[HACK] Microsoft to Offer Patches to U.S. Govt. First

Jose Llunas jose.llunas at hushmail.com
Tue Mar 22 19:20:31 CET 2005 

Tiempos, diferenciales, dinero ... unas preguntillas para el que 
las quiera responder ...

1) ¿Si el gobierno español pagara "lo suficiente" tendría el mismo 
trato de favor que el americano?

2) ¿Debería pagar un gobierno (cliente de Microsoft) para disponer 
de la información un mes antes?

3) ¿Este tipo de "favoritismo" no concede al gobierno americano una 
situación privilegiada frente al resto de gobiernos?

signed,
-José

On Tue, 22 Mar 2005 08:44:19 -0800 Jesus Cea <jcea at argo.es> wrote:
>Crg wrote:
>> el problema yo creo es que
>> hay un determinado público que conocerá la vulnerabilidad tiempo 
>antes a que
>> tu tengas acceso al parche, e incluso un advisory técnico para 
>deshabilitar tal
>> servicio o restringirlo o lo que creas que puedas hacer para 
>contrarrestar el fallo.
>
>Eso ocurre siempre. MS y sus betatester conocerán el problema 
>mucho 
>antes que yo, y tú lo conocerás también antes que yo, ya que mi 
>seguimiento de bugtraq y similares es esporádico.
>
>Es decir, ese "diferencial" de tiempo existe siempre.
>
> > Pero tb el researcher tiene
>> derecho a publicar sus descubrimientos o no, y hacerlo donde y 
>con quien le plazca...
>
>Por supuesto.
>
>> Lo que me venía
>> a referir es que para el researcher y el usuario final no ofrece 
>ventajas
>> reportar directamente a
>> Microsoft y respetar el timeline "acordado"...  (IMHO)
>
>Depende lo que busques. Si buscas tener un sistema más seguro, 
>claro que
>te compensa informar a Microsoft y, pasado un tiempo, hacer 
>público el 
>problema.
>
>Si lo que quieres es ganar dinero, obviamente te "fastidiará" no 
>solo no 
>ganarlo, sino que sí lo haga MS por tu "trabajo".
>
>Pero el problema no es diferente del que tienen las comunidades 
>"Open 
>Source" de forma habitual. Y las motivaciones son, básicamente, 
>las 
>mismas. Se supone que el pago en estos casos es "karma".
>
>-- 
>Jesus Cea Avion                         _/_/      _/_/_/        
>_/_/_/
>jcea at argo.es http://www.argo.es/~jcea/ _/_/    _/_/  _/_/    _/_/  
>_/_/
>                                       _/_/    _/_/          
>_/_/_/_/_/
>PGP Key Available at KeyServ   _/_/  _/_/    _/_/          _/_/  
>_/_/
>"Things are not so easy"      _/_/  _/_/    _/_/  _/_/    _/_/  
>_/_/
>"My name is Dump, Core Dump"   _/_/_/        _/_/_/      _/_/  
>_/_/
>"El amor es poner tu felicidad en la felicidad de otro" - Leibniz
>
>
>_______________________________________________
>Lista - http://mailman.argo.es/listinfo/hacking
>FAQ - http://www.argo.es/~jcea/artic/hack-faq.htm
>"una-al-dia" para estar siempre informado - 
>http://www.hispasec.com/




Concerned about your privacy? Follow this link to get
secure FREE email: http://www.hushmail.com/?l=2

Free, ultra-private instant messaging with Hush Messenger
http://www.hushmail.com/services-messenger?l=434

Promote security and make money with the Hushmail Affiliate Program: 
http://www.hushmail.com/about-affiliate?l=427

More information about the hacking mailing list