[HACK] Microsoft to Offer Patches to U.S. Govt. First

Wed Mar 23 09:59:09 CET 2005

> Hombre Bernardo, ¡cuánto tiempo! }:-)

Cierto, te echaba de menos :p

> Veamos. Yo nunca he dicho que no haya que contratar los servicios de
> expertos de seguridad (¡al contrario!) sino que preferiría contratar a
> una persona capaz de gestionarla adecuadamente antes que gastarme el
> dinero en un servicio de alertas. Simplemente dije eso. Tampoco vale de

Ten en cuenta, y tú mismo lo has dicho, que los servicios de alertas son
principalmente contratados por empresas grandes, que tienen departamento
y personal dedicado a seguridad, y saben de lo que están tratando (por
descontado conocen y siguen bugtraq y toda las listas principales).

¿Por qué contratan entonces un servicio de alerta?

Única y exclusivamente porque les sale rentable. Ten por seguro que si
pudieran obtener lo mismo con menor coste lo harían.

> por qué no. Pero no nos desviemos del tema. La cuestión es que hay mucha

Ya es demasiado tarde :D... el hilo ha degenerado demasiado.

> infraestructura necesaria para mantener un producto antivirus (expertos
> i+d analizando 24h virus, debugeando código, creando firmas contra virus
> que van mutando constantemente, etc), que para mantener un servicio de
> alertas, que simplemente monitoriza Bugtraq y unas cuantas listas de
> correo donde les dan las cosas mascadas :-)

Ni tanto ni tan calvo. Por ejemplo, hay gente que utiliza ClamAV (a mí
personalmente el motor me parece prehistórico) y dicen que le van
bastante bien (cosas del opensource, siempre cae más simpático). La
gente que mete firmas en ClamAV ni han visto ensamblador, ni analizan
código, ni nada... hasta tienen una herramienta que automáticamente
extrae las firmas. Idem de los antispyware & company, que van y sacan
un MD5 y va que arde...

Por otro lado, ya no se como decirte que un servicio de alerta no consiste
simplemente en monitorizar bugtraq y unas cuantas listas, pero desisto del
intento :D

> una mínima preocupación por los sistemas que uno administra :-)) pero lo
> primero ni de coña (necesitaría que el día tuviera 96h, por lo menos :-)).

Montar un AV normalito no es complicado, si te metieras verías que puedes
hacerlo, el problema puede ser el acceso a las muestras (cosa por ejemplo
que hemos democratizado con VirusTotal). Otra cosa es montar un AV
profesional que pueda competir en el mercado, ahí si que vas a necesitar
una infraestructura, laboratorio, personal... Con un servicio de alerta la
cosa es muy similar.

Es el desconocimiento de los AVs y tu experiencia en listas y foros lo que
te hace ver una cosa muy complicada y la otra trivial. Aun así, la cuestión
no es que un servicio sea fácil o difícil de desarrollar, sino que resulte
rentable a la empresa.

Por ejemplo la limpieza de la oficina. Seguro que todos somos capaces de
coger una escoba y una fregona (con más o menos arte ;), pero que algo
sea relativamente fácil no quiere decir que la empresa no se plantee
contratarlo de forma externa si le sale rentable. Y empresas de limpieza
profesionales hay y nadie se cuestiona su existencia, quién la quiere la
contrata, y quién quiere no.

> En fin, ambas posturas son legítimas y claras, y no se trata de que yo
> te convenza a tí o tú a mi, sino de compartir puntos de vista
> diferentes, que siempre viene bien.

Vale, creo que ya empezamos a aburrir al personal, considero que
ambas posturas están claras y que debemos ir cerrando el hilo.

> Me gustaría cerrar el tema (si nadie tiene nada más que añadir/objetar)
> con datos objetivos. ¿Cuánto cuesta un servicio como SANA (aprovecha
> para la publicidad :-))? ¿Y cuánto cuesta el servicio de alerting de
> Symantec (Bugtraq)? Estoy seguro de que tú puedes resolverme ambas dudas
> de forma clara, concisa y directa, Bernardo ;-) Y ya puestos, si alguien

No se lo que vale el de Symantec, aunque seguro que en la lista hay
gente que trabaja en empresas que lo revende (y ya de paso que
salgan alternativas, pq está discusión está demasiado centrada en el
caso de Hispasec). De SANA no hay un precio cerrado, ya que el
presupuesto se diseña en función del inventario de sistemas que el
cliente quiere monitorizar, no es justo cobrarle lo mismo a una empresa
con un parque muy homogéneo que a otra que tiene tropecientos
sistemas y aplicaciones diferentes. Pero ya te adelanto que no es barato
desde el punto de vista de un usuario, es un producto diseñado por
y para empresas.

Por mi parte cierro el hilo... si contestas otra vez te capo }:p

B.