[HACK] Microsoft to Offer Patches to U.S. Govt. First

[Crg]

RoMaNSoFt wrote:
>Este tipo de políticas siempre han existido y existirán. Aunque no
>benefician desde luego al full-disclosure, tampoco creo que vayan a
>acabar con él.

Quizas no valla a desaparecer (eso esta claro), pero yo si que he notado un
descenso en la publicación de advisories y sobre todo de exploits, por parte
de la "scene" en  general y sobretodo por grupos conocidos como teso, THC...
etc etc...

>servicios parecidos a iDefense, que
>como sabreis, compra exploits y luego los revende (y tengo entendido que
>no les va mal). Desde el underground está bastante mal visto, pero ¿qué
>opinais vosotros? Al menos se le paga algo al investigador, menos da una
>piedra.

Pues si, viendolo asi, es una de las pocas formas en las que de
alguna medida se compensa al "researcher" y asi mismo, los exploits (que no
los advisories)no quedan publicos al alcance de cualquiera que pueda
utilizarlos de forma "dañina".

>Y llegado a este punto me surge una duda: ¿cual es el beneficio de
>disponer de un 0day para una empresa que haga auditorías? Porque si yo
>encargo una auditoría y el único fallo que me sacan es un 0day, para mí
>es como no haberme sacado ningún fallo (a menos que se tratara de poner
>a prueba algún IPS o similar, pero eso serían casos aparte) :)Bueno, yo no

lo veo así, y depende del planteamiento... Un análisis de vulnerabilidades
(vulnerability assesment) puede tener como objetivo listar/detactartodas las
vulnerabilidades conocidas sobre un sistema, para identificar una ausencia
deparcheado etc etc... Sin embargo un test de penetración, tiene como
finalidad realizaruna valoración de impacto sobre los activos que coforman,
ya sea bien una red corporativa,determinada pasarela de pago, o cualquier
plataforma que de soporte a una linea de negocio...Es en estos casos, cuando
un 0day se puede convertir en un valor añadido, a la hora de calcular un
impacto, que si bien en las metricas de análisis de riesgos la probabilidad
de que suceda será mínima, el impacto puede ser considerable... y esto
ayudará a determinar si conviene gastarse X pasta en sistemaspreventivos o
detección más avanzados... o si por el contrario basta con tener un firewall
y el sistema al dia de parches... (IMHO)

>Y como último tema a debatir, ¿qué os parecen los servicios de alertas
>comerciales, como el que he comentado (o muchos otros, incluidos
>españoles, que no nombro por no hacer publicidad ;-)). Si fuérais
>responsables de seguridad, ¿los contrataríais? ¿No preferiríais invertir
>ese dinero en contratar gente más capaz, darles training, o bien dotar a
>vuestros sistemas de soluciones IPS? Sobre todo sabiendo que la inmensa
>mayoría de esos servicios (si no todos) son un copy&paste de varias
>fuentes de información (normalmente listas de correo) típicas que
>cualquiera con un mínimo training podría saber manejar perfectamente por
>sus propios medios. Y desde el punto de vista del investigador, que
>publica los fallos y no es gratificado económicamente: ¿alguien puede
>decir algo a favor de estos "servicios"?

Pues es complicado... yo por ejemplo no las compraría, y de vista a empresas
me pareceninútiles... incluso demasiado caras, cuando lo que en realidad
estas pagando, es que te ordenanbugtraq con un formato determinado, y te lo
pasan a pdf ... en algunos casos pagas la traduccióny una/s semana/s de
antelación... Sin embargo en empresas de auditoría, he visto que se
utilizapara integrar este servicio con productos propios donde machean con
inventarios y sacan alertas personalizadasa sus clientes... Bueno... en
realidad lo que les aporta es el formato para poder parsearlo
correctamente....

>Saludos,
>-Román

Salu2
Crg ;-)