Una compañía que se especializa en vender información sobre vulnerabilidades de software ha reavivado un debate sobre el manejo de dicha información, especialmente cuando se trata de herramientas centradas en la privacidad..
Exodus Intelligence, con sede en Austin, Texas, tuiteó el lunes que había encontrado varias vulnerabilidades en Tails, un sistema operativo y un conjunto de aplicaciones diseñadas para dificultar el seguimiento de la actividad de un usuario en línea..
Exodus investiga y vende información sobre vulnerabilidades de software, un negocio legal pero que atrae críticas por su naturaleza opaca y se preocupa por cómo los gobiernos u otras entidades podrían usar la información..
Desde entonces, la compañía ha anunciado que proporcionará un informe con la información de vulnerabilidad a los desarrolladores de Tails a fines de esta semana. Exodus no compartirá esa información fuera de la compañía antes de eso, escribió Aaron Portnoy, vicepresidente, en un intercambio de correos electrónicos el martes con IDG News Service.
Cuando se le preguntó si Exodus estaba haciendo una excepción especial para Tails, Portnoy escribió: "Evaluamos cada vulnerabilidad con la que tratamos caso por caso, por lo tanto, la vulnerabilidad de Tails no es una excepción ya que no tenemos un estándar de referencia".
Tails es un sistema operativo basado en Linux que utiliza varias herramientas para mejorar la privacidad, como Tor, para hacer que el uso de Internet sea más anónimo. Está diseñado para usarse sobre la marcha, como en los puntos de acceso público a Internet, y se considera una de las mejores formas, pero no infalibles, de reducir dejar una huella digital en una computadora.
El tweet de Exodus provocó una reacción de Tails, que escribió en su blog que no fue contactado antes del tweet. Pero a Tails le complació tener la oportunidad de ver la información..
"Se nos dice que no divulgarán estas vulnerabilidades públicamente antes de que las hayamos corregido, y los usuarios de Tails han tenido la oportunidad de actualizarse", se lee en la publicación del blog. "Creemos que este es el proceso correcto para revelar vulnerabilidades de manera responsable, y estamos ansiosos por leer este informe".
Portnoy dijo que Exodus no excluye ciertos tipos de software de su análisis y que "nos enfocamos en cosas que están ampliamente implementadas".
No estaba claro si la presión pública influyó en la decisión de Exodus de divulgar la información en privado a Tails. La forma en que se manejó el problema generó una reacción en gran medida negativa contra Exodus en Twitter, y algunos acusaron a la compañía de poner en riesgo a los usuarios.
Portnoy notó algunos tuits de Christopher Soghoian, quien es el principal tecnólogo del Proyecto de Habla, Privacidad y Tecnología de la Unión Americana de Libertades Civiles. Soghoian siempre ha sido crítico con el negocio de corredores de vulnerabilidad.
Soghoian golpeó a Portnoy y escribió: “Estoy bastante seguro de que @aaronportnoy no está interesado en mantener a nadie a salvo. Está interesado en vender increíbles 0 días por dinero en efectivo ".
Portnoy dijo en un correo electrónico que entendía por qué los desarrolladores de Tails "pueden haberse irritado debido a las reacciones hiperbólicas de algunas de las personas más vocales en las afueras de esta industria que tenían la impresión de que estábamos vendiendo la información a otros".
Refiriéndose a Soghoian, Portnoy escribió: "Cuando las personas tienen más de 35,000 seguidores, las ideas falsas pueden propagarse fácilmente sin ningún intento de validación".
Únase a las comunidades de Network World en Facebook y LinkedIn para comentar temas que son lo más importante.
