tag:blogger.com,1999:blog-21555208.post3071246292248145116..comments2024-03-21T18:48:30.830+01:00Comments on Un informático en el lado del mal: ¿Es Google Project Zero (i)rresponsable publicando 0days y exploits de Windows y OS X?Chema Alonsohttp://www.blogger.com/profile/16328042715087424781noreply@blogger.comBlogger29125tag:blogger.com,1999:blog-21555208.post-1720464722432191152015-09-29T10:01:51.078+02:002015-09-29T10:01:51.078+02:00creo que la verdadera culpa la tiene el fabricante...creo que la verdadera culpa la tiene el fabricante por sacar un producto con fallos pero siendo sinceros ningún software ha sido perfecto hasta el momento y dudo que lo sean en breves. Pero 90 días me parecen algo excesivos porque solo con que tardes un par de días en saber la noticia puede que cualquiera que ya estuviera informado haya entrado en tu software. MBRnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-91879939577624850092015-02-13T08:00:50.434+01:002015-02-13T08:00:50.434+01:00El último anónimo tiene una serie de creencias muy...El último anónimo tiene una serie de creencias muy divertidas y mas que cuestionables sobre las consecuencias reales de someter software a procesos de busqueda de bugs. yo opino todo lo ccontrario, google fortalece la calidad de esos productos.<br /><br />Menos mal que no todo el mundo piensa siempre en negativoAlister Amohttps://www.blogger.com/profile/17477848666554654279noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-71115769549215345982015-02-13T02:29:44.085+01:002015-02-13T02:29:44.085+01:00google no esta utilizando estas medidas para mejor...google no esta utilizando estas medidas para mejorar la internet lo hace para ponerle obstaculos a sus competidores. <br /><br />es bien conocido qu elos hackers utilizan la informacion que google provee atravez de su buscador para obtener las claves e incluso los mismos servidores para de ser necesario descifrarla.<br /><br />pero google conciente de que no posee un SO de escritorio fuerte y no tiene un movil lider en ventas hostiga a sus competidores competidores apesar que hay tantas fallas de seguridad en android -y quizas mas- como en IOS, windows o linux siendo que estos ultimos son mas complejos.<br /><br />si de pronto un policia detiene a delincuentes eso esta bien pero no esta bien cuando el policia hace asu vez juez.<br /><br />no hay problema en encontrar fallos o errores el problema es cuando se usan de forma oscura y para esa oscuridad contratas ladrones de informacion.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-12496284817580937792015-01-30T11:57:11.146+01:002015-01-30T11:57:11.146+01:00@Raúl, como dice el artículo, auditan software de ...@Raúl, como dice el artículo, auditan software de uso propio, así que el beneficio es que el fabricante parchee el software que están utilizando, y deje de tener errores. El problema con el software privado es que aunque hayas encontrado un fallo, no puedes arreglarlo, y tienes que esperar a que lo arregle el fabricante.<br /><br />Por otro lado, me parece bastante correcto esperar 90 días (creo que entre 60 y 90 puede ser un intervalo adecuado. Si el fabricante no va a solucionarlo, los usuarios deberían conocer a lo que se exponen, porque es muy probable que "los chicos malos" ya conozcan el bug o lo vayan a descubrir en un futuro cercano.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-26345972365120233332015-01-27T23:36:06.811+01:002015-01-27T23:36:06.811+01:00¿Que beneficio trae que Google publique después de...¿Que beneficio trae que Google publique después de 90 días, una POC de la vulnerabilidad?<br /><br />A los delincuentes que crean malware y exploits kits seguro que les ahorra trabajo y los pone al tanto de vulnerabilidades para explotar, ellos contentos. <br />Pero ¿A quien más beneficia GPZ?<br /><br />A mi modo de ver es una irresponsabilidad y facilita un daño más grande, el que genera Google Project Zero. <br /><br />El tema de notificar y divulgar vulnerabilidades no es sencillo, pero este definitivamente es, para mi, el camino equivocado.- Raúl -https://www.blogger.com/profile/10264074768574532715noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-71899777048578812402015-01-27T09:18:55.870+01:002015-01-27T09:18:55.870+01:00Entre mas publico sean los 0day mejor, asi ques em...Entre mas publico sean los 0day mejor, asi ques emrpesas empiezan a preocuparse en serio por la seguridad, y los malos podemos aprovecharnos de paso.bnmmnbnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-9623178685512871522015-01-26T15:21:05.325+01:002015-01-26T15:21:05.325+01:00Espero que este post no hubiera tenido nada que ve...Espero que este post no hubiera tenido nada que ver con que Microsoft se enfada con google porque le han sonrojado la cara:<br />http://barrapunto.com/articles/15/01/26/1343201.shtmlAnonymousnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-22261809248529996242015-01-26T14:59:23.524+01:002015-01-26T14:59:23.524+01:00Yo entiendo que las empresas exigen que no se haga...Yo entiendo que las empresas exigen que no se hagan públicas las cagadas que vendieron al público. ¿Es así? Si es así que se pongan las pilas.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-6787431721413861002015-01-26T01:14:43.714+01:002015-01-26T01:14:43.714+01:00Tres opiniones sobre este debate:
1) La no revelac...Tres opiniones sobre este debate:<br />1) La no revelación de vulnerabilidades no es una opción, especialmente cuando gracias a Snowden sabemos que hay agencias de espionaje que utilizan estas vulnerabilidades para realizar espionaje masivo. El silencio equivale a complicidad.<br />2) El período de tiempo que elige Google para sus revelaciones, 90 días, me parece una cantidad deliberadamente grande como para que nadie se queje. Recuerdo haber visto este mismo mes una noticia en que la administración estadounidense definía un período de 30 días para revelar vulnerabilidades.<br />3) Y dicho todo esto... no me cabe duda de que el Project Zero es una tocada de pelotas por parte de Google y sólo se entiende como parte de la guerra entre empresas que mantiene.Ignacio Agullóhttp://www.grafotema.com/agullo/index.es.htmlnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-33016414473375603382015-01-26T00:18:44.394+01:002015-01-26T00:18:44.394+01:00ah! y otra cosa...
dejad de habar como si TODOs l...ah! y otra cosa...<br /><br />dejad de habar como si TODOs los usuarios fueran avanzados y pudieran hacerse un self service de administracion de sistemas y de su seguridad, cambiando de software, reconfigurandolo, etc etc.<br /><br />no hay mayor error para partir de un discurso, que ese.<br /><br />la gente tiene una vida y hace otras cosas con el software y los sistemas, y le pese a quien le pese nuestras estrategias (si somos profesionales de verdad) deben ir orientadas a protegerlos a todos aun cuando sean usuarios no experimentados.Alister Amohttps://www.blogger.com/profile/17477848666554654279noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-82911238602095310172015-01-26T00:04:06.608+01:002015-01-26T00:04:06.608+01:00No es tan simple. ¿Cuanto te crees que se tarda (y...No es tan simple. ¿Cuanto te crees que se tarda (y cuanto cuesta) en desplegar un nuevo software? Y si es un sistema operativo, es un infierno aun mayor. Y solo hablo del despliegue, piensa en el coste de las licencias. Ahora le sumas las incompatibilidades con el hardware, con el software existente y rezas para que no se te salga de la capacidad de la calculadora.acerswaphttps://www.blogger.com/profile/16738593743492601786noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-5720268533885555752015-01-25T23:57:05.223+01:002015-01-25T23:57:05.223+01:00hay mucha inmadurez profesional en el sector de la...hay mucha inmadurez profesional en el sector de la seguridad. parece nos que miramos mucho el ombligo y que todo está justificado para hacer nuestro "trabajo".<br /><br />la seguridad y la estabilidad de los productos y servicios pasa por sopesar todas las opciones y tratarlas adecuadamente de forma profesional y tratando de defender el ecosistema, no tratando de atacar al desarrollador y ningunearlo como si estuvieramos por encima de él, porque si no has desarrollado ni servicios ni productos ni negocios, es my facil criticar desde fuera.<br /><br />veréis, os guste o no, no podemos forzar a ninguna a empresa a que nos pague por un servicio que no te ha pedido. si quereis ganaros la vida profesionalmente buscando problemas de seguridad, buscaros una empresa que os pague por buscar esos problemas en sus programas y sistemas. yo lo hago para una entidad bancaria y eso es lo que justifica mi sueldo, y tanto contento, oye!<br /><br />eso lo hago por obligacion profesional pero me permite hacer lo que quiero hacer para ganarme bien la vida.<br /><br />pero si ademas soy usuario de otros programas que me gustan, mi manera de darles soporte, (sean software libre o privativo, me da igual siempre que no me traten a patadas por reportar), es aportando los bugs que descubro, sabiendo que con eso estoy contribuyendo a una buena causa porque por muy bien pagados que puedan llegar a estar algunos equipos de desarrollo, los productos tienen errores (gran ejemplo, los navegadores).<br /><br />eso es lo que en mi opinion diferencia a una persona realmente concienciada y profesionalizada dentro de la causa de la seguridad, de una persona que quiere ir corriendo a ponerse la medalla y a destruir un ecosistema que tiene un equilibrio complejo en un marco y un ecosistema que en realidad pocos comprenden en su totalidad.<br /><br />y si os poneis peseteros, dad gracias de que existen los bug bountys para muchos de esos casos, en los que os pagan dinero y por tanto estan abiertos oficialmente a recompensaros por ello.<br /><br />tan dificil es de entender?<br /><br />si estuviésemos hablando de las cerraduras de vuestras casas y cada tres meses algun "profesional" os la abriera gratuitamente mientras estais de vacaciones para "ilustraros y haceros el favor" de descubriros un problema en ellas, seguramente estariais poniendo el grito en el cielo.<br /><br />menos hipocresia y mas pensar como grupo, como especia, y como profesionales dentro de un ecosistema que no es el ombligo del mundo.Alister Amohttps://www.blogger.com/profile/17477848666554654279noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-92134669001715596242015-01-25T21:27:57.710+01:002015-01-25T21:27:57.710+01:00En el momento en el que se descubre un bug debe re...En el momento en el que se descubre un bug debe revelarse para que los usuarios puedan reaccionar a la amenaza.<br />Que el desarrollador tarde demasiado en solucionarlo es problema suyo, mientras la gente migra a software más seguro.<br />Es una evolución de lo más natural. ¿A qué viene tanto escándalo?Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-57132496739991984952015-01-25T20:57:23.454+01:002015-01-25T20:57:23.454+01:00@Langos1989
Un usuario siempre debe ser conscient...@Langos1989<br /><br />Un usuario siempre debe ser consciente de que existen fallos. Si como usuario no consideras esa afirmación te la van a colar de la misma manera que si no cuentas el cambio al comprar. Eso si, ¿te beneficia que TODOS sepan el fallo que existe y como atacarlo?<br /><br />A mi me da mas confianza pensar que el desarrollador esta informado de lo que se encuentra y que los atacantes puede que sean conscientes del fallo o que no lo sean que el pensar que todo dios conoce la existencia del fallo y como explotarlo.acerswaphttps://www.blogger.com/profile/16738593743492601786noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-70933219394571490952015-01-25T20:44:45.742+01:002015-01-25T20:44:45.742+01:00@acerswap entonces tu manera de tener seguro al us...@acerswap entonces tu manera de tener seguro al usuario es no diciéndole que está usando sistemas inseguros? Pues yo como usuario prefiero que se me comunique, que afortunadamente en el mundo de la informática hay varias opciones para casi todo. Si me dicen que un navegador tiene un bug que lo hace inseguro pues me puedo instalar otro mientras actualizan o si no les da la gana de sacar otro. Lo mismo con un Sistema Operativo como es el caso. Si nadie me dice los bugs yo sigo tan tranquilo pensando que todo está bien hasta que algún día me lleve el susto.<br /><br />Para mi gusto lo mejor sería que se comunicara a los desarrolladores y se les diera un pequeño plazo variable según el nivel de riesgo y la complejidad para solucionarlo, a la vez avisar públicamente que ese software tiene un fallo pero sin especificar y finalmente, una vez cumplido el plazo, notificarlo.<br /><br />Pd.: si un software fuera perfectamente seguro no interesaría a las empresas de antivirus o firewall porque no venderían, por lo que no esperes presión por su parte.Langos1989https://www.blogger.com/profile/03917034929787708062noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-80870921317540365682015-01-25T19:56:16.368+01:002015-01-25T19:56:16.368+01:00Lo que hace google creo que es lo correcto, 90 día...Lo que hace google creo que es lo correcto, 90 días son suficientes y no pones en peligro los usuarios.<br /><br />Pero yo no soy google ni tengo tanto dinero, y teniendo en cuenta quién es el comete el error (no es lo mismo Google o Microsoft que una pequeña empresa) no comunicaría el error al desarrolador en el caso de una gran empresa. Intentaría sacarle algún partido, dinero mejor.<br /><br />NO MORE FREE BUGS.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-90247668921643291102015-01-25T17:51:33.415+01:002015-01-25T17:51:33.415+01:00Yo estoy en contra de revelarlo. Si se detecta un ...Yo estoy en contra de revelarlo. Si se detecta un fallo debe notificarse exclusivamente al desarrollador, puesto que hacerlo publico pone en riesgo a todos los usuarios de ese software, y desde luego no me parece etico.<br /><br />¿Que ocurre si el desarrollador no se da por aludido? Pues se notifica a las empresas de seguridad (fabricantes de antivirus, de firewalls...) para que hagan presión o se encarguen de proteger a los usuarios (aunque el desarrollador no lo haga). La etica obliga a proteger al usuario, no a atacar a la empresa.<br /><br />Aunque no se puede confiar en la seguridad por ocultación, el revelar los fallos no hace un software mas seguro.acerswaphttps://www.blogger.com/profile/16738593743492601786noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-84893307172016982972015-01-25T14:03:09.827+01:002015-01-25T14:03:09.827+01:00Puesto que las empresas de software privativo VEND...Puesto que las empresas de software privativo VENDE software y vive de ello ¿por qué iban los hackers a descubrir el bug e informar a los desarrolladores?<br />Casi nunca dan ni las gracias, convirtiendo el Responsive Disclosure en el Pardillo Disclosure.<br />Si esto se convierte en una encuesta mi respuesta es: Que se jodan.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-15045691013415731212015-01-25T13:23:46.376+01:002015-01-25T13:23:46.376+01:00Como bien dice el artículo que se comunique un bug...Como bien dice el artículo que se comunique un bug no quiere decir que nadie lo haya descubierto y lo esté usando ya para sus propios fines. Si Google dice que lo comunica y a los 90 días lo hace público tiene que hacerlo porque sino cae su credibilidad. Si dijera "hoy te lo digo y mañana lo publico" pues hombre, ahí no hay tiempo de hacer un parche en condiciones ni nada, pero si 90 días para una empresa gigante como es Microsoft no son suficientes pues queda demostrado que son unos vagos o unos incompetentes o unos tacaños (puede que varias opciones de esas a la vez).<br /><br />Para terminar creo que 90 días es un tiempo excesivo. Creo que se debería dar mucho menos tiempo o incluso que se comunicara abiertamente (casi me inclino más a esta última posibilidad). Además cabe destacar que cuando se comunica el bug bajo divulgación responsable somos humanos que se comunican con otros humanos y puede que haya empleados poco éticos que decidan aprovecharlo con lo cual el riesgo es muy muy grande.<br /><br />Saludos!Langos1989https://www.blogger.com/profile/03917034929787708062noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-3786285950055126982015-01-25T07:44:23.690+01:002015-01-25T07:44:23.690+01:00geohot hace tiempo que dejo googlegeohot hace tiempo que dejo googleAnonymousnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-3079871014109493942015-01-25T05:13:18.394+01:002015-01-25T05:13:18.394+01:00Yo creo que las empresas deberían invertir más en ...Yo creo que las empresas deberían invertir más en su seguridad, al hacer público un bug, es posible que se se haga presión social hacia la empresa porque ahora sus clientes "saben" que su información o el producto que compraron puede estar comprometido y luego entonces la empresa puede perder clientes o perder(o invertir) dinero porque se ve obligada de alguna manera a parchar su software.<br /><br />De alguna forma se ven obligada porque el gigante de la Internet pareciera que tiene un juicio inapelable acerca de lo que dice o hace (aunque, un bug es un bug).<br /><br /><br />Estoy de acuerdo con que se hagan público los bugs, porque esto obliga a la empresa que tuvo el fallo a darle más importancia a la seguridad de sus productos y también porque eso hace al consumidor del productor a estar atento y exigir un producto "más o menos" de calidad con respecto a la seguridad de su información.<br /><br />Aunque, al hacerlo público, también comprometa la seguridad del software.Juliohttps://www.blogger.com/profile/14926762643873245866noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-82421045057574735382015-01-25T04:53:17.534+01:002015-01-25T04:53:17.534+01:00Leyendo algunos comentarios pienso que los escribe...Leyendo algunos comentarios pienso que los escriben adolescentes, o por lo menos, con poca experiencia laboral y desde luego un alto ego. Suerte que no todos son así.<br /><br />Los programadores cometen errores porque son personas, y las personas fallan mucho. Partiendo de que un programa de suficiente complejidad contendrá numerosos errores (esto se explica el primer día de un curso básico de programación) debemos pensar cómo trataremos los errores.<br /><br />90 días parece razonable para que a las empresas les de tiempo a solucionar los problemas, aunque debemos saber que no todos los problemas son iguales y podrían no ser suficiente 90 días. Con una comunicación fluída entre el descubridor del error y el responsable de solucionarlo se podría aumentar esa ventana de tiempo: no es lo mismo un simple error de inyección SQL que un problema en el Kernel de un SO que afecte a numerosos subsitemas críticos.<br /><br />Lo del full disclousure, o como dice uno aquí uno "si encuentro un error te jodes" no me parece más que uno excusa para desprestigiar a una empresa, o para "fastidiar" a alguien, ya que todo programa va a contener un número grande de errores, no importa de qué empresa sea. No me parece moral no ético, aunque está en su derecho.<br /><br />Lo que me parece censurable es poner la excusa de la seguriidad de los usuarios para para poder publicar un error sin haber avisado a los desarrolladores. El full disclousures deja a los usuarios indefensos a cualquiera y desde a un número mayor de potenciales explotadores del fallo que si no se hubiera publicado.<br /><br />El problema de los errores, en general no es un problema de que una empresa sea mejor que otra haciendo tal o cual programa, hablando en términos generales.<br /><br />Cuando hay un concurso para detectar errores en algún programa, como los que se convocan para los navegadores SIEMPRE se encuentra muchos en TODOS los navegadores de todas las plataformas. ¿Qué hacemos ahí? ¿Tiramamos a la basura todos los navegadores? ¿Tiramos todos el software? Todo programa tiene errores.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-49683553183461410952015-01-25T02:18:48.804+01:002015-01-25T02:18:48.804+01:00El Responsive Disclosure sólo es una forma de &quo...El Responsive Disclosure sólo es una forma de "cuidado al negocio del software".<br />Si el software propietario tarda más que el abierto en actualizarse, dejándolo en el banquillo, no es ninguna irresponsabilidad, sino humanidad.<br />La propiedad intelectual no existe, porque la humanidad es un intelecto colectivo.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-81578394562336737542015-01-24T16:42:06.899+01:002015-01-24T16:42:06.899+01:00creo que ciertas actitudes, generadas en el mas pr...creo que ciertas actitudes, generadas en el mas profundo aislamiento y cero empatia, no son nada edificantes.<br /><br />lo primero es separar las consecuencias del tratamiento de la seguridad, que se desglosan en el impacto sobre el usuario y en el imapcto sobre la empresa.<br /><br />impacto para la empresa: si esta es una empresa con ciertos valores, intentará mantener una relacion esuerzo beneficio riesgo en sus procesos de desarrollo de software y servicios. hacer una aplicacion auditada y revisada hasta el absurdo, con triple check, con miles de sistemas y procesos, y por la cual tenemos que duplicar su precio, no seria inteligente, y muchos de esos conspiranoicos que meten a todas las empresas en el mismmo saco y las tachan de despreoccupadas por la seguridad, son los mismos que luego juzgan los productos o servicios X e Y porque son "muy caros".<br /><br />para hacer una cura de humildad, llevar una pyme de desarrollo de software durante unos añitos, con la realidad áspera de los números y de la hostilidad/hipocresia del mercado, es una experiencia que creo que todo el mundo deberia vivir o por lo menos pararse a imaginar antes de juzgar a todo el tejido empresarial argumentando los mismos mantras paranoicos de siempre contra las "big four", que para mas inri no tienen por qué se representativas.<br /><br />impacto para el usuario: el full disclosure potencia la delincencia en masa en algunos casos, minimizando la seguridad en lugar de fomentarla. ¿tenemos todos claro el objetivo? o queremos correr a ponernos medallas y decir "aqui estoy yo y soy el mejor porque he descubierto esto?"<br /><br />el tiempo límite debe existir para las empresas, y es necesario "obligarlas" con una politica de disclosure estricta, pero esta debe ser acorde al tamaño de la empresa, a su cultura, y a sus recursos, cosa que por norma general no le importa a nadie del sector; resolver un bug urgente en un software de una pyme puede partirla en dos y eso no quiere decir que sean unos incompetentes ni que deban irse todos a la calle, solo quiere decir que son humanos y que su margen de operativa es estrecho. <br /><br />trabajo para la seguridad de la banca y he comprobado que ni siquera aqui, con todos los recursos que tenemos, somos perfectos. y si hubiera un problema todos nos pediriais por favor que el descubridor se callara la boca en publico porque en los tres o cuatro dias que se tardara en resolver en el peor de los casos, una cuenta bancaria que podria ser la tuya acabaria a cero, y por supuesto el banco no asumiria todo ese desperfecto causado por la gestión irresponsable de un tercero (sí en parte, pero no todo, porque no puedes castigar a la gente por ser humana)<br /><br />luego, hay cierta hipocresia en los discursos habituales. a veces decimos que los bugs de heartbleed y shellshock fueron posibles porque el codigo abierto es una mierd*, porque no hay empresas privadas detrás que inviertan recursos "de los buenos" en hacer las cosas, y bla bla bla.<br /><br />luego se puede leer el ataque contra las grandes compañias de software diciendo que no les preocupa la seguridad.<br /><br />y luego te acabas encontrando con gente que dice que bugs como el de openssl es la prueba fehaciente de la "pereza" de los desarrolladores.<br /><br />el codigo abierto muchas veces se entrega "as is" asi que a los desasrrolladores, que son humanos y que trabajan de forma altruista, sinceramente, si la gente los empieza a criticar porque han cometido errores en el codigo, te van a responer un muy merecido:<br /><br />"háztelo tú mejor".Alister Amohttps://www.blogger.com/profile/17477848666554654279noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-43643865318628892942015-01-24T16:21:05.378+01:002015-01-24T16:21:05.378+01:00Si descubro un bug en TU programa, te jodes. Así d...Si descubro un bug en TU programa, te jodes. Así de fácil. Si es habitual encontrar fallos de seguridad en el software que vendes no tardará tenerse en cuenta en la calidad de tus productos.<br />¿Alguna duda más?Anonymousnoreply@blogger.com