[HACK] Microsoft to Offer Patches to U.S. Govt. First

Roman Medina-Heigl Hernandez roman at rs-labs.com
Wed Mar 23 01:42:22 CET 2005


Jesus Cea wrote:
> Roman Medina-Heigl Hernandez wrote:
> 
>> Personalmente pienso que Hispasec "devolvería algo a la comunidad" si
>> publicara tools y exploits, como hacen otras empresas.

Se me olvidó añadir tb "advisories" (de contenido original, i.e.,
vulnerabilidades descubiertas por uno mismo). No se trata de demostrar
la valía técnica de Hispasec, que no la pongo en duda, sino de hacer ver
que la empresa realiza un cierto i+d en el campo del pen-testing, que de
alguna forma "se mueve". Yo es uno de los criterios por los que me
guiaría a la hora de elegir a un tiger-team que audite las redes de mi
empresa.

> La filosofía Hispasec siempre ha estado muy clara. Si te parece
> insuficiente, lo lamento mucho.

Como he dicho en mi anterior mail, que a mí no me aporte nada un cierto
servicio no quiere decir que no le aporte a otros.

> Si te parece que nuestro trabajo "público" no te resulta útil, no

Tampoco he dicho eso... hablábamos de una-al-dia, ¿no? Te he dado mi
opinión sincera. Lo de virustotal, por ejemplo, sí que lo veo útil (ya
tienes un punto positivo, ¿ves? No todo iban a ser quejas xD).

> obligamos a nadie a que se suscriba o que permanezca suscrito. Es más,
> cada suscriptor nos cuesta dinero y no entiendo que alguien que no está
> interesado "sufra" el suplicio de recibir un mensaje de SPAM cada día :).

No me tires de la lengua. Los beneficios de marketing que os da
una-al-dia superan con creces el coste del servicio. Y el coste de
virustotal apostaría a que está financiado casi en su totalidad por las
casas antivirus (entre otras empresas), amen de que tb es un movimiento
de marketing más (cuya legitimidad -y en este caso, además, utilidad- no
discuto, pero leche, no me lo disfraces como un acto de las hermanitas
de la caridad, que no cuela :-)).

> Si a tí ese trabajo te parece redundante y, peor aún, parásito, creo que
> deberías reflexionar despacio sobre qué objetivo buscas cuando publicas
> un exploit, y cual es tu recompensa por ello.

No me importa reflexionar en voz alta. Dependiendo de lo que publique,
suelo buscar satisfacción personal (porque se que a alguien le puede
resultar útil) y un modesto reconocimiento (para bien o para mal, pero
prefiero que se me conozca por lo que he hecho -algo palpable y
contrastable- que por lo que otros digan que he hecho o soy capaz de
hacer). Es también una forma de mostrar tu visión de la seguridad y
corresponder: si a mí me gusta que otros publiquen cosas, para yo
enriquecerme (en conocimientos, digo; no económicamente, como ocurre en
el caso de las alertas), creo que es justo que de vez en cuando yo
también publique algo (haz con los demás lo que desees que hagan
contigo). No hace falta que sea una maravilla de la técnica ni trato de
competir con gente que está a niveles más altos; es el detalle, el
esfuerzo, mi granito de arena. Si te fijas en mi web (rs-labs.com, que
tb tengo mi derecho a propaganda, ¿no? xD), podrás valorar su contenido
como muy bueno/bueno/malo/regular/pésimo/etc, pero lo que hay ahí, para
bien o para mal, lo he hecho yo, y lo pongo a disposición del que desee.
La originalidad de contenidos nadie me la puede negar y de eso estoy muy
orgulloso :-P (no, si al final me meto a político xD).

¿Recompensa? En el caso del exploit del twiki una regañina por no
haberlo publicado antes... ah, y el enfado de alguna gente del CCC (pero
esa es otra historia; yo me quedo de nuevo con lo de la satisfacción
personal :-)).

-- 

Saludos,
-Roman

PGP Fingerprint:
09BB EFCD 21ED 4E79 25FB  29E1 E47F 8A7D EAD5 6742
[Key ID: 0xEAD56742. Available at KeyServ]



More information about the hacking mailing list