La no revelación de la información sobre vulnerabilidades, en inglés Non-disclosure, es en sí misma una política de revelación. La información se mantiene en secreto. Este enfoque se basa en dar prioridad a mantener en secreto la vulnerabilidad frente a dar publicidad a la información para podernos proteger frente a ella.
Algunas veces en lugar de una no revelación absoluta, la información sobre la vulnerabilidad se comparte de forma restringida (pseudosecreto). Cuanto más amplio sea el número de personas que conocen la vulnerabilidad se incrementa el riesgo para los usuarios finales. La información puede revelarse por ejemplo a:
Muchas veces el descubridor de la vulnerabilidad toma esta política y la información se va divulgando por canales privados hasta que llega a cierta organización o persona que decide publicarla para evitar daños mayores.
Históricamente esta fue la primera política de revelación utilizada en el mundo de la informática. Las vulnerabilidades se comunicaban directamente a las empresas proveedoras para que éstas las arreglaran. Con el tiempo fueron apareciendo organizaciones como el CERT Coordination Center que se actuaban de intermediarios entre los investigadores y las empresas proveedoras. Los investigadores informaban a estas organizaciones sobre la vulnerabilidad, ellos la verificaban y si la confirmaban entonces informaban de forma secreta al proveedor y una vez que el arreglo estaba disponible entonces publicaba los detalles de la vulnerabilidad.
También aparecieron pequeños círculos cerrados donde hackers, ingenieros del software y profesionales de la seguridad intercambiaban información sobre vulnerabilidades. Como ejemplo de este tipo de organizaciones podríamos destacar la Zardoz 'Security-Digest'. El que la información fuera compartida por, en principio, personas que no iban a usar esta información de forma ilícita, no garantizaba en absoluto que no fuera usada de forma ilícita ya que tener acceso a esta información se convertía en objetivo básico de hackers con fines ilícitos. En definitiva, estos 'secretos' eran usados tanto de forma bienintencionada como maliciosa y esa información raramente llegaba a los ojos del público en general.
Motivaciones para que un investigador que descubre una vulnerabilidad adopte este tipo de política:
Inconvenientes de esta política de revelación de vulnerabilidades:
Escribe un comentario o lo que quieras sobre Política de no revelación de vulnerabilidades (directo, no tienes que registrarte)
Comentarios
(de más nuevos a más antiguos)