[HACK] Microsoft to Offer Patches to U.S. Govt. First

[Bernardo Quintero]

> La gente (yo mismo me incluyo) sigue posteando a Bugtraq cuando es bien
> sabido que Symantec saca dinero con ello. Por ejemplo, con su servicio
> de "alertas": retrasan a propósito la publicación de los posts enviados

La pregunta obligada es, ¿entonces pq escribes a bugtraq cuando tienes
otras listas más transparentes que no filtran ni retrasan la publicación?
Si lo que envías es medianamente interesante, que seguro que lo es,
acabará igualmente en bugtraq como en el resto de listas o servicios
similares,  y puedes utilizar de partida una lista más neutral.

> a la lista, para ellos poder vender su servicio de alerta temprana (no
> estoy seguro pero creo que la URL es esta:
> http://enterprisesecurity.symantec.com/products/products.cfm?ProductID=160)

El producto original era de securityfocus, que fue adquirida completamente
por symantec.

> Desde luego este tipo de prácticas no favorecen el full-disclosure e
> introducen desigualdad (¿por qué tiene que tener alguien la información
> antes que yo, cuando se supone que es pública? ¿por qué tienen que hacer
> dinero _con mi trabajo_?).

La solución la tienes en tu mano, no escribas a bugtraq, o al menos hazlo
de forma simultánea en otras listas para que no puedan sacar provecho del
factor tiempo en la publicación.

> Personalmente, llevo tiempo replanteándome el tema y pensando en adoptar
> una política propia intermedia ("rs-labs policy"? xD), sobre todo tras
> algunos desengaños y ver algunas respuestas de diferentes "vendors" (que
> algunos también se las traen) y porque ves que todo el mundo saca pasta
> de tu trabajo, menos tú, que eres quien al fin y al cabo se lo ha
> currado. Encima, el "vendor" (fabricante) o desarrollador no es

La mayoría de investigadores de seguridad obtienen rendimiento económico,
si eso es lo que buscas, a lo mejor tienes un problema de enfoque :)

> no les va mal). Desde el underground está bastante mal visto, pero ¿qué
> opinais vosotros? Al menos se le paga algo al investigador, menos da una
> piedra.

Depende de lo que persigas.

Hay programadores que participan con su trabajo en proyectos libres sin
pedir nada a cambio por contribuir a la comunidad y/o por conseguir
publicidad/prestigio, otros que sólo desarrollan comercialmente, y hay quienes
compaginan ambas actividades.

> Y llegado a este punto me surge una duda: ¿cual es el beneficio de
> disponer de un 0day para una empresa que haga auditorías? Porque si yo
> encargo una auditoría y el único fallo que me sacan es un 0day, para mí
> es como no haberme sacado ningún fallo (a menos que se tratara de poner
> a prueba algún IPS o similar, pero eso serían casos aparte) :)

¿Y por qué no va a considerarse un fallo?
¿O es que hablamos de "empresas de auditorías" que se limitan a pasar un
escáner de vulnerabilidades conocidas? ¿Que hacen estas "empresas de
auditorías" con las aplicaciones o servicios propietarios a auditar? Un fallo
es un fallo, de manera independiente a que esté publicado o no. Otra cosa
es como se evalue el fallo, evidentemente si es bien conocido o existe un
xploit público es un plus a tener en cuenta a la hora de fijar el riesgo.

> Y como último tema a debatir, ¿qué os parecen los servicios de alertas
> comerciales, como el que he comentado (o muchos otros, incluidos
> españoles, que no nombro por no hacer publicidad ;-)). Si fuérais
> responsables de seguridad, ¿los contrataríais? ¿No preferiríais invertir
> ese dinero en contratar gente más capaz, darles training, o bien dotar a
> vuestros sistemas de soluciones IPS? Sobre todo sabiendo que la inmensa
> mayoría de esos servicios (si no todos) son un copy&paste de varias
> fuentes de información (normalmente listas de correo) típicas que
> cualquiera con un mínimo training podría saber manejar perfectamente por

Escogería la solución más fiable y rentable, como lo haría con cualquier
otro servicio o necesidad. Por ejemplo, a la hora de limpiar la oficina,
siempre tienes la opción de contratar el servicio a una empresa, pagar
en nómina a gente que te cubra el servicio, o hacerlo tu mismo...

En cuanto a IPS, no es lo mismo, ni sustituye a un servicio de alertas, en
todo caso habría que verlo como soluciones complementarias.

B.