[HACK] Microsoft to Offer Patches to U.S. Govt. First

[Bernardo Quintero]

> No podemos partir de que la objetividad no existe. Yo si creo que
> la objetividad existe. Esta creencia es muy común en la gente que

Vamos a ver, existe tu objetividad, existe mi objetividad, pero no existe
LA objetividad, ya que partimos de que todos estamos viciados por
nuestra propia experiencia y visión de las cosas.

La objetividad existe para decir si algo es blanco o negro, por ejemplo,
es una cualidad inherente al objeto, pero no existe objetividad para las
cosas subjetivas, por ejemplo para decidir si un cuadro es bonito o no,
porque va a depender del sujeto que la percibe.

Ejemplo típico, dime un estudio objetivo sobre que es más seguro, si
Windows o Linux, dime una comparativa antivirus objetiva, etc, etc..
(y con ésto último pudiera parecer que me hecho tierra encima). Todos
los estudios parten viciados por quién diseña la metodología, y no
hablo de que lo haga intencionadamente, pero siempre dependerá del
grado de conocimiento que tenga de uno u otro sistema, de los
tests que crea son los más convenientes, etc, etc.

Podemos tratar cualquier tema con tu objetividad y con mi objetividad,
sin ningún tipo de interés adicional, y los resultados pueden ser totalmente
diferentes.

Por ejemplo, para mí este msg que estoy escribiendo, según "mi objetividad",
se sale ya del topic de la lista [hack], para jcea a lo mejor sí o a lo mejor no
(si lo estamos leyendo aun cree que tiene interés para la lista), y para tí
tampoco lo se... ¿quién determina si es objetivo o no dejar pasar el
mensaje que estoy escribiendo ahora? el mensaje no tiene una etiqueta
que lo haga correcto o no para la lista, es el sujeto, en este caso el moderador,
quien determinará si lo es, porque es un tema subjetivo.

A eso me refería.

> Todo el mundo sabe si una acción/actitud es objetiva o no lo es. Lo
> contrario es engañarse o bien darse pie para justificar algo
> partiendo de una premisa inaceptable.

Será objetiva desde el punto de vista del sujeto, lo que para tí es
objetivo para mí puede no serlo.

> Filtrar, no filtrar ... Yo no he dicho eso en ningún momento. Lo
> que si he insinuado es que es realmente complicado que una lista
> tenga éxito, objetividad y sobre todo neutralidad si está vinculada
> a una empresa; independientemente de que haya demostrado falta de
> profesionalidad o similar.

Bueno, depende de lo que definamos por éxito (y no hace falta que
me pases la definición del drae). ¿número de suscriptores? ¿calidad
de lo que se publica?, lo primero es objetivo (cuantificable), lo segundo
subjetivo, en cuanto a la objetividad siempre va a depender en última
instancia de la persona, por lo que he comentado más arriba, y por la
neutralidad, aunque no es lo habitual, se puede, como por ejemplo
hace o, al menos me consta que lo intenta, jcea en [hack].

> Es cuestión de transparencia. ¿Tú crees que una empresa
> competidora, pongamos de SANA, enviaría sus avisos a [hack]?

Supongo (no estoy seguro de la política de jcea, que me corrija si me
equivoco), que no dejaría pasar publicidad sin venir a cuento. Ahora,
si alguien pregunta por referencias sobre un servicio genérico, deberían
pasar los comentarios de manera independiente a las empresas a las
que se refiera.

Por ejemplo, hace apenas unos días alguien preguntó por auditorías
o tests de penetración (no recuerdo), servicio que también da Hispasec,
y vi varios mensajes publicados sobre empresas que se dedican al tema.

> Ahora imagina que [hack] no tuviera ninguna vinculación con
> Hispasec y formúlate la pregunta de nuevo.

Ya está contestada arriba, y sin imaginaciones, pasó hace unos días.
Quién no quiera enviar es porqué no quiere... o por el refrán ese que
dice que "piensa el ladrón que todos son de su condición".

> Esta bien, no hace falta que me respondas. Yo creo que está claro y

Bueno, te he contestado por si acaso ;)

> el resto es engañarse como eso de que la objetividad no existe y
> tal ...

Ves, ese es tu punto de vista objetivo, y mi punto de vista objetivo es
otro. Si prefieres que digamos que la objetividad existe, vale, pero tiene
muchas dependencias de la razón a la que concierne y del sujeto que la aplica :)

> líneas anteriores decías que la objetividad no existía. La verdad
> es que, sin ánimo de ofenderte, leyendo lo anterior y sin ninguna
> ironía tengo que mantener ciertas reservas sobre lo que acabas de
> decir.

No hay posibilidad  de ofensa, no hay problema, di lo que pienses sin reservas :)

> exponente: BugTraq.
>
> Otro ejemplo sangrante es NTBugtraq. Que decir de Mr. Russ Cooper,
> un vasallo de TruSecure y adulador de Microsoft.
>
> ¿Estás son las listas que queremos?
>
> ¿A estas listas que tenemos que enviar la información?

Estoy de acuerdo en que bugtraq está condicionada, ntbugtraq supongo
que también, lo cierto es que hace años que no la sigo.

> Quizás el problema de la neutralidad se resuelva buscando el factor
> común del problema: la empresa. No porque la empresa sea un actor
> negativo o no deseable para la escena; al contrario, es
> indespensable para la ecuación pero no en el puesto que ocupa
> actualmente: dirigiendo listas abiertas y
> encaminando/comercializando su contenido.

Que detrás de una lista no haya una empresa no es la solución del problema,
hay listas moderadas que aparentemente no tienen ninguna vinculación a
empresas del sector que se moderan sin ninguna profesionalidad, dependiendo
de los gustos personales.

Tal vez la solución sea prescindir del moderador, como era la idea inicial
de full-disclosure (no se si sigue igual ahora mismo), no me he fijado, pero
la verdad es que no tiene excesivo ruido, o es que yo estoy acostumbrado
a recibir mucho mensajes. Aunque en la mayoría de los casos, por experiencia,
puede ser peor el remedio que la enfermedad.

> ¿Cual sería el problema de tener un servicio "FreeSANA" con un
> delay de 3 días para la comunidad en aquello que no supusiera un
> coste directo para la empresa? Acaso no está el trabajo hecho.

Ya mantenemos una-al-dia como servicio gratuito, tal vez a día de hoy
una noticia al día sepa a poco, pero algunos en el año 98 nos dijeron que
no podríamos mantener el ritmo. No hemos sacado un "FreeSANA" (si
me puedes asegurar que sacar los avisos con 3 días de retraso no nos
afecta para nada, no hay problema), pero te has podido encontrar
recientemente el servicio www.virustotal.com , que nos pareció más
interesante para la comunidad por no existir ninguno similar, servicio
totalmente gratuito tanto para laboratorios AVs como usuarios, y que
nos cuesta el dinero (que soportamos sin problemas gracias a nuestros
servicios de pago, como SANA, auditorías, consultorías, etc). Puedes
ver iniciativas como http://www.hispasec.com/software/checkdialer/swsolidario.html
etc,etc.

No se, no creo que Hispasec sea precisamente un ejemplo de empresa
que no devuelve cosas a la comunidad, pero bueno, no deja de ser algo
subjetivo, u "objetivamente personal" ;)

> ¿Por qué no primais a investigadores como Román con una suscripción
> gratuita por notificaros un 0day en vez de pedirle que lo haga
> gratis?

Nunca le he pedido a Román que nos notifique nada, ni que haga nada
gratis.

> En fin, creo que si quieres un servicio español fuerte y
> consolidado debes apostar por él y no sólo exprimir aquello que te
> interesa.

Estoy totalmente de acuerdo, y lo sabemos por experiencia.

B.