[HACK] Microsoft to Offer Patches to U.S. Govt. First

Jose Llunas jose.llunas at hushmail.com
Tue Mar 22 20:13:05 CET 2005


>Ya, el drae lo conozco. Me refería a que prácticas
>consideras que ponen en peligro la neutralidad de
>una lista, partiendo de que la objetividad no
>existe

No podemos partir de que la objetividad no existe. Yo si creo que 
la objetividad existe. Esta creencia es muy común en la gente que 
ha visto demasiada suciedad a su alrededor y cree que todo está 
perdido y no hay nada que hacer. No digo con esto que sea tu caso.

Todo el mundo sabe si una acción/actitud es objetiva o no lo es. Lo 
contrario es engañarse o bien darse pie para justificar algo 
partiendo de una premisa inaceptable.

>Entiendo entonces que considerarías que la falta de
>neutralidad vendría dada porque el moderador de una
>lista filtre de forma intencionada contenidos aun
>siendo de interés general para el foro. ¿es eso?,
>¿alguna cosa más?

Filtrar, no filtrar ... Yo no he dicho eso en ningún momento. Lo 
que si he insinuado es que es realmente complicado que una lista 
tenga éxito, objetividad y sobre todo neutralidad si está vinculada 
a una empresa; independientemente de que haya demostrado falta de 
profesionalidad o similar.

Es cuestión de transparencia. ¿Tú crees que una empresa 
competidora, pongamos de SANA, enviaría sus avisos a [hack]?

Ahora imagina que [hack] no tuviera ninguna vinculación con 
Hispasec y formúlate la pregunta de nuevo.

Esta bien, no hace falta que me respondas. Yo creo que está claro y 
el resto es engañarse como eso de que la objetividad no existe y 
tal ...

>La pregunta, a raíz de tu comentario, era si se filtraban
>o retrasaban contenidos en listas como ésta, entiéndase
>de este tipo, de esta naturaleza... no me refería a [hack]
>en concreto. Pero vamos, que si hubiera que criticar a
>[hack], de momento no tengo motivos, pues tampoco hay mayor
>problema, que el  moderador sea socio y/o amigo no me
>condiciona.

Es curioso, estas hablando de tener una actitud objetiva pero en 
líneas anteriores decías que la objetividad no existía. La verdad 
es que, sin ánimo de ofenderte, leyendo lo anterior y sin ninguna 
ironía tengo que mantener ciertas reservas sobre lo que acabas de 
decir.

>Siento no poder darle un listado de "neutrales", pq no
>me prodigo mucho por las listas, pero hasta el momento
>en las que participo nunca me han filtrado un mensaje
>de forma injustificada, y si lo hicieran, dejaría de
>participar.

Estoy de acuerdo.

>La pregunta sería ahora, ¿en qué listas participas o
>conoces que no sean neutrales?

Que no sean neutrales y por ponerte un ejemplo ya tratado, todo el 
paragüas de listas que tienen en SecurityFocus; con su máximo 
exponente: BugTraq.

Otro ejemplo sangrante es NTBugtraq. Que decir de Mr. Russ Cooper, 
un vasallo de TruSecure y adulador de Microsoft.

¿Estás son las listas que queremos?

¿A estas listas que tenemos que enviar la información?

Si vemos el proceso como una caja negra podemos decir que cuando 
una persona notifica un bug a BugTraq de un producto de Microsoft 
no hace otra cosa que fomentar la política de "un mes antes para 
nosotros los estadounidenses"

Quizás el problema de la neutralidad se resuelva buscando el factor 
común del problema: la empresa. No porque la empresa sea un actor 
negativo o no deseable para la escena; al contrario, es 
indespensable para la ecuación pero no en el puesto que ocupa 
actualmente: dirigiendo listas abiertas y 
encaminando/comercializando su contenido.

La gente está abriendo los ojos poco a poco. Ya no se envía lo 
mismo a las listas ni en la misma cantidad/calidad. El hecho de que 
los avisos ya no posean detalles técnicos, de que muchos hayan 
callado (TESO,WOOWO y amigos) no se debe a ese egoismo que venden 
algunas empresas sino al cansancio y la erosión que han causado en 
ellos las "nuevas actitudes comerciales".

Si me permites la licencia (al igual que Román), voy a poner el 
servicio SANA otra vez en el ojo del huracán. Viéndolo desde fuera 
parece un servicio de alertas para empresas como cualquier otro. 
Ahora bien, desde el punto de vista de un profesional de la 
seguridad (sea Román o cualquier otro) causa malestar la 
comercialización y el no retorno que producen este tipo de 
servicios a la comunidad, no porque sean ilegales o no deseables 
sino porque se puede hacer lo mismo pero de una forma menos 
colonial y agresiva.

¿Cual sería el problema de tener un servicio "FreeSANA" con un 
delay de 3 días para la comunidad en aquello que no supusiera un 
coste directo para la empresa? Acaso no está el trabajo hecho.

¿Por qué no primais a investigadores como Román con una suscripción 
gratuita por notificaros un 0day en vez de pedirle que lo haga 
gratis?

En fin, creo que si quieres un servicio español fuerte y 
consolidado debes apostar por él y no sólo exprimir aquello que te 
interesa.

signed,
-José



Concerned about your privacy? Follow this link to get
secure FREE email: http://www.hushmail.com/?l=2

Free, ultra-private instant messaging with Hush Messenger
http://www.hushmail.com/services-messenger?l=434

Promote security and make money with the Hushmail Affiliate Program: 
http://www.hushmail.com/about-affiliate?l=427




More information about the hacking mailing list