Google Project Zero reduce el tiempo de divulgación de errores a un período de gracia de 30 días - Calendae | Informática, Electrónica, CMS, Ciberseguridad

Google Project Zero reduce el tiempo de divulgación de errores a un período de gracia de 30 días

Hola otra vez. Soy Eduardo Arroyo y esta vez te voy a contar sobre Google Project Zero reduce el tiempo de divulgación de errores a un período de gracia de 30 días

Google Project Zero reduce el tiempo de divulgación de errores a un período de gracia de 30 días

El Grupo de Investigación de Defectos de Día Cero revisó la divulgación de los detalles técnicos de las vulnerabilidades con la esperanza de acelerar el lanzamiento y la adopción de las correcciones.

Google Project Zero ahora dará a las organizaciones un período de gracia de 30 días para corregir las fallas de día cero que descubra en una nueva política de divulgación revelada esta semana con el objetivo de acelerar el tiempo necesario para la adopción del parche.

Conocido por descubrir una serie de días cero de alto perfil, en productos de Google y los que se encuentran en el software rival de Apple, el año pasado Project Zero comenzó a revelar los detalles técnicos de las fallas que sus investigadores descubrieron 90 días después, el informe de vulnerabilidad inicial.

Sin embargo, el equipo de investigación ahora está modificando ligeramente esta táctica, diciendo que retrasará la divulgación de los detalles técnicos de la vulnerabilidad hasta 30 días después de que se emita un parche si ese parche se crea dentro del período de 90 días, según un entrada en el blog por Tim Willis de Project Zero lanzado el jueves.

«Los proveedores ahora tendrán 90 días para el desarrollo de parches y 30 días adicionales para la adopción de parches», escribió.

El cambio a este llamado «modelo 90 + 30» permitirá a los investigadores y a la industria en su conjunto «separar el tiempo que tarda el parche en adoptar el parche, reducir el polémico debate sobre el atacante / defensores y el intercambio de detalles técnicos, al tiempo que afirman reducir el tiempo que los usuarios finales son vulnerables a ataques conocidos ”, explicó Willis.

Sin embargo, los detalles técnicos de las vulnerabilidades que permanecieron sin parchear durante el período de 90 días después de que Project Zero las descubriera aún se revelarán inmediatamente después de que expire el período de gracia, según la publicación.

Project Zero también está aplicando una política similar a los exploits in-the-wild, que actualmente se revelan, junto con los detalles técnicos, siete días después de su identificación.

Según el nuevo cronograma de divulgación, si se lanza un parche durante el período de notificación de siete días, los investigadores no darán a conocer detalles técnicos hasta 30 días después, según la publicación. Además, los proveedores cuyos productos se ven afectados por la vulnerabilidad pueden solicitar un período de gracia de tres días antes de que Project Zero revele detalles técnicos.

La gestión de vulnerabilidades y la aplicación de parches han sido durante mucho tiempo una empresa difícil, especialmente para las organizaciones más grandes que luchan por mantenerse al día con cada error que surge y afecta varios aspectos de sus redes de TI.

Incluso para las empresas orientadas al consumidor como Microsoft, Google y Apple, que distribuyen automáticamente los parches a los clientes a través de los actualizadores, la aplicación de parches no siempre es tan sencilla como esperan los proveedores. A veces se debe a que los clientes no habilitan las actualizaciones automáticas de los dispositivos, dejándolos sin parches durante más tiempo del que deberían; en otras ocasiones, las propias empresas son responsables del lapso de tiempo entre el descubrimiento de una vulnerabilidad y un parche disponible.

Cuando Project Zero presentó su política de divulgación de 90 días el año pasado, tenía como objetivo equilibrar tres objetivos: un desarrollo de parches más rápido que acortara el tiempo entre un informe de error y una solución disponible para los usuarios; desarrollo de parches en profundidad que aseguró que cada corrección fuera correcta y completa; y una adopción de parches mejorada que redujo el tiempo entre el lanzamiento de un parche y la instalación del usuario, dijo Willis.

Sin embargo, el proyecto no vio el «cambio significativo en los cronogramas de desarrollo de parches» que esperaba con sus políticas de divulgación de 2020, explicó.

Además, los proveedores han expresado en repetidas ocasiones preocupaciones sobre la publicación pública de detalles técnicos sobre vulnerabilidades y exploits antes de que la mayoría de los usuarios instalaran el parche, dijo Willis. «En otras palabras, el momento implícito para la adopción del parche no se entendió claramente», dijo.

Google espera que la nueva política establezca pautas más claras para los proveedores para que apliquen los sistemas más rápido y, por lo tanto, mejoren los tiempos de adopción más rápidos en su base de usuarios.

De hecho, para impulsar este esfuerzo aún más, Project Zero dijo que acortará el plazo de divulgación de 90 días «en un futuro cercano» para reducir el tiempo que lleva solucionar un defecto y acelerar la adopción de parches «en los próximos años antes de una constante se alcanza el estado ”, escribió Willis.

.

Puedes compartir en tus redes sociales para que tus colegas lo vean

??? ? ? ???

Comparte