[HACK] sobre bugtraq, origen de una-al-dia, e historias para no dormir...

[David A. Pérez]

> Ya era hora de cambiar el subject :)

Y tanto!

> > que el servicio una-al-dia es un servicio más de marketing y
> > publicidad al servicio de hispasec y orientado a un público no
> > experto que un servicio útil para "la comunidad de seguridad". Creo
> 
> La vocación de una-al-dia era y es concienciar y difundir contenidos sobre
> seguridad informática al mayor número de personas, no se montó como una
> fuente elitista, de ahí sus contenidos y formato. Es justo decir que
> originalmente no existía empresa ni idea de montarla, la historia de Hispasec
> fue casi por generación espontánea, a demanda del mercado.

No es cuestion de ponerme a buscar, pero los mails auto-bomo de "mira
cuantas alertas ha sacado SANA este mes, mira lo bien que podria venir
a una empresa", que sacais de vez en cuando os viene de puta madre. Si
no, no los sacariais. Que no niego que el porcentaje de esos mensajes
es minimo, ni niego que una-al-dia haya perdido su vocacion original,
lo que afirmo es que os ha venido de puta madre. Y si me lo negais
mejor que asi puedo empezar un flame ;-)

> Entiendo que haya gente con otras inquietudes y necesidades que no son
> cubiertas por una-al-dia (ya me gustaría a mi poder satisfacer a todo el
> mundo).
> 
> Creo que una-al-día no debe cambiar su filosofía, aunque sólo sea por
> respeto a los miles de suscriptores a los que les parece interesante (creo
> que ya a los dos años duplicábamos a bugtraq, cosa por otro lado
> lógica ya que va dirigido a un sector más amplio).

Totalmente de acuerdo, una-al-dia es lo que es y no (opino) deberia de
cambiar. Pero sigo diciendo que como empresa os ha venido como anillo
al dedo. Cuando nos dominareis a todos? ;-)

> Si quereis que Hispasec tenga una lista que se parezca a bugtraq (a la antigua
> bugtraq, supongo que a la de ahora no quereis), no teneis nada más que
> decirlo, y la montamos, pero que funcione dependerá de que se participe
> en ella de forma activa.

Ya estamos!!! Venga, a copiar a los yankies!!! Con la cantidad de
gente de origen hispano que publica en bugtrag, porque no hacemos algo
distinto?

Muchas conversaciones atras, demasiadas para buscar se hablaba de
porque la gente publica en bugtraq, que es lo que busca blah blah
blah.

Yo personalmenete no tengo tiempo de hacer research de
vulnerabilidades, excepto aquellas que me afectan directamente. Las 3
cosas que he publicado han sido porque habia descubierto las
vulnerabilidades al analizar el producto que iba a instalar en la
empresa para la que trabajo. Primero notifico al fabricante para saber
si lo va a arreglar y para conocer sus tiempos de respuesta en el
futuro, y despues si tengo tiempo lo mando a bugtraq para que quede
constancia. Yo al contrario que Roman no me preocupo de publicarlo en
varias listas, al final del dia el motivo que me lleva a "publicarlo"
(mandarlo a bugtraq) es puramente testimonial (que no por esllo estoy
diciendo que Roman lo haga mal ni yo lo haga bien, el lo hace por sus
motivos totalmente validos y yo por los mios).

Me estaba saliendo de tema... Lo que yo iba a decir es que a mi, en
concreto, me da absolutamente igual publicarlo aqui o alla, pero que
si hay una lista en espanol, yo lo mando a la lista en espanol Y en
espanol, y despues los ingleses que se busquen la vida.

Ya va siendo hora de que se nos haga oir. Con la cantidad de gente que
hay en la comunidad hispana la lista podria convertirse en referente
en un corto espacio de tiempo.

Mientras sea algo de la comunidad y para la comunidad siempre creo que
puede ser beneficioso. Que despues otros se aprovecharan de la
informacion alli publicada? Y que? Aprovechados siempre los habra.

Sobre quien hospeda esa lista, quien la modera, pues la verdad es que
es un tema a debatir. Podria ser esta misma lista? Pues por mi podria
ser (con permiso del ilustrisimo senor moderador }:-) esta misma. Si
hasta hace un par de dias estaba un poquillo muerta, le podria venir
bien un poco de vidilla.

Yo creo que lo mas importante sea quien la hospeda o quien la modera,
lo importante es que haya un grupo de gente comprometida a usarla como
medio de dar a conocer su trabajo y para que otra gente pueda aprender
de el.

Por que tiene que ser una lista para publicar "avisories" al estilo
bugtraq? Si, que en bugtraq a veces tambien hay conversaciones,
intercambio de palabras y blah blah blah, pero generalmente no va
mucho mas alla. Un ejemplo que se me ocurre, alguien publica
vulnerabilidad x en el producto z, despue spuede haber gente en
conocer mas detalles concretos para evitar que algo similar pueda
pasar en algo que este programando. O yo que se...

Es una cuestion de comprometerse.

Tengo mas cosas que decir pero la mente un poco espesa... Un cafelito
y a lo mejor despues digo al mas... que no os librais de mi tan
failmente :P

kamborio