CERT Coordination Center

El CERT Coordination Center, con siglas CERT/CC fue creado en 1988 en el Software Engineering Institute debido a los problemas creados por el gusano informático Morris. Desde ese momento se convirtió en un centro de coordinación mundial sobre problemas de seguridad.

Políticas de revelación

En un primer momento el CERT/CC siguió una política de no revelación de vulnerabilidades. Su actuación se basaba en recibir la vulnerabilidades de los investigadores, verificarlas, comunicarlas al proveedor y cuando el proveedor arreglaba la vulnerabilidad entonces publicaba los detalles sobre la misma.

En 2001 el CERT Coordination Center publica su nueva política de revelación que podríamos catalogar como de revelación parcial. Cuando la vulnerabilidad es recibida el CERT/CC envía la información al proveedor afectado. A partir de este momento el proveedor dispone de 45 días pasados los cuales el CERT/CC publicará la vulnerabilidad. El periodo de 45 es flexible de modo que puede ser acortado o extendido según las circunstancias (Ej dificultad de realizar el parche o la vulnerabilidad ya es utilizada por un exploit que está activo).

El CERT/CC está en contra de la publicación de exploit porque piensan que tiene más perjuicios que beneficios. Sin embargo su política no define ninguna regla sobre esto.

Algunos investigadores tienen sus dudas sobre si la entidad implementa realmente esta política en todos los casos.

Referencias

• Andrew Cencini et ali., "Software Vulnerabilities: Full-, Responsible-, and Non-Disclosure". Diciembre 2005
• Stephen A. Sheperd,"Vulnerability Disclosure. How do we define Responsible Disclosure?. SANS Institute. Abril 2003
• Jaziar Radianti et ali., "Toward a Dynamic Modeling of the Vulnerability Black Market".Faculty of Engineering and Science, Agder University.

Esta página se editó por última vez el 26 jul 2019 a las 19:39.