[SECURITY-L] Organizacao para seguranca na web comeca a mostrar propostas
Daniela Regina Barbetti Silva
daniela em ccuec.unicamp.br
Qua Out 2 16:20:57 -03 2002
----- Forwarded message from Jacomo Dimmit Boca Piccolini <jacomo em cais.rnp.br> -----
From: Jacomo Dimmit Boca Piccolini <jacomo em cais.rnp.br>
Subject: [S] Noticias-CAIS: Organização para segurança na web começa a mostrar propostas
To: <seguranca em pangeia.com.br>
Date: Tue, 1 Oct 2002 13:16:49 -0300 (EST)
Noticias - Centro de Atendimento a Incidentes de Seguranca (CAIS/RNP)
---------------------------------------------------------------------
[fonte:http://www1.uol.com.br/folha/informatica/ult124u11169.shtml]
Organização para segurança na web começa a mostrar propostas
da Folha Online
Inaugurada no ano passado durante o fórum Trusted Computing, a
Organisation for Internet Safety (OIS) foi incumbida de criar uma série de
diretrizes para controlar a descoberta de falhas e vulnerabilidades em
software.
Os fundadores, entre os quais estão a Microsoft, @stake, Guardant,
Bindview e Foundstone, defendem um padrão que limitaria a divulgação
pública de brechas de segurança em produtos. E ontem, foi anunciado que a
Caldera/SCO, Oracle, SGI, Symantec e Network Associates também integraram
o grupo.
A organização pretende divulgar parte de seus planos no início de 2003.
Quando foi discutida pela primeira vez, há cerca de um ano, a OIS foi
criticada por membros da indústria de segurança de software, que alegaram
que limitar a divulgação de falhas em produtos pode ser prejudicial para o
mercado, bem como para outras equipes de pesquisa.
Alguns especialistas ainda dizem que a limitação do anúncio de
vulnerabilidades pode levar fabricantes a fazer vistas grossas na hora em
que precisarem rapidamente criar um arquivo de correção.
Por outro lado, limitar essa divulgação pode significar dificultar a ação
de vândalos e hackers, já que não terão o fácil acesso ao meio como podem
explorar as falhas de um software.
John Pescatore, vice-presidente de segurança na internet do Gartner, disse
que "é cada vez mais importante para a infra-estrutura crítica, bem como
para os usuários domésticos, que falhas de segurança sejam evitadas quando
os produtos são lançados."
Porém, continuou Pescatore, "quando essas falhas ocorrem, elas devem ser
identificadas e corrigidas o quanto antes. E para que isso aconteça da
melhor maneira, é importante que haja um consenso entre os membros da
indústria."
No início desse ano, uma proposta similar, conhecida por "Responsible
Disclosure Process", que defendia a divulgação total de qualquer
vulnerabilidade descoberta, foi rejeitada pela IETF (Internet Engineering
Task Force).
A proposta da OIS está sendo julgada pela IETF e será disponibilizada para
análise pública antes de ser aprovada e adotada como padrão oficial.
----- End forwarded message -----
Mais detalhes sobre a lista de discussão SECURITY-L