[HACK] Microsoft to Offer Patches to U.S. Govt. First

Bernardo Quintero bernardo at hispasec.com
Mon Mar 21 08:28:58 CET 2005


> Cuando te refieres a una aplicación "propia" la visión es totalmente
> diferente, pq seguro que salen no se cuantos fallos de SQL injection,
> que cualquier atacante mínimamente "skilled", te los saca en un plis. El
> riesgo ahí yo lo consideraría de medio-alto hacia arriba. Sí, ambos
> casos podrían considerarse "0days" pero... no se como explicarlo, serían
> como 2 categorías diferentes.

De acuerdo en que el nivel de riesgo es diferente, pero creo que el deber
del auditor con el cliente es reportar en ambos casos. Volviendo a tu
pregunta original sobre la utilidad de los "0days" para las empresas de
auditoría, la realidad es que les funcionan muy bien, los clientes se
impresionan al reportarles una vulnerabilidad "importante" en exclusividad.
En fin, que vende.

> Tu respuesta es muy "genérica", mójate! ;-) Cambio la pregunta. ¿De
> verdad crees que un servicio de alerta es realmente lo más útil para una
> empresa? A lo mejor estoy equivocado pero yo la veo como una "solución"
> propia de alguien que no sabe de seguridad, o que simplemente no le da
> importancia a la misma, y se cree que con eso ya está su empresa

No creo que un servicio de alerta sea lo más útil para una empresa, ni un IPS,
ni un antivirus, ni un FW,... no puedes cuestionar así, tan a la ligera, un servicio,
de sobra sabes que la seguridad hay que abordarla de forma global. Evidentemente
contratar un servicio de alertas y no hacer nada más, no sirve de nada. Sobre
la utilidad real de los servicios de alerta... como diría la canción: depende, todo
depende, no son lo mismo las necesidades de una gran corporación que de una
pyme.

Además parece que reduces los servicios de alertas a simples copy&paste de
otras listas, cuando en realidad estos servicios realizan más funciones. Sólo te
llega la información que puede afectar a tus sistemas y te evita soportar el ruido
extra de las listas. El aviso es bastante rápido, no se lo que tardas en estar al
día en los sistemas/servicios que te afectan, pero si estás administrando una
red heterogénea puede llevarte mucho tiempo. Suelen ser servicios 24x7, de
forma que el sábado por la tarde o el domingo a primera hora (ya se que eres
vicioso, pero hay gente que descansa), te puede llegar un SMS avisando del
último 0day que acaba de salir publicado y que te afecta de lleno. Si el aviso
original de la vulnerabilidad no contempla soluciones, o aun así, se ofrece
información adicional para mitigar el problema. Y además siempre tienes la
opción de consultar con los técnicos en caso de duda. Si las notificaciones
del servicio de alerta lo correlacionas con un inventario sobre versiones,
parches aplicados, etc... tienes un sistema de control bastante interesante.
Ya está, ya te he vendido el servicio :D

Coñas aparte,  pretendes extrapolar tu posición, que puede ser privilegiada en
cuanto a seguridad informática se refiere, a empresas cuyo negocio es otro bien
distinto. Evidentemente, yo cuando contrato un servicio médico es porque no
tengo ni idea de medicina o porque, aun teniendo algunas nociones, prefiero que
sea un profesional cualificado quién se ocupe de ello. No puedes decir que si
contrato un servicio o profesional externo no le doy importancia  a la salud, más
bien al contrario.

Llegados a este punto, yo no utilizo antivirus en mis sistemas Windows, no los
necesito. Al resto de gente que utiliza antivirus... ¿tengo que pensar que es una
solución propia de gente que no sabe de seguridad o que simplemente no le
da importancia a la misma?

>importancia a la misma, y se cree que con eso ya está su empresa
>"securizada". O incluso una forma de irse por las ramas: "yo ya
> [...]
> Sí, son complementarios, pero no me has entendido (o yo no me he
> explicado). Lo que quería decir es que se está más seguro estando al día
>  de listas públicas e invirtiendo X en un IPS (por ejemplo), que
> simplemente invirtiendo ese X en un servicio de alertas. Cuando digo IPS

Podríamos darle la vuelta a tu planteamiento. Seguro que hay empresas que
piensan que están seguras y se relajan porque implementan un IPS (la publicidad
hace estragos), cuando son unas de las soluciones de seguridad que están más
verdes. El servicio de alertas por si sólo no te protege, evidentemente tienes que
establecer un protocolo de actuación (de nada sirve que te digan que eres
vulnerable y como arreglarlo si finalmente no aplicas la solución). Si me obligas
a comparar (a mojarme), pienso que un servicio de alertas bien seguido es
más seguro que un IPS. De hecho, en muchos aspectos, el IPS es un intento
de automatizar la protección contra las amenazas que se reportan en un
servicio de alerta, con la diferencia de que cuando parcheas un sistema ya no
puede ser afectado por la vulnerabilidad de turno, mientras que siempre hay
formas de evadir al IPS.

De acuerdo con que es más seguro tener ambas cosas, y que tanto una
como otra podrías currártelas tu mismo, pero piensa en el resto de los mortales
que tenemos limitaciones...

Que conste que todo lo anterior lo dice alguien que mantiene intereses en
un servicio de alertas, lo que no quita que el planteamiento sea sincero...
pero por las dudas, advertidos quedais ;)

> > B.
>
> R.
> xDDD

Menos cachondeito :p




More information about the hacking mailing list