• Tweet

Investigadores de vulnerabilidades, fabricantes de software, y empresas de seguridad que compran información sobre defectos en el software encontraron pocas coincidencias en un debate realizado el pasado miércoles donde se discutieron las ventajas de los defectos de los programas.

La discusión, que tuvo lugar en el primer día de la Conferencia sobre Seguridad CanSecWest, dejó a los fabricantes de software y las empresas que controlan la venta de vulnerabilidades en disputa sobre el pago por la información sobre los defectos del software. Tal iniciativa ayuda al usuario final, según Michael Sutton, director de los laboratorios de investigación de vulnerabilidades Verisign subsidiario de iDefense, quien promovió el primer programa permanente sobre vulnerabilidades de seguridad.

Esta disputa sacó a flote el desacuerdo que existe entre los tres actores principales en la comunidad: investigadores de seguridad, fabricantes de software y usuarios finales, acerca del valor de los programas sobre vulnerabildades.

En agosto de 2002, iDefense estableció el Programa de Contribución de Vulnerabilidades, el primer programa en el cual se ofrece dinero en efectivo a los investigadores que revelen detalles sobre vulnerabilidades no descubiertas, incrementando cada tres meses la recompensa.

Rival TippingPoint, subsidiaria del gigante de las redes 3Com, creó su propia versión del programa el año pasado, encabezado por el gerente de seguridad, David Endler, quien fundó el programa de iDefense. Los investigadores de Seguridad incluso han intentado subastar la información de vulnerabilidades en eBay.

Los vendedores son los que mejor saben sobre vulnerabilidades, incluso si la información viene de un tercero quien compró la información, dijo Sutton.

"El único modelo económico que no tiene sentido para mí es el del vendedor, " dijo Sutton. "Llegan a conocer sobre las vulnerabilidades antes de la hora, pero están indispuestos a pagar para ellas."

Desde luego, nadie estuvo de acuerdo con esta afirmación. Mientras los investigadores son libres de vender la información, esto no significa una salvación para los clientes, dijo el director de ingeniería de software de Novell.

Los fabricantes de software generalmente no pagan por la información sobre defectos en el software, y probablemente no lo hagan en el futuro, una situación que los deja en desventaja contra los programas que compran vulnerabilidades, dijo el miembro del panel Darius Wiles, gerente de alertas de seguridad de Oracle.

"Lo que puedo dar a la gente que encuentra vulnerabilidades es una pequeña cantidad de fama. iDefense puede darles $10,000".

TippingPoint, rival de iDefense en el mercado de las vulnerabilidades, usa las vulnerabilidades recién encontradas para proteger a sus clientes usando los sistemas de prevención de intrusos de la empresa. Los investigadores de vulnerabilidades tienen que ser recompensados con más que un poco de fama para hacer las cosas bien, dijo Tere Forslof, gerente de respuestas de seguridad de TippingPoint.

Matthew Murphy, jefe de los sistemas de información computacional de la Universidad del Estado de Missouri en Springfield, vendió muchas vulnerabilidades a iDefense el año pasado, dijo en el panel de discusión. De esta manera, los estudiantes usan los beneficios de su investigación para compensar el costo de su educación.

Acudir con una tercera empresa de seguridad es más seguro que el tratar directamente con una empresa de software, dijo Murphy.

"Si vengo y ofrezco venderle una vulnerabilidad de su producto, voy a ser juzgado y detenido," dijo a los representantes de fabricantes de software en el panel.

Un asistente, quien dijo que trabajó para una importante firma financiera, contó en el panel que aprobar los programas de vulnerabilidad se ha hecho un punto discutible en este tipo de empresas.