Hay controversia respecto a la definición concreta y no hay una definición concreta uniformemente aceptada. La base es la misma pero se diferencias en los detalles. Una de las propuestas más aceptadas es la de Stephen Shepherd que se puede resumir en los siguientes puntos:[1]
Cuando se descubre una vulnerabilidad el investigador informa al proveedor del sistema. A veces es conveniente tener una tercera parte que coordine, gestione y facilite la comunicación entre revelador y proveedor. Es conveniente esforzarse en que la información sea solo accesible al menor número de personas posible y de la máxima confianza. Toda la comunicación debería ser por un canal seguro para evitar una filtración.
Si el proveedor es receptivo y coopera adecuadamente en la resolución del problema el investigador espera a que se publique el arreglo para revelar toda la información sobre la misma salvo el exploit. Se suele considerar que el proveedor actúa adecuadamente si rápidamente reproduce y reconoce el problema, da méritos a los descubridores, soluciona el problema de forma probada en un periodo apropiado (suele ser 30 días a partir del contacto inicial aunque puede haber factores que reduzcan o extiendan este periodo de tiempo).
Si el proveedor no actúa de forma correcta el investigador procede con una revelación completa de la información sobre la vulnerabilidad salvo el exploit, sin que la vulnerabilidad haya sido arreglada.
En cualquier momento si se tiene constancia de que se está utilizan un exploit que aprovecha la vulnerabilidad, se procede con la revelación de la información sobre la vulnerabilidad para proteger los recursos de los usuarios.
En este modelo cuando se llega a la revelación se revela toda la información excepto el código del exploit, que no se incluye nunca basándose en el hecho de que un exploit puede ser desarrollado con la información que se provee y no hay razón de peso para incluirlo porque solo podría ser aprovechado por script kiddies.
Andrew Cencini et ali., "Software Vulnerabilities: Full-, Responsible-, and Non-Disclosure". Diciembre 2005
Stephen A. Sheperd,"Vulnerability Disclosure. How do we define Responsible Disclosure?. SANS Institute. Abril 2003
Stephen A. Sheperd,"Vulnerability Disclosure. How do we define Responsible Disclosure?. SANS Institute. Abril 2003
Datos:Q613868
Diciembre 25, 2022
revelación, responsable, revelación, responsable, inglés, responsible, disclosure, política, revelación, parcial, vulnerabilidades, descripción, editarhay, controversia, respecto, definición, concreta, definición, concreta, uniformemente, aceptada, base, misma. La revelacion responsable en ingles responsible disclosure es una politica de revelacion parcial de vulnerabilidades Descripcion EditarHay controversia respecto a la definicion concreta y no hay una definicion concreta uniformemente aceptada La base es la misma pero se diferencias en los detalles Una de las propuestas mas aceptadas es la de Stephen Shepherd que se puede resumir en los siguientes puntos 1 Cuando se descubre una vulnerabilidad el investigador informa al proveedor del sistema A veces es conveniente tener una tercera parte que coordine gestione y facilite la comunicacion entre revelador y proveedor Es conveniente esforzarse en que la informacion sea solo accesible al menor numero de personas posible y de la maxima confianza Toda la comunicacion deberia ser por un canal seguro para evitar una filtracion Si el proveedor es receptivo y coopera adecuadamente en la resolucion del problema el investigador espera a que se publique el arreglo para revelar toda la informacion sobre la misma salvo el exploit Se suele considerar que el proveedor actua adecuadamente si rapidamente reproduce y reconoce el problema da meritos a los descubridores soluciona el problema de forma probada en un periodo apropiado suele ser 30 dias a partir del contacto inicial aunque puede haber factores que reduzcan o extiendan este periodo de tiempo Si el proveedor no actua de forma correcta el investigador procede con una revelacion completa de la informacion sobre la vulnerabilidad salvo el exploit sin que la vulnerabilidad haya sido arreglada En cualquier momento si se tiene constancia de que se esta utilizan un exploit que aprovecha la vulnerabilidad se procede con la revelacion de la informacion sobre la vulnerabilidad para proteger los recursos de los usuarios En este modelo cuando se llega a la revelacion se revela toda la informacion excepto el codigo del exploit que no se incluye nunca basandose en el hecho de que un exploit puede ser desarrollado con la informacion que se provee y no hay razon de peso para incluirlo porque solo podria ser aprovechado por script kiddies Vease tambien EditarAlertador Informacion sensible Sombrero blanco seguridad informatica Equipo de Respuesta ante Emergencias Informaticas Referencias EditarAndrew Cencini et ali Software Vulnerabilities Full Responsible and Non Disclosure Diciembre 2005 Stephen A Sheperd Vulnerability Disclosure How do we define Responsible Disclosure SANS Institute Abril 2003 Stephen A Sheperd Vulnerability Disclosure How do we define Responsible Disclosure SANS Institute Abril 2003 Datos Q613868 Obtenido de https es wikipedia org w index php title Revelacion responsable amp oldid 132690069, wikipedia, wiki, leyendo, leer, libro, biblioteca,
