[HACK] Microsoft to Offer Patches to U.S. Govt. First

[Roman Medina-Heigl Hernandez]

Crg wrote:

> descenso en la publicación de advisories y sobre todo de exploits, por parte
> de la "scene" en  general y sobretodo por grupos conocidos como teso, THC...

Eso es cierto. Y además siempre publican los mismos, y en muchos casos
son las propias empresas de seguridad tipo eEye, que buscan publicitarse
(lo cual por otro lado es también lógico y justo).

Por cierto, que ya que sale el tema tampoco veo bien que por ejemplo
eEye ataque a Immunity, tachando a  Dave Aitel de "poco ético", pq vende
sus 0days a sus clientes (de forma totalmente legal). Cada uno hace
negocio como puede: eeye hace mercado publicando sus exploits e Immunity
lo hace vendiéndoselos directamnete a sus clientes (bajo NDA).

Personalmente a mí me disgusta la gente que "publica sin publicar". Me
explico: "he descubierto tal cosa, tengo el exploit pertinente pero no
voy a dar detalle alguno". Para eso mejor estarse quieto, que ya leeré
el advisory del fabricante con la URL del parche, y me ahorro leer un
post innecesario que tan sólo busca publicidad, sin aportar información
real.

> deparcheado etc etc... Sin embargo un test de penetración, tiene como
> finalidad realizaruna valoración de impacto sobre los activos que coforman,
> ya sea bien una red corporativa,determinada pasarela de pago, o cualquier
> plataforma que de soporte a una linea de negocio...Es en estos casos, cuando
> un 0day se puede convertir en un valor añadido, a la hora de calcular un
> impacto, que si bien en las metricas de análisis de riesgos la probabilidad
> de que suceda será mínima, el impacto puede ser considerable... y esto
> ayudará a determinar si conviene gastarse X pasta en sistemaspreventivos o
> detección más avanzados... o si por el contrario basta con tener un firewall
> y el sistema al dia de parches... (IMHO)

Aunque efectivamente podría ser un posible uso, eso mismo se podría
hacer sin la ayuda de un 0day (IMHO, too :-)) Sería simplemente estudiar
las conexiones y vías de comunicación entre distintos bloques (segmentos
de red, servidores), etc. La pregunta sería: ¿qué ocurriría si me
comprometen mi Apache? ¿Podría un atacante saltar de la DMZ a la LAN
interna? Para responder a la primera pregunta no hace falta tener un
0day de Apache; basta con conocer la red, o bien que el cliente te
facilite una shell con id=apache. Algo análogo para lo segundo, que
podría verse como una generalización de lo primero.

Quizás sea una vez más cuestión de marketing: "somos los mejores,
tenemos 0days propios", etc.

Yo también diferenciaría entre una evaluación de vulnerabilidades
(lanzar un Nexus, p.ej), que es lo que se suele hacer cuando te encargan
una "auditoría de seguridad" (aunque luego se adornen con algunas
recomendaciones de seguridad más o menos genéricas), y un verdadero
"test de intrusión" (pen-testing). Lo primero lo puede realizar casi
cualquiera con unas nociones mínimas de seguridad y redes. Lo segundo es
mucho más selecto y no creo que esté al alcance de todos (hablo tanto de
las empresas auditadas, por los costes que supondría, como de las
empresas auditoras, por la alta especialización y calidad técnica que
requiere). De hecho las empresas de seguridad con mejor reputación, al
menos desde mi  punto de vista, son las que se han formado a base de lo
segundo, principalmente hackers (estilo @tstake) (otra cosa es que luego
la gente buena se le acabe marchando y estas cosas que pueden pasar).
También deben incluir algo de I+D, lo publiquen o no (por ejemplo,
hacerse sus propios exploits, tools, etc); en definitiva, demostrar que
sigue habiendo en la empresa técnicos buenos y que merece la pena contratar.

>>Y como último tema a debatir, ¿qué os parecen los servicios de alertas
>>comerciales, como el que he comentado (o muchos otros, incluidos

> antelación... Sin embargo en empresas de auditoría, he visto que se
> utilizapara integrar este servicio con productos propios donde machean con
> inventarios y sacan alertas personalizadasa sus clientes... Bueno... en
> realidad lo que les aporta es el formato para poder parsearlo
> correctamente....

Ummm, hombre, es cuestión de costes. ¿Interesa más tener un par de tíos
buenos (informáticamente hablando, claro ;-)) en seguridad que puedan
estar al día de listas como Bugtraq y se dediquen a avisar de
vulnerabiliades e incluso ayudar a resolverlas a los demás departamentos
(básicamente sistemas y redes)? ¿Alguien puede dar precios estimativos
de servicios de alertas, para poder valorar/sopesar las distintas opciones?



PD: Aunque no tenga nada que ver con el tema, aprovecho para recomendar
una lectura que al menos a mí me ha resultado interesante y que da una
idea de las "maldades" que se pueden llegar a hacer ("¿quizás la
consecuencia de la existencia de exploits públicos? };-)"). Ahí va:
http://www.honeynet.org/papers/bots/

Saludos,
-Román