[HACK] Microsoft to Offer Patches to U.S. Govt. First

Mon Mar 21 18:54:04 CET 2005

Bernardo Quintero wrote:

> Parece que el que descubre y publica es un alma caritativa en pro de
> la seguridad de la comunidad, sin pedir nada a cambio, y que las listas
> se aprovechan de su trabajo.
> 
> La realidad es que la mayoría persigue también un reconocimiento, que
> en muchas ocasiones se traduce directa o indirectamente en $$$, y se
> sirven de esas listas como escaparate.

Hombre, lo pintas como si encima el "researcher" tuviera que darle las
gracias a la lista por dejarle publicar... Ni lo uno ni lo otro. Para
empezar las listas no se aprovechan de nadie, son las empresas las que
se suelen aprovechar :-) El ejemplo claro es el de Symantec y Bugtraq,
que ya se ha comentado, además de (siempre desde mi humilde punto de
vista), muchas empresas más que "reescriben" y revenden la misma
información.

Lo de que el full-disclosure sirve para alimentar egos... (es lo que se
puede acabar deduciendo de las palabras de Jose / Bernardo)... Si
seguimos en la misma de argumentación, acabaríamos diciendo que el
software libre se mueve por intereses similares, porque: ¿quién invierte
su tiempo en realizar software libre "por la cara"? ¿Los egoistas? ¿Y
los "taraos" (nótense las comillas) de la maravillosa demo-scene? Otros
egoistas, ¿no? :-)

No se, creo que hay cosas que no se hacen por dinero (llámalo
satisfacción personal, afán de superación, etc), pero que a la vez, es
normal que se intente reaprovechar (parte de) tu trabajo para ganarlo,
porque no se vive del aire.

> Define "neutral"... ¿a qué te refieres exáctamente? También se retrasan
> o se filtran contenidos en listas como ésta?.

Retrasillo si que hay últimamente, pero no con malas intenciones. Que el
pobre moderador no da abasto O:-) No creo que la moderación de esta
lista sea excesiva; al contrario evita que la lista se llene de los
típicos posts "cómo hackear hotmail".

> El problema adicional es que nosotros mismos no le damos importancia
> a las listas en español. Recuerdo hace no mucho tiempo que le comentaba
> a Román el tema de los retrasos en la publicación de bugtraq, y que
> enviara una copia de su aviso a bugtraq-es, también en securityfocus,
> traducida al español para que saliera inmediatamente (administro esa... lista,
> por llamarla de alguna forma, la verdad es que el tráfico tiende a nulo). La
> respuesta, no recuerdo, fue algo así como que pasaba...

Ummm, no exactamente. Creo que te dije (yo tampoco recuerdo), que si me
lo traducías por mí ok, pero que no iba a escribir 2 advisories -uno en
inglés y otro en español-. La razón es evidente: tiempo. Ahora es cuando
me preguntas por qué no lo escribí directamente en español... aunque las
razones también son obvias.

Por cierto, que yo estuve suscrito a Bugtraq-es en su día, y me acabé
borrando porque no ví que aportara nada nuevo/diferente a su homónima
"inglesa". El problema no es que "no le demos importancia a las listas
en español" sino que cada vez hay menos gente dispuesta a compartir
conocimientos, y nos guste o no, esa "poca gente" se comunica en inglés.

Saludos,
-Román