[HACK] Microsoft to Offer Patches to U.S. Govt. First

Vicente D. Fernandez quasar at undersec.com
Wed Mar 23 09:34:09 CET 2005 

Buenisimas a todos. Para mi es un placer saber que aun andais muchos de la 
"vieja escuela" por aqui. Voy a intervenir y asi a) se  me va la pinza
y b) me relajo.

Mirad, mi apreciacion viene del mundo exterior porque yo hace 4 anyos que 
ando desconectado del mundillo. Soy una autentica puta arregla impresoras 
en una fabrica que esta a punto de chapar y que fabrica barnices.

Yo creo que en todo el hilo segun el punto que se toque estoy de acuerdo 
con unos u otros, sin embargo hay algo que no entiendo.

No me entra en la cabeza que uno decida vender frigorificos en el polo 
norte y otro le "intente ayudar" diciendo que ahi no va a vender ni un 
solo frigorifico. Que cada uno haga lo que le de la gana. Es imposible 
evaluar si algo es bueno o es malo salvo por el que lo ha montado y ve 
como le funciona. Por increible que parezca. 

Siguiendo con el ejemplo de los frigorificos y lo 
increible de que se vendan en el polo, por muy inverosimil que 
parezca igual la locura de vender un frigorifico sirve para que las 
gaviotas no se coman el pescado expuesto al frio del polo norte o se 
descubre que al conectar  el  
frigorifico el motorcito da calorcito y sirve de 
estufa-guardaalimentos. Dios! Una estufa que no pudre los alimentos, sino 
que por el otro lado los conserva aunque en la casa haga calor. Yo que 
se.

Para uno, la idea chapucerilla del otro, no tiene sentido. Sin embargo el 
otro puede inflarse a vender y forrarse $$$$.

Aqui, en mi empresa, todos los dias pasan proveedores a intentar vender lo 
que sea. Y cuando digo lo que sea es lo que sea. Hasta un equipo 
reproductor de video inhalambrico por tcp/ip 802.11g 
(http://www.dlink.es/?go=jN7uAYLx/oIJaWVUDLYZU93ygJVYKOhST9vhLPG3yV3oUo14jqltbNlwaaRp5jUrAmu5j3cf/YELAd733KPiK0sYtOzeaA==).
Infeliz de mi, estuve riendome dos dias. Quien narices quiere esto en una 
empresa????. jajajajaj... podre hombre.
Pobre hombre???. Dios.... se vendieron 9!!. A la empresa????, pues mira 
no. Pero en el momento lo compro un directivo, lo compraron el resto. 
Impresionante!.

Volviendo al asunto. Tanto el servicio de la lista bugtraq, como el de 
alerta temprana como el "de lo que sea", es gratis. Y ademas, tiene 
propietario. Pues que hagan lo que quieran con el, los que lo controlen.

En el caso de no compartir esa vision lo interesante, lo que realmente es 
increible es que puedes montartelo tu o no montartelo. O a fin de 
cuentas, puedes elegir entre otras opcions o crearlas. Y ahi deberia ir 
dirigido el esfuerzo. Bienvenido al mundo empresarial...

Que no te gusta lo que da M$, pues a otra cosa mariposa. Que te interesa 
forrarte, pues vendes lo que creas que puedes vender.

Evidentemente aqui entra el rollo moral sobre lo que quieres o no estas 
dispuesto a vender. Ay!, ya hemos llegado al asqueroso rollo moral. El 
exigir moralidad es muy dificil. Preguntaselo a los terroristas que 
moralmente matan. Es un debate perdido y muy profundo. 

Me hace gracia todos aquellos que exigen moralidad a los demas. MEEK! 
huele a bug!.

Lo importante es cada uno. Y si varios se juntan con la misma vision pues 
ale... adelante. Mira GNU o Linux o cientos de miles mas.

Roman, te duele "la inmoralidad" de lo M$, lo de bugtraq o lo de hispasec. 
Bien. Mi empresa esta a punto de chapar (ya veremos), que quieres hacer??. 
Yo te apoyo gratis!. 

La verdad es que no se si consigo transmitir la idea despues de todo el 
chorro que acabo de soltar. 

Si quieres publicar un exploit, lo publicas. Que no quieres publicarlo 
porque otro se aprovecha (como en el soft libre) pues no lo publiques. Que 
los de M$ intentan retrasar la salida de parches y no te gusta, te 
cambias. Que en bugtraq la gente publica por rollo publicitario, no lo 
leas. Que algunas empresas manda alertas tempranas con ciertas tacticas 
que te resulta "inmorales" para ti. Pues ale, haz lo mismo tu pero siendo 
fiel a ti. Que otras empresas sacan unos certificados de seguridad y te 
parecen que no son quien para certificar nada. Pues nada, si lo 
tuyo crees que es mejor y puede darte mas, montate algo a tu modo. Es que 
es facil. De hecho, es el principio de casi todo. Que 
provoca la salida del mplayer o el vlc, o el linux o el lo que quieras...?

Ademas Roman, como en el fondo en lo que "denuncias"  yo estoy de 
acuerdo podemos intentar lo que quieras. Lo unica diferencia es que no 
entro a evaluar ciertas cosas que creo que te encienden... ;)

Me siento bien. Ale ya....

PD: Un saludo a mucha gente de la que me acuerdo mucho y leo  por aqui.

---
Vicente D. Fernandez (QuasaR)
http://quasar.losplutonianos.net


Roman Medina-Heigl Hernandez nos contaba que:
Ã
|> 
|> Hombre Bernardo, ¡cuánto tiempo! }:-)
Ã|> 
|> Bernardo Quintero wrote:
|> > Coñas aparte,  pretendes extrapolar tu posición, que puede ser privilegiada en
|> > cuanto a seguridad informática se refiere, a empresas cuyo negocio 
es otro bien
|> > distinto. Evidentemente, yo cuando contrato un servicio médico es porque no
|> > tengo ni idea de medicina o porque, aun teniendo algunas nociones, prefiero que
|> > sea un profesional cualificado quién se ocupe de ello. No puedes decir que si
|> > contrato un servicio o profesional externo no le doy importancia  a la salud, más
|> > bien al contrario.
|> 
|> Veamos. Yo nunca he dicho que no haya que contratar los servicios de
|> expertos de seguridad (¡al contrario!) sino que preferiría contratar a
|> una persona capaz de gestionarla adecuadamente antes que gastarme el
|> dinero en un servicio de alertas. Simplemente dije eso. Tampoco vale d
|> nada un IPS si no hay alguien detrás que sepa "llevarlo". Y con
|> "llevarlo" no me refiero a que puedas abrir un ticket de soporte de
|> tanto en cuando, para quedarte tranquilo.
|> 
|> > Llegados a este punto, yo no utilizo antivirus en mis sistemas Windows, no los
|> > necesito. Al resto de gente que utiliza antivirus... ¿tengo que pensar que es una
|> > solución propia de gente que no sabe de seguridad o que simplemente no le
|> > da importancia a la misma?
|> 
|> Bueno, yo sí tengo AV pero no lo tengo constantemente monitorizando y
|> gastando recursos; eso sí, cuando veo algo sospechoso "enchufo" el AV,
|> por qué no. Pero no nos desviemos del tema. La cuestión es que hay mucha
|> gente que piensa que:
|> Antivirus + Firewall = Sistema seguro
|> Esa es la postura que denuncio :) La frase que has extrapolado como mía
|> sería correcta si añadieras la palabra "sólo", y cambiaras "gente" por
|> "empresa". Es decir: "las empresas que _sólo_ utilizan antivirus
|> evidentemente no saben de seguridad". Aparte, no veo comparable la
|> infraestructura necesaria para mantener un producto antivirus (expertos
|> i+d analizando 24h virus, debugeando código, creando firmas contra virus
|> que van mutando constantemente, etc), que para mantener un servicio de
|> alertas, que simplemente monitoriza Bugtraq y unas cuantas listas de
|> correo donde les dan las cosas mascadas :-)
|> 
|> Ya que me has puesto antes a mí como ejemplo "excepcional" yo podría
|> hacer lo segundo fácilmente (de hecho lo hago, para mí mismo, y me
|> consta que mucha más gente lo hace, sin necesidad de ser ningún crack;
|> simplemente hay que saber leer, distinguir un Apache de un IIS y mostrar
|> una mínima preocupación por los sistemas que uno administra :-)) pero lo
|> primero ni de coña (necesitaría que el día tuviera 96h, por lo menos :-)).
|> 
|> En fin, ambas posturas son legítimas y claras, y no se trata de que yo
|> te convenza a tí o tú a mi, sino de compartir puntos de vista
|> diferentes, que siempre viene bien.
|> 
|> Me gustaría cerrar el tema (si nadie tiene nada más que añadir/objetar)
|> con datos objetivos. ¿Cuánto cuesta un servicio como SANA (aprovecha
|> para la publicidad :-))? ¿Y cuánto cuesta el servicio de alerting de
|> Symantec (Bugtraq)? Estoy seguro de que tú puedes resolverme ambas dudas
|> de forma clara, concisa y directa, Bernardo ;-) Y ya puestos, si alguien
|> sabe de algún otro, que desee valorar, yo por mí encantando.
|> 
|> Saludos,
|> -Román
|> _______________________________________________
|> Lista - http://mailman.argo.es/listinfo/hacking
|> FAQ - http://www.argo.es/~jcea/artic/hack-faq.htm
|> "una-al-dia" para estar siempre informado - http://www.hispasec.com/
|> 

____
|QuasaR| - Undersec && Pluton

More information about the hacking mailing list