[HACK] Microsoft to Offer Patches to U.S. Govt. First

Crg crg at digitalsec.net
Wed Mar 23 02:36:21 CET 2005


HOLA FJS (que no JFS!)

Bueno, este tema comienza a complicarse y está desembocando en lo que
yo no quería tratar (full-disclo vs no-disclo). Mi experiencia es que hay
grandes razones en ambas posturas como para justificar cada una de ellas,
por lo cual es imposible llegar a un "status-quo" o convencer a alguien
de que la otra opción es la correcta. De hecho yo mismo tengo serias
dudas a veces de que mi elección es la correcta. Sin embargo... escuchar
las opiniones de los demas, ayuda a comprender (que no a compartir) y
respetar la posición de los demas... y el respeto es la primera fase de un
buen entendimiento (como siempre IMHO)

> Es tan lícito buscar a través de la investigación particular
> reconocimiento personal, profesional o de una empresa como cualquier
> otra opción. A caso uno que investiga el universo, una lucha contra el
> cancer, la mente... no lo publica luego en la típica revista "ciencia e
> investigación"?.

Por supuesto... y a mi me parece perfecto, que el que quiera publicar
publique donde quiera y con el fin que sea... (ya sea reconocimiento,
popularidad, referencias laborales, por que le paguen o por quedar
de guay con los colegas!) que para eso, el es el que ha dedicado su tiempo
a la actividad de "encontrar"

Sin embargo, me parece que: poner cierto tipo de información al alcance
de el público, sobretodo en determinadas ocasiones, puede suponer un
peligro,
si no por el hecho de publicarla, por la utilidad que le dan a esa
información
los que la reciben... Y creo que eso está a la vista de todos...
massrooters, massdefaces,
worms...

Se puede llegar a la conclusión de que el hacer pública esta información,
desencadena
de forma directa (por el advisory + parche) o indirectamente (como forma
reactiva
a los ataques) en el aumento de la seguridad general. Pero creo que podría
llegarse a
la misma finalidad, sin necesidad de "poner en peligro" a los demás.

> Me toca la moral que se crítique entre lineas publicar exploits con
> otros fines que no sean totalmente altuistas... a caso microsoft, ISC, o
> cualquier otro, te paga por sacarles fallos que ellos mismos deberian
> ser conscientes?.

Yo no critico publicar exploits con fines no-altruistas ... a mi no me
parece
buena opción publicar exploits en general, bajo ninguna circustancia... por
la amenaza que creo que representa. Si bien "releasear" la vulnerabilidad y
el parche
para el público en general, mientras se mantiene el detalle técnico y el
exploit
para el fabricante y entornos profesionales (e incluso entornos de hacking
cerrados,
que utilizaran la información con responsabilidad y con la finalidad del
I+D, aunque
este punto entiendo que es más discutible).

Parecerá una postura radikal o censuradora ... quizás lo sea, pero prefiero,
afrontar
una censura de información a la gente antes que hacer pagar injustamente a
otra gente que
por, falta de presupuesto, conocimiento o preparación... se vea afectada por
algo
que les pueda hacer perder tiempo, dinero y recursos.

Ejemplificando un poco ... sería como poner pistolas a disposición de todo
el mundo
esperando a que todos hagan un uso razonable de las mismas. Mientras la
opción,
que yo defiendo, sería ponerlas solo a disposición de las fuerzas de
seguridad, si bien es cierto que
"mafias" y "crimen organizado" las podrían conseguir por otras fuentes...
pero creo que la
amenaza sería  cuantitativamente menor y por tanto los incidentes,
decrecerían de forma
sustancial...


> Es el tiempo del investigador y hace con sus frutos lo que le venga en
> gana... En mi opinión es recomendable tener un poco de cabeza para no
> desencadenar worms, mass-defaces, etc...


"Ahi las dao"! "ahi las dao"!...   con cabeza!...

> Quizás deberiamos reflexionar sobre las palabras implicitas en los
> debates de pk publicar o no desarrollos particulares. Quizas se vive
> mejor desde la parte oscura y mística de "yo no publico nada por X
> razón" dando lugar a conjeturas e idolatrías normalmente sin fundamento.
> Pero claro es mas fácil perseguir el ego del investigador... intentando
> sacar a flote el de uno mismo.

Sigo pensando lo mismo... es cuestión de cabeza .. y de respeto mutuo...
aunque si es cierto que los que están a favor de "no publicar" suelen
criticar mas duramente a los que publican...

> Casos mil... generalidades ninguna... Excepciones con nombre
> existentes... Esta es mi opinión.
>
> PD: es un debate interesante, me gustaría pasar el corte ya que no es un
> mail sobre hacking de cuentas hotmail ni SPAM :P

No ha nacido el hombre que te filtre un "posteo" en una lista de correo...

> Un saludo.

Otro de mi parte!




More information about the hacking mailing list