lunes, septiembre 11, 2006

Prudencia

Bueno, bueno, bueno, es lunes, ¿que tal la vuelta al curro? Ya se empiezan a acabar las fiestas de los pueblos, y cada vez se pone en el horizonte más cerca la cuestita de Octubre, Noviembre y Diciembre. Uff, vaya Tourmalet!!

Aprovechando que Txipi se pasa ahora por este blog, vamos a volver hablar del tan traido caso de "publicar el código fuente hace que se detecten antes o más número o se arreglen antes los fallos de seguridad" que el hacía refencia en su blog.

Muchas veces me han dicho, joder, ¿cómo es que Microsoft, teniendo herramientas de análisis automático de código para hacer análisis estáticos y dinámicos sigue teniendo fallos?

La respuesta es que las herramientas de revisión de código tampoco son perfectas, y a pesar de la retroalimentación siempre se dan nuevas situaciones de código, nuevos patrones, nuevos entornos de ejecución que pueden resultar vulnerables. Ya hemos hablado varias veces de que un mismo código, puede ser o no vulnerable, dependiendo del linkador, el compilador, el entorno de ejecución, etc...

Así, después de ver los resultados del primer examen de Coverity sobre productos como Apache, el kernel u Open Office, vimos que los ojos no ven todos los fallos, y que son necesarias eses tipo de herramientas. Pues bien, a principios de este mes se volvió a repasar el código base de Firefox, con otra herramienta de análisis automático estático, Klocwork K7, y han vuelto a aparecer fallos, 655 defectos y 71 que pueden ser vulnerabilidades de seguridad. ¿Es que Coverity es mala herramienta que se dejó todos estos sin descubrir? La respuesta es que las herramientas van evolucionando y retroalimentandose de nuevos patrones y ojala llegaramos algún día al famoso bugfree que uno publicó tras los análisis de coverity.

En fin, lo curioso de todo esto es, que tras el análisis se ha decidido no dar información sobre los fallos por prudencia. Vaya, ¿no dar información sobre los fallos por prudencia?. Me quiere sonar esto a alguna otra compañía, pero no caigo ahora. Creo recordar, entre las nubes que dejan las drogas en mi mente, que a las compañías que han argumentado esto les ha acusado de "Seguridad por Oscurantismo". Qué difencia de palabras Prudencia y Oscurantismo.

En fin, todo cambia, hasta en Mozilla contratan personal de Seguridad de Microsoft.

4 comentarios:

Chema Alonso dijo...

Hola Txipi:

1) Toi contigo.
2) Toi contigo.
3) Las técnicas cracker son con el compilado, afectan por igual al código abierto/cerrado y es mucho más sencillo que hacerlo leyendo código fuente, te lo garantizo que somos jugones de olly y softice. Crackear una WEP es como estar abierto :) (minutillos se tarda)

Respecto a la gente que quiere ayudar, me remito a las palabras de Crispin Cowan: "he asserted that security researchers were only interested in finding splashy bugs and posting them to security mailing lists."

Molan tus metáforas!! jejej

Un tipo que sabe algo de auditar código más que yo.

Anónimo dijo...

http://edans.blogspot.com/2006/09/vista-y-el-fin-del-imperio.html

Anónimo dijo...

y lo interesante es... maligno.. como crackeas la wifi.. ¿desde un linux o desde un windows? :D

Chema Alonso dijo...

Pues yo la crakeo desde Windows, como hemos hecho por toda España por la gira. La única tool que faltaba en Windows hace 1 año era la hacer el ataque 0, pero está hace tiempo conseguido.

En http://hwagm.elhacker.net/ lo tienes todo en Windows.

Salute maligna.

Entrada destacada

10 maneras de sacarle el jugo a tu cuenta de @MyPublicInbox si eres un Perfil Público

Cuando doy una charla a algún amigo, conocido, o a un grupo de personas que quieren conocer MyPublicInbox , siempre se acaban sorprendiendo ...

Entradas populares