[HACK] Descubiertos varios fallos de seguridad en Iberia.com
Román Medina
roman at rs-labs.com
Mon Jun 14 10:26:05 CEST 2004
> Este proceso se refiere al descubrimiento de
> debilidades en productos, no en sistemas. Por un lado
> sería necesario adaptarlo a sistemas, y por otro si
> Iberia no declara adherirse a un proceso, entonces no
> el proceso simplemente no existe, dado que hay dos
Siguiendo tu mismo razonamiento tampoco debería existir un proceso de
descubrimiento de vulnerabilidades. Yo todavía no he visto ningún
fabricante / desarrollador de software que firme un acuerdo de
participación en un proceso similar, y aunque lo pudiera haber a nivel muy
particular, desde luego no de forma genérica. Y sin embargo, se reportan
todos los dias muchos fallos de seguridad en toda clase de software /
hardware, etc.
Lo que quiero decir es que todo esto es muy subjetivo y continuará
siéndolo mientras no haya lesgislación clara al respecto. No todo el mundo
acata ni tiene por qué seguir la conocida política de rfp, por poner un
ejemplo. En definitiva, a la hora de reportar vulnerabilidades cada
maestrillo tiene su librillo (ya hubo un hilo sobre este tema concreto así
que no tiene sentido volver a entrar en él). El sentido común es el que
acaba (o debería acabar) premiando.
No veo muy coherente, por tanto, que la gente de un mismo círculo (en este
caso, seguridad) se pelee ahora entre ellos, por lo bien o mal que ha
hecho al publicar tal o cual cosa. Al que no le guste el full-disclosure,
que no publique, está en su derecho; pero también lo está el que quiere
publicar (mientras un juez no demuestre lo contrario :-)).
Resp al caso Iberia yo me quedo con lo más preocupante, a saber: ni las
grandes empresas parecen tomarse en serio la seguridad. Y no digamos ya
los partidos políticos :-) (seguro que habeis oido lo del hackeo de la web
del PSOE).
Saludos,
-Román
More information about the hacking
mailing list