Últimas noticias
- Usuarios de Skype afectados por ransomware en anuncios maliciosos 01-Abr-2017
- Java y Flash encabezan la lista programas más obsoletos 31-Mar-2017
- Apple soluciona error en Safari usado en ataques de ransomware 28-Mar-2017
- Utilizan botnet GiftGhostBot para robar saldos de tarjetas de regalo 28-Mar-2017
- Expertos señalan que hay archivos sensibles expuestos en Docs.com 28-Mar-2017
- Spammers modifican archivos RTF para ocultar malware 27-Mar-2017
- Estafas de bitcoins infestan las redes sociales 25-Mar-2017
Iniciativa zero day en HP es esencial para el plan de exposición de siete días de Google
La reciente decisión de Google de adoptar una política de divulgación de seguridad de siete días (seven-day security disclosure policy) podría dañar potencialmente el panorama de seguridad al conducir a las empresas a distribuir parches que no son probados debidamente antes de su liberación, de acuerdo con el líder del programa de seguridad Iniciativa de Día Cero (ZDI por sus siglas en inglés) de HP.
En una entrevista con V3, el director de investigaciones de seguridad de la ZDI en HP, Brian Gorenc, dijo que, en algunos casos, las grandes empresas que son infectadas sorpresivamente con una vulnerabilidad, no tienen tiempo suficiente para desarrollar y probar adecuadamente sus soluciones de seguridad antes de la fecha límite de divulgación de siete días.
“Para los proveedores, es difícil implementar un tiempo límite de siete días en las grandes organizaciones”, explicó. “Tienen que obtener muestras de los exploits y los payloads que estos contienen”.
El resultado, teme, podrían ser parches que no han sido probados debidamente y, potencialmente, causarían conflictos o problemas de rendimiento cuando son implementados por los administradores, quebrantando la confianza de los clientes a largo plazo. ZDI mantiene su propia política de tiempo límite, que en caso de fallas no dirigidas, puede contener la divulgación por hasta 180 días.
Por su parte, Google reconoció que en algunos casos, siete días pueden no ser suficientes para desarrollar y liberar un parche. Al anunciar la nueva política, los ingenieros de Google, Chris Evans y Drew Hintz, indicaron que se pueden tomar otras medidas de mitigación para proteger de ataques a los usuarios mientras se desarrolla una solución.
“Un tiempo límite de siete días es una medida agresiva y demasiado corta para que algunos proveedores actualicen sus productos, pero debería ser tiempo suficiente para publicar consejos sobre posibles medidas de mitigación, como deshabilitar temporalmente un servicio, restringir accesos o contactar al proveedor para obtener más información”, señalaron.
