¿Qué hacer con los grandes fallos de seguridad?
Con grandes fallos de seguridad me refiero a fallos que afectan a millones de máquinas ( Windows, por ejemplo ) o a servidores, routers y demás cacharros de vital importancia. Y pregunto qué hacer, porque me dejó bastante asombrado esta noticia:
En el marco de la conferencia Black Hat, el experto en seguridad informática Michael Lynn ha demostrado la forma en que es posible tomar el control de un enrutador de Cisco. Cisco reaccionó con un intento de censura y con el inicio de acciones legales en su contra. El empleador de Lynn, ISS, respaldó a Cisco, motivando la renuncia del experto.
Fuente: DiarioTI
En este caso un experto saca a la luz un fallo que puede tener consecuencias realmente devastadoras en muchos aspectos. ¿Es legítimo que se aireen estos fallos? ¿No sería más lógico tratarlo con la empresa fabricante del producto para solventarlo cuanto antes?. Sabemos que la distribución de esta información por internet es lo peor que se puede hacer, ya que enseguida los “hackers” ( nótense las ” ) se ponen a jugar. Un buen ejemplo es PHP Nuke. Se airean los fallos y después niños de 15 años se dedican a ir haciendo SQL-Injection a todo portal vulnerable que encuentran, creando más de un problema.
Pienso que en estos casos lo último que se debe hacer es publicarlo. Todo debe tratarse con los afectados y en todo caso, publicar una vez arreglado el problema como pasó con El Mundo y el concurso de Sudoku.
Antes de comentar...
Puedes escribir lo que quieras, pero por favor hazlo respetando a los demás y en relación al tema que se está tratando. Todo comentario insultante o fuera de lugar será eliminado
Está permitido utilizar las siguientes etiquetas HTML para formatear tu comentario: <a> <b> <blockquote> <i> <u>. Además también puedes utilizar estos emoticonos:
Puedes enviar referencias a esta anotación utilizando esta dirección
Comentarios
Es lo peor en un sentido, pero es una necesidad en otro.
Me explico:
Lo que me parece contraproducente es el hecho de mostrar el howto, pero es necesario demostrar que existe, la gravedad del problema, lo que se puede llegar a hacer y hacerlo en público.
Si no se puede llegar a casos como Oracle, que tiene fallos graves de seguridad desde hace más de 2 años.
Las compañías se apoyan en el non-disclosure para no sacar los patches, porque eso les supone reconocer problemas de seguridad.
Al final como en tantas cosas es cuando se les avergüenza en público o se les condena cuando actúan. Realmente es una mera cuestión de costes.
Lo que me gustaría saber antes de criticar a este tipo es si en la demostración dejo ver como se hace o simplemente demostró la existencia de el fallo y la criticidad del mismo.
Si no se publicasen, mucha gente estaria bien jodida…. y habria demasiado aprovechado.
Los fallos de seguridad están para publicarlos.
Yo pienso que hay que publicar el fallo pero no cómo explotarlo, con el software libre muchas veces se callan las cosas, como con los errores de firefox, que no son pocos.
En concreto el fallo de los routers se notificó en Abril a Cisco y Cisco lanzó el fix, pero luego este tio se ha dado cuenta que Cisco no resolvió el problema, si no que tapó el agujero, pero del mismo sitio se pueden sacar más agujeros.
Yo la mayor parte de la información la he leido aquí, y me alineo con el tipo.
Haz tu comentario
¿Quién escribe esto?
David Martínez, programador, aficionado a la fotografía, móviles y cualquier cosa con teclado y pantalla...
Archivos
Búsqueda
Busca contenidos en esta bitácora...
O en Bitacoras.com...
Enlaces
En Bitacoras.com
Estadísticas
- 2280 días on-line
- 1608 anotaciones
- 9525 comentarios
Meta
Lo peor que se puede hacer es publicarlo, ya has dicho tú las razones