Explicación de la decisión de OpenBSD de liberar el parche para Krack antes que se hiciera pública la vulnerabilidad.

Esta semana se conoció que los diferentes desarrolladores de sistemas operativos liberaron un parche para Krack, un exploit creado por investigadores de seguridad que permite vulnerar el protocolo de seguridad inalámbrica WPA2, y también que los desarrolladores de OpenBSD, habían liberado el parche antes de la fecha prevista para el anuncio público de la vulnerabilidad,lo que motivó que algunos los acusaran de poner en peligro a los sistemas operativos que aún no habían creado el parche.

Aunque desde el proyecto no se respondió oficialmente a las críticas, un desarrollador dio una explicación que a mi me parece perfectamente válida sobre lo que sucedió con los descubridores del problema. Ante la pregunta de PlanetaDiego, otros desarrolladores la confirmaron.

Lo que pasó es que me lo dijeron ( el 15 de julio, y me impusieron un embargo de 6 semanas hasta finales de agosto. Ya nos quejábamos entonces de que esto era demasiado largo y dejábamos a la gente expuesta.

Luego consiguieron la participación del CERT(*) (y, por lo tanto, de las agencias gubernamentales estadounidenses) y tuvieron que extender aún más el embargo hasta el día de hoy. En ese momento ya teníamos el balón en marcha y decidimos atenernos al acuerdo original con él.

En esta situación, una petición para mantener el problema y arreglar el secreto es una petición para dejar a nuestros usuarios en riesgo y expuestos a los iniciados que potencialmente usarán el fallo para explotar a nuestros usuarios. Y no tenemos ni idea de quiénes son los otros iniciados. Tenemos que asumir que este tipo de información se filtrará y se disipa rápidamente en la “comunidad” de seguridad.”

Elegimos servir las necesidades de nuestros usuarios que son las personas vulnerables en este drama. Estoy de acuerdo con esa elección.

*Agencia responsable de la seguridad informática en EE.UU

Fuente

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s