida pela primeira vez, há cerca de um ano, a OIS foi
criticada por membros da indústria de segurança de software, que alegaram
que limitar a divulgação de falhas em produtos pode ser prejudicial para o
mercado, bem como para outras equipes de pesquisa.

Alguns especialistas ainda dizem que a limitação do anúncio de
vulnerabilidades pode levar fabricantes a fazer vistas grossas na hora em
que precisarem rapidamente criar um arquivo de correção.

Por outro lado, limitar essa divulgação pode significar dificultar a ação
de vândalos e hackers, já que não terão o fácil acesso ao meio como podem
explorar as falhas de um software.

John Pescatore, vice-presidente de segurança na internet do Gartner, disse
que "é cada vez mais importante para a infra-estrutura crítica, bem como
para os usuários domésticos, que falhas de segurança sejam evitadas quando
os produtos são lançados."

Porém, continuou Pescatore, "quando essas falhas ocorrem, elas devem ser
identificadas e corrigidas o quanto antes. E para que isso aconteça da
melhor maneira, é importante que haja um consenso entre os membros da
indústria."

No início desse ano, uma proposta similar, conhecida por "Responsible
Disclosure Process", que defendia a divulgação total de qualquer
vulnerabilidade descoberta, foi rejeitada pela IETF (Internet Engineering
Task Force).

A proposta da OIS está sendo julgada pela IETF e será disponibilizada para
análise pública antes de ser aprovada e adotada como padrão oficial.



----- End forwarded message -----