El viernes, la compañía envió una carta de advertencia a Richard Forno, un experto en seguridad que unas horas antes había publicado en su web Infowarrior.org diapositivas de una presentación que ISS tenía que haber realizado en la Conferencia de Seguridad Black Hat.
Estas amenazas legales son tan sólo el último capítulo de una agitada historia que comenzó cuando Michael Lynn reveló información confidencial acerca de una vulnerabilidad encontrada en los routers de Cisco. En su intervención en la conferencia de los laboratorios Black Hat, Lynn hablaba de un agujero en el software Internetwork Operating System de Cisco, que se podía utilizar para deshabilitar los routers de la compañía y controlarlos. Si bien esta vulnerabilidad ha sido ya corregida en las nuevas versiones del software, los usuarios que corran versiones anteriores están expuestos a importantes riesgos.
Lynn, que renunció a su puesto pocas horas antes de la conferencia por supuestas presiones tanto de Cisco como de ISS, llegó a un acuerdo el pasado viernes con ambas compañías para no volver a revelar informaciones relativas a la vulnerabilidad. Sin embargo, pocas horas después la información se podía encontrar en la lista de correo Full Disclosure, apareciendo poco después en el sitio web Cryptome, especializado en temas de seguridad. Los responsables de Cryptome aseguran que por el momento no tienen intención ninguna de eliminar los documentos, a no ser que se vean obligados por el mandato específico de un tribunal.
Esta controversia ha reavivado el debate en la comunidad de seguridad sobre en qué medida se deben hacer públicas las vulnerabilidades de los productos, a fin de que no resulten más útiles a los hackers que a los propios usuarios.
www.iss.com
www.cisco.es
