• Tweet

Microsoft ha lanzado un programa piloto para que los gobiernos y los proveedores de infraestructuras críticas obtengan acceso a información técnica detallada acerca de parches del sistema operativo antes de ser publicada el segundo martes de cada mes.

El gestor senior principal del programa de seguridad en el Microsoft Security Response Center (MSRC), Steve Adegbite, presentó ayer el Programa Preventivo de Intercambio de Información (DISP) y el Programa de Protección de Infraestructuras Críticas (CIPP) en la conferencia de seguridad AusCERT 2010 en Queensland.

Actualmente, Microsoft proporciona a los proveedores de seguridad, como Kaspersky, McAfee y Symantec, parte de esta información pero no toda. Detalles más finos de una vulnerabilidad normalmente no son revelados a los proveedores, y esos son los detalles, dijo Adegbite, que se necesita que los gobiernos conocieran tan pronto como estuvieran disponibles.

"Una cosa que comenzamos a notar fue que, proveedores de protección de software de la industria y de terceros... no son los únicos defensores por ahí", dijo. "En realidad hay CERT"s nacionales y existen organismos y entidades nacionales ... ¿qué pasa con ellos-"

Aquí es donde los nuevos programas piloto servirían de puente, Adegbite dijo.

Dijo que los nuevos programas ofrecerán un "índice mensual de exploits", así como acceso a la información sobre la vulnerabilidad "tan pronto como sea posible".

El "índice mensual de exploits" proporcionará, a los gobiernos y a los proveedores de infraestructuras críticas, una lista de exploits que muestra la prioridad de cuáles deberían ser arregladas primero cuando el parche esté disponible de Microsoft.

"En esencia, al momento previo de la actualización mensual de seguridad, lo que la gente va a recibir dentro de estos programas sería "Esto es lo que Microsoft está actualizando, aquí está la información técnica detrás de él, stack traces, así como el código fuente de esta vulnerabilidad que estamos actualizando", dijo Adegbite.

"Comenzamos a notar que teniamos bastante de esta información", dijo. "Y tenemos un montón de gente inteligente que busca vulnerabilidades cada mes y ellos pueden casi empezar a predecir qué vulnerabilidades terminarán siendo atacadas primero."

"Así que, en realidad, ustedes obtendrán una pila de clasificación que dirá cuales son las principales vulnerabilidades que van a ser explotadas, con los detalles técnicos."

La información del programa DISP podría ser compartida dentro de los departamentos del gobierno. "Eso es lo bueno que va a ser clave", dijo Adegbite. "Así que si estás en distintas partes del gobierno que trabajan en el mismo problema, Microsoft va a proporcionar la información a las entidades nacionales o a quien esté en este programa y les permitirá compartir dentro de ese organismo también."

El CIPP se centrará "exclusivamente sobre los diferentes métodos y estrategias sobre la manera de proteger las infraestructuras críticas", dijo Adegbite.