[HACK] Microsoft to Offer Patches to U.S. Govt. First

Jos=E9 Llunas jose.llunas at hushmail.com
Fri Mar 18 12:14:58 CET 2005 

Hola a tod at s,

No he podido resistirme a participar en el debate ... Allá van mis 
0.02 :)

A Román y Gerardo ...

>Por cierto, que ya que sale el tema tampoco veo bien que por 
ejemplo
>eEye ataque a Immunity, tachando a  Dave Aitel de "poco ético", pq
>vende sus 0days a sus clientes (de forma totalmente legal). Cada 
uno
>hace negocio como puede: eeye hace mercado publicando sus exploits 
e
>Immunity lo hace vendiéndoselos directamnete a sus clientes (bajo 
NDA).

Quizás lo que tengamos que ver sea el beneficio social mayor. Está 
claro que los exploits están en circulación y son conocidos por lo 
cual parece que la mejor opción es que estén a disposición de todo 
el mundo. La diferencia estriba en que eEye "forma e ilustra" con 
sus avisos e Immunity sencillamente cree en conceptos como "Clubs 
privados de vulnerabilidades", invitaciones privadas & VIP security 
demos. Aunque en este caso la postura de eEye es más "social" 
también ha hecho algunas cosas que se las trae (pero ese es otro 
tema ;)

>Personalmente a mí me disgusta la gente que "publica sin 
publicar". Me
>explico: "he descubierto tal cosa, tengo el exploit pertinente 
pero no
>voy a dar detalle alguno". Para eso mejor estarse quieto, que ya 
leeré
>el advisory del fabricante con la URL del parche, y me ahorro leer 
un
>post innecesario que tan sólo busca publicidad, sin aportar 
información
>real.

No estoy de acuerdo contigo. La gente que "publica sin publicar" 
ayuda a mantener el equilibrio y no creo que la información sea 
redundante en ningún caso, si bien es cierto que todos 
aprenderíamos más si publicasen los detalles. El hecho de publicar 
dos avisos independientes y con intereses "contrarios" no permite 
al vendedor minimizar el riesgo ocultando ciertos detalles del 
mismo o diciendo que son inexistentes. Por lo general cuando un 
vendedor "negocia" el riesgo con la persona que lo descubre ambas 
partes se tienen que ceñir al acuerdo. Si cualquiera de las dos no 
lo hace el PoC tiene muchas posibilidades de ver la luz y minar la 
credibilidad de alguna de ambas partes.

Lo "bueno" que tiene esta postura es que comercialmente no se 
exprime la vulnerabilidad por parte de terceros carroñeros (0-days, 
servicios de alertas privadas, trading de exploits ...)

Lo "malo" es que no se avanza y no se aprende al mismo ritmo que lo 
hemos hecho en los últimos años :(

Otra postura que podría dar mucho que hablar es la de CORE (hola 
Gerardo :). La empresa mantiene con celo su CORE Impact. Si bien es 
cierto que trabajan duro en el desarrollo también es cierto que la 
base para muchos exploits la toman de BugTraq. El producto no tiene 
una versión Free, Shareware o "ligera". Tomar pero no dar ...

A Román y Bernardo ...

>>La gente (yo mismo me incluyo) sigue posteando a Bugtraq cuando es
>>bien sabido que Symantec saca dinero con ello. Por ejemplo, con su
>>servicio de "alertas": retrasan a propósito la publicación de los
>>posts enviados
>
>La pregunta obligada es, ¿entonces pq escribes a bugtraq cuando
>tienes otras listas más transparentes que no filtran ni retrasan la
>publicación?
>Si lo que envías es medianamente interesante, que seguro que lo es,
>acabará igualmente en bugtraq como en el resto de listas o 
servicios
>similares,  y puedes utilizar de partida una lista más neutral.

La gente publica en BugTraq por vanidad y ego. Por un "status" 
heredado de los años 90 que convertía a la gente en un auténtico 
"hacker" por publicar en BugTraq. Esto ha sido reconducido muy 
hábilmente por algunas empresas y finalmente ha sido Symantec quien 
disfruta los beneficios.

En cuanto a listas neutrales. Estaría interesado en conocer un 
listado de algunas. Tengo una pregunta directa. Aquí en España, 
¿quién es neutral?

signed,
-José



Concerned about your privacy? Follow this link to get
secure FREE email: http://www.hushmail.com/?l=2

Free, ultra-private instant messaging with Hush Messenger
http://www.hushmail.com/services-messenger?l=434

Promote security and make money with the Hushmail Affiliate Program: 
http://www.hushmail.com/about-affiliate?l=427

More information about the hacking mailing list