[HACK] Microsoft to Offer Patches to U.S. Govt. First

Roman Medina-Heigl Hernandez roman at rs-labs.com
Mon Mar 14 16:33:04 CET 2005 

Este tipo de políticas siempre han existido y existirán. Aunque no
benefician desde luego al full-disclosure, tampoco creo que vayan a
acabar con él.

La gente (yo mismo me incluyo) sigue posteando a Bugtraq cuando es bien
sabido que Symantec saca dinero con ello. Por ejemplo, con su servicio
de "alertas": retrasan a propósito la publicación de los posts enviados
a la lista, para ellos poder vender su servicio de alerta temprana (no
estoy seguro pero creo que la URL es esta:
http://enterprisesecurity.symantec.com/products/products.cfm?ProductID=160)

Desde luego este tipo de prácticas no favorecen el full-disclosure e
introducen desigualdad (¿por qué tiene que tener alguien la información
antes que yo, cuando se supone que es pública? ¿por qué tienen que hacer
dinero _con mi trabajo_?).

Personalmente, llevo tiempo replanteándome el tema y pensando en adoptar
una política propia intermedia ("rs-labs policy"? xD), sobre todo tras
algunos desengaños y ver algunas respuestas de diferentes "vendors" (que
algunos también se las traen) y porque ves que todo el mundo saca pasta
de tu trabajo, menos tú, que eres quien al fin y al cabo se lo ha
currado. Encima, el "vendor" (fabricante) o desarrollador no es
consciente de que cuando le reportan algún fallo le están haciendo un
favor, no tienen ningún derecho a exigir. Si quieren exigir, que paguen;
pero no a Symantec (u otros) sino a los investigadores.

Esto me recuerda a un tema más o menos reciente que se trataba en listas
como Dailydave. A muy grandes rasgos, hablaban acerca de la viabilidad
de crear "bolsas" de exploits, o servicios parecidos a iDefense, que
como sabreis, compra exploits y luego los revende (y tengo entendido que
no les va mal). Desde el underground está bastante mal visto, pero ¿qué
opinais vosotros? Al menos se le paga algo al investigador, menos da una
piedra.

Y llegado a este punto me surge una duda: ¿cual es el beneficio de
disponer de un 0day para una empresa que haga auditorías? Porque si yo
encargo una auditoría y el único fallo que me sacan es un 0day, para mí
es como no haberme sacado ningún fallo (a menos que se tratara de poner
a prueba algún IPS o similar, pero eso serían casos aparte) :)

Y como último tema a debatir, ¿qué os parecen los servicios de alertas
comerciales, como el que he comentado (o muchos otros, incluidos
españoles, que no nombro por no hacer publicidad ;-)). Si fuérais
responsables de seguridad, ¿los contrataríais? ¿No preferiríais invertir
ese dinero en contratar gente más capaz, darles training, o bien dotar a
vuestros sistemas de soluciones IPS? Sobre todo sabiendo que la inmensa
mayoría de esos servicios (si no todos) son un copy&paste de varias
fuentes de información (normalmente listas de correo) típicas que
cualquiera con un mínimo training podría saber manejar perfectamente por
sus propios medios. Y desde el punto de vista del investigador, que
publica los fallos y no es gratificado económicamente: ¿alguien puede
decir algo a favor de estos "servicios"?

Saludos,
-Román


Crg wrote:
> (thread extraido de la lista de full disclosure)
> 
> http://www.reuters.com/newsArticle.jhtml?type=technologyNews&storyID=7876004&src=rss/technologyNews
> 
> Parece que Microsoft proveerá de parches críticos a la defensa de US con un
> mes de antelación que al resto de los mortales ... Yo aquí, ni entro ni
> salgo,
> es su negocio y algo ganaran para que lo hagan... Ahora bien, imagino que
> los que hagan research (de bugs) en software de Microsoft se plantearan la
> siguiente pregunta ...
> ¿Por que he de seguir aplicando la politica de aviso al proveedor, si luego
> ellos van a comerciar con esa información que yo les facilito?  O
> simplemente, siendo un administrador
> de sistemas, ¿os parecería justo recibir los advisories de seguridad con un
> "delay" superior que US Army... cuando vosotros también pagais por las
> licencias.?
> 
> Yo personalmente estoy en contra del full-disclosure (tema que no voy a
> entrar a discutir aquí, por que ya está muy visto) pero aquellos que esteis
> a favor, ¿que opinais que cierto grupo de personas
> "privilegiadas" (que no dejan de ser una potencial amenaza) tengan acceso al
> conocimiento de bugs 1 mes antes que vosotros?...
> 
> Un saludo
> 
> 
> /Crg
> 
>        "What's stopping you?"
> 
> 
> 
> _______________________________________________
> Lista - http://mailman.argo.es/listinfo/hacking
> FAQ - http://www.argo.es/~jcea/artic/hack-faq.htm
> "una-al-dia" para estar siempre informado - http://www.hispasec.com/

More information about the hacking mailing list