IBM ha fustigado a TippingPoint por su concurso en el cual fue revelada una vulnerabilidad de QuickTime en el navegador Safari de Apple
La división ISS de IBM ha fustigado a su rival TippingPoint por auspiciar un concurso de hackers que terminó revelando una vulnerabilidad de QuickTime en el navegador Safari de Apple.
Este tipo de críticas no es nuevo. Dos analistas de Gartner, Rich Mogull y Greg Young, plantearon el caso la semana pasada en su análisis de la conferencia de seguridad CanSecWest, celebrada en abril, en la cuál se ofrecían US$10.000 en una competencia abierta a quien lograra quebrar la seguridad de las computadoras Apple.
El agujero que le permitió ganar el premio al hacker Dino Dai Zovi resultó ser una vulnerabilidad aun no corregida de potencial importancia que afecta a todas las computadoras que utilizan el sistema OS X. TippingPoint aseguró que le informaría a Apple en privado, pero algunos señalan que esto no garantiza que la información acerca del defecto no se haga pública por otros canales.
“La publicidad del concurso ha expuesto a miles de compañías a posibles ataques a través de los navegadores de Internet”, dijo Kris Lamb en el comunicado de ISS. “Este concurso es un ejemplo perfecto de lo que puede ocurrir cuando las compañías de seguridad no tienen una separación estricta, al estilo “iglesia y estado”, entre mercadeo e investigación de vulnerabilidades.
“Internet Security Systems de IBM coincide con la afirmación de Gartner de que ‘la investigación pública de vulnerabilidades y los concursos de hackers son actividades peligrosas, y pueden ir contra la prácticas responsables de divulgación’. Es por esta razón que ISS de IBM se adhiere de manera firme a sus pautas de divulgación claramente establecidas”.
La línea de falla de esta controversia se originó hace dos años cuando TippingPoint lanzó su iniciativa Zero Day, poco tiempo antes de ser comprada por 3Com, sus actuales dueños. Según este esquema, los investigadores reciben pagos por reportar vulnerabilidades, las cuales son incorporadas en los servicios de seguridad corporativos que la compañía vende por suscripción.
Desde la perspectiva de TippingPoint, estos pagos son una forma simple y eficaz de lograr que los investigadores profesionales –incluso aquellos que quiebran sistemas para obtener beneficios– les revelen las vulnerabilidades de forma responsable. Otros, entre ellos ISS, lo ven como algo que estimula el proceso de descubrimiento de manera no natural.
Lamb, de ISS, no se deja convencer por esta justificación “Aunque se justifique la compra de las vulnerabilidades de terceros por altruismo para beneficiar a la tecnología, la industria y la seguridad, no aceptaré esa idea. En términos claros, comprar un trabajo de investigación sobre las vulnerabilidades de otros es más barato para una compañía que ponerse a trabajar internamente para descubrirlas, creando el subterfugio de ofrecer protección preventiva con tecnologías reconocidas y obteniendo enorme publicidad a un ínfimo costo”.
John E. Dunn, Techworld