[HACK] Microsoft to Offer Patches to U.S. Govt. First

[Roman Medina-Heigl Hernandez]

Bernardo Quintero wrote:
> La pregunta obligada es, ¿entonces pq escribes a bugtraq cuando tienes
> otras listas más transparentes que no filtran ni retrasan la publicación?

1.- Pq es "la" lista, nos guste o no :-)
2.- Lo que hago es postear al mismo tiempo en varias, incluyendo la de
"full-disclosure", que es más neutral y no introduce retrasos. Así el
que quiera retrasar la publicación que lo haga, pero el público en
general puede tener la información al mismo tiempo que todos (que es lo
justo).

>>encargo una auditoría y el único fallo que me sacan es un 0day, para mí
>>es como no haberme sacado ningún fallo (a menos que se tratara de poner
> 
> ¿Y por qué no va a considerarse un fallo?
[...]
> escáner de vulnerabilidades conocidas? ¿Que hacen estas "empresas de
> auditorías" con las aplicaciones o servicios propietarios a auditar? Un fallo

Piensa en un 0day de algún soft importante y conocido, como Apache.
Claro que es un fallo pero si sólo lo conoces tú y me lo reportas a mí (
y a tus clientes), sin pasar más info, posiblemente sólo tu puedas
explotar mi empresa. El riesgo sería muy bajo, y como creo que ya he
dicho, contra este tipo de fallos sólo caben soluciones preventivas
(IPS, un buen diseño de seguridad en capas, etc). De hecho podría verse
como un nivel de riesgo que siempre existe, lo reportes o no (¿y todos
los 0days que existen que tú, como auditor, no conoces? ¿No suponen un
riesgo "de fondo" para tu cliente?).

Cuando te refieres a una aplicación "propia" la visión es totalmente
diferente, pq seguro que salen no se cuantos fallos de SQL injection,
que cualquier atacante mínimamente "skilled", te los saca en un plis. El
riesgo ahí yo lo consideraría de medio-alto hacia arriba. Sí, ambos
casos podrían considerarse "0days" pero... no se como explicarlo, serían
como 2 categorías diferentes.

>>Y como último tema a debatir, ¿qué os parecen los servicios de alertas
>>comerciales, como el que he comentado (o muchos otros, incluidos
>>españoles, que no nombro por no hacer publicidad ;-)). Si fuérais
>>responsables de seguridad, ¿los contrataríais? ¿No preferiríais invertir
>>ese dinero en contratar gente más capaz, darles training, o bien dotar a
>>vuestros sistemas de soluciones IPS? Sobre todo sabiendo que la inmensa
> 
> Escogería la solución más fiable y rentable, como lo haría con cualquier
> otro servicio o necesidad. Por ejemplo, a la hora de limpiar la oficina,
> siempre tienes la opción de contratar el servicio a una empresa, pagar
> en nómina a gente que te cubra el servicio, o hacerlo tu mismo...

Tu respuesta es muy "genérica", mójate! ;-) Cambio la pregunta. ¿De
verdad crees que un servicio de alerta es realmente lo más útil para una
empresa? A lo mejor estoy equivocado pero yo la veo como una "solución"
propia de alguien que no sabe de seguridad, o que simplemente no le da
importancia a la misma, y se cree que con eso ya está su empresa
"securizada". O incluso una forma de irse por las ramas: "yo ya

> En cuanto a IPS, no es lo mismo, ni sustituye a un servicio de alertas, en
> todo caso habría que verlo como soluciones complementarias.

Sí, son complementarios, pero no me has entendido (o yo no me he
explicado). Lo que quería decir es que se está más seguro estando al día
 de listas públicas e invirtiendo X en un IPS (por ejemplo), que
simplemente invirtiendo ese X en un servicio de alertas. Cuando digo IPS
no hay que pensar sólo en soluciones comerciales (que son carísimas,
quizás no comparables al precio de un servicio de alertas); algo tan
tonto como un "grsec" aumenta la seguridad muy mucho :-) Eso sin hablar
de snort-inline o mod_security...

> B.

R.
xDDD