[HACK] Microsoft to Offer Patches to U.S. Govt. First

Bernardo Quintero bernardo at hispasec.com
Tue Mar 22 10:57:07 CET 2005


> Hombre, lo pintas como si encima el "researcher" tuviera que darle las
> gracias a la lista por dejarle publicar... Ni lo uno ni lo otro. Para

Tampoco es eso, si no fuera por la gente que investiga apaga y vámonos.

Sólo quería decir que el investigador por la publicación también obtiene
un reconocimiento y, parece, le compensa el que terceros puedan explotar
su  aviso. Tú mismo has dicho que sigues escribiendo a bugtraq aun sin
estar de acuerdo con su política.

Es mucho más transparente y beneficioso este círculo para todos que los
casos donde se negocian privadamente los avisos, que también los hay.

> se suelen aprovechar :-) El ejemplo claro es el de Symantec y Bugtraq,
> que ya se ha comentado, además de (siempre desde mi humilde punto de
> vista), muchas empresas más que "reescriben" y revenden la misma
> información.

Estoy de acuerdo en que es más importante la labor del investigador que
la del "recolector", no hay color. Pero creo que se necesitan ambos, el
recolector tendría poco que publicar sin los investigadores (quitando los
avisos oficiales), ni el investigador tendría tanta fuerza ni repercusión sin
la capacidad de difusión de los recolectores, ni los desarrolladores se
verían tan presionados, ni los clientes/usuarios tendrían tanta facilidad para
acceder a la información.

Sobre el negocio... en todo hay negocio. No se, no me veo a un científico
criticando a Nature porque lo que publican son investigaciones de teceros,
más bien al contrario, deseando salir en portada. Al fin y al cabo, sabe
que su trabajo se dará a conocer y le aportará beneficios, independientemente
de lo que Nature saque por la revista.

> Lo de que el full-disclosure sirve para alimentar egos... (es lo que se
> puede acabar deduciendo de las palabras de Jose / Bernardo)... Si

No hombre, no se puede generalizar. Partiendo de que el full-disclosure
es beneficioso para la seguridad, dentro de este mundillo hay de todo,
como en cualquier otra área. Sólo que me parecía injusto cargar las tintas
única y exclusivamente en los intereses que puede tener una parte.

> software libre se mueve por intereses similares, porque: ¿quién invierte
> su tiempo en realizar software libre "por la cara"? ¿Los egoistas? ¿Y
> los "taraos" (nótense las comillas) de la maravillosa demo-scene? Otros
> egoistas, ¿no? :-)

Anda, anda... ya no te digo más nada, que de una frase mía al final montas
una conspiración contra el open source XD

> Ummm, no exactamente. Creo que te dije (yo tampoco recuerdo), que si me
> lo traducías por mí ok, pero que no iba a escribir 2 advisories -uno en
> inglés y otro en español-. La razón es evidente: tiempo. Ahora es cuando

No recuerdo como era de grande... pero vamos, decir que no tienes tiempo
para escribir unos parrafillos.... vago!!

> Por cierto, que yo estuve suscrito a Bugtraq-es en su día, y me acabé
> borrando porque no ví que aportara nada nuevo/diferente a su homónima
> "inglesa". El problema no es que "no le demos importancia a las listas
> en español" sino que cada vez hay menos gente dispuesta a compartir
> conocimientos, y nos guste o no, esa "poca gente" se comunica en inglés.

Pues eso, unos por otros, así nunca vamos a despegar en español.

B.




More information about the hacking mailing list