[HACK] Microsoft to Offer Patches to U.S. Govt. First

Roman Medina-Heigl Hernandez roman at rs-labs.com
Wed Mar 23 11:15:34 CET 2005


Jesus Cea wrote:
> Es decir, para la empresa resulta MUCHO más rentable subcontratar a una
> empresa externa, incluso en el caso tan favorable (y que no me parece
> realista) de una persona dedicando solo media hora al día al tema.
[...]
> A mí me lleva bastante más de media hora diaria, te lo aseguro.
[...]
> Los precios de SANA dependen mucho del perfil seleccionado: Sistemas

Vale, dame un rango: mínimo - máximo. Con eso me conformo. ¿Ves como soy
benevolente? O:-) A lo mejor cuando lo oiga te doy la razón y todo
(reconozco que soy bastante cabezota, pero si se me dan datos y
argumentos "más o menos" objetivos se me puede convencer). Pero no se,
el que algo esconde... Es muy fácil aseverar que "un servicio de alertas
es más barato" pero cuando se te pregunta algo tan directo y objetivo
como un precio (que repito, no hace falta sea mega-riguroso) para poder
comparar, y tú evades la respuesta una y otra vez... da _mucho_ que
pensar. Cada cual que extraiga sus conclusiones, yo ya he extraído las
mías y no difieren mucho de mi forma de pensar inicial, como puedes
imaginar.

Respecto a la cuestionada media hora (curiosamente sólo por Bernardo y
tú xD), ¿cuanto necesita un técnico, que la seguridad ni le va ni le
viene (sólo busca estar al día en parches), para _monitorizar_ 2 o 3
listas relevantes en busca de subjects donde aparezca la palabra
"Windows"/"Internet Explorer" y "Firefox" (por referirnos al ejemplo que
puse anteriormente)? ¿Un par de minutos? Si no sólo lee los subjects
sino que además  le echa un vistazo rápido _por encima_ para ver de qué
trata cada cosa y de alguna forma asegurarse que no se le pasa nada,
pongamos 5-10 minutos más. Redondeando a tu favor, me salen 15
minutos/dia. Y el día que de verdad venga una vulnerabilidad "de verdad"
de Windows y haya que molestarse en buscar la URL del parche o el
técnico sienta un poquito de curiosidad, le añado si quieres 30 minutos
del tirón (pero que no serían diarios, ni mucho menos, con lo cual al
promediar y hacer un cálculo diario estimado creo que media hora diaria
podría ser perfectamente suficiente). No creo que sea "tan irrealista"
como dices.

Ahora bien, Bernardo, tú y yo invertimos más de esa media hora. ¿Por
qué? En mi caso porque me interesa aprender y estar al día (yo me paro a
ojear algún que otro exploit, si viene un enlace muy probablemente lo
consulto, si viene un paper muy probablemente voy y lo leo, si viene una
tool interesante muy probablemente voy y la pruebo, si veo una técnica
interesante o en definitiva posibilidad de aprende, voy y lo aprovecho).
Normalmente ese no es el perfil de un técnico que hace uso del servio de
alertas, y si lo fuera (que también puede ocurrir; de hecho, tengo
amigos que por su trabajo lo cumplen) te garantizo que esa persona se
leerá tus alertas _Y ADEMÁS_ Bugtraq (o similares), lo cual implicaría
que está pagando (bueno, él no sino su empresa; de hecho estos amigos lo
primero que me han dicho es que ellos no lo pagarían) por obtener una
información redundante.

Además, a la hora de comparar he tomado -también en vuestro favor- que
un cliente vuestro que suscriba un servicio de alertas invierte tiempo
cero en leerlas y procesarlas, lo cual tampoco es cierto. Y tampoco
sería realista pensar que el que suscriba dicho servicio ya no necesita
pagarle a un técnico para que procese las alertas y obre en
consecuencia. Ese mismo técnico es el que podría estar directamente
invirtiendo media hora de su vida monitorizando listas. Dicho de otra
forma, siendo justos, la diferencia de costes se reduce aún más (y la
seguridad social se la vas a tener que pagar de todas formas :-)).

Resumiendo:
- con el servicio de alertas la persona pasa de la media hora diaria a
quince minutos (es obvio que alguna ventaja tenía que tener jeje), pero
a cambio la empresa tiene que pagar un pastón por esa "vagueza" del
empleado (bueno, así tiene el hombre 15 minutos más para leer el Marca).
- el staff del servicio de alerting ha invertido media hora / 1h
"investigando" la vulnerabilidad (es decir, consultando y contrastando
diversas fuentes, la gran mayoría públicas, o algunas privadas que a su
vez se alimentan de las públicas) y obtiene un beneficio económico
considerable revendiendo la información.
- y la realidad es que el investigador ha pasado horas/días
desensamblando procesos extraños con IDA Pro, probablemente haciendo un
exploit y en definitiva, currándose la información que luego todo el
mundo aprovechará, eso sí. Ah, y todo para que luego lo llamen
"alimentador de egos" :-)

> El precio exacto del servico es irrelevante si a nuestros clientes les
> resulta rentable, que lo es. Sino no tendríamos clientes :).

Eso es como argumentar que Windows es el mejor S.O. porque M$ tiene
muchos clientes. Una vez más, te sales por la tangente. Seamos serios,
por favor.

En fin, me rindo, no puedo más (/me eligiendo "fatality"). Espero que
cuando un potencial cliente contacte con vosotros y os pida precio no lo
mareeis tanto (pero mucho cuidado, que a lo mejor soy yo haciéndome
pasar por otro, y luego publico este dato que "misteriosamente" tanto os
interesa esconder xD).

Y me abstengo de pedir vuestra opinión/comparativa sobre otros servicios
como Vulnera (S21Sec), que podrían resultar de interés a la lista (y a
mí mismo), porque visto lo visto no seríais nada objetivos y/o
activaríais rápidamente el "ofuscador" o bien la máquina de crear
cortinas de humo :-)). Pensaba que os "mojaríais", aunque sólo fuera un
poquito, y la lista se podría aprovechar de vuestra posición
privilegiada en este campo (seguro que habeis hecho un pequeño estudio
de mercado, pequeñas comparativas, etc).

Saludos,
-Román



More information about the hacking mailing list