tag:blogger.com,1999:blog-5399811056563385935.post5224891481127545369..comments2023-09-21T14:48:16.670+02:00Comments on Security By Default: ¿Les importa a las empresas las vulnerabilidades reportadas?Yago Jesushttp://www.blogger.com/profile/16830228750771246202noreply@blogger.comBlogger16125tag:blogger.com,1999:blog-5399811056563385935.post-5972489289918203012011-04-05T00:17:53.338+02:002011-04-05T00:17:53.338+02:00@Lorenzo: todo eso que dices suena muy bien, pero ...@Lorenzo: todo eso que dices suena muy bien, pero ponte un poco en el papel del tío que recibe el mail avisando de un agujero de seguridad en su red ... <br><br>Suponiendo que llegue, y suponiendo que se lo lea, que ya es mucho suponer, el tío va a tener que verificar paso a paso que lo que le dicen es correcto, abrir una petición al departamento correspondiente, encargarse de hablar con todo el mundo e incluso puede ser que le toque trabajar a él.<br><br>Y todo esto, ¿para qué?<br><br>El problema de su responsabilidad ya se lo ha quitado de encima haciendo auditorías. NO es culpa suya. Y a nadie le gusta hacer horas extra. Suficiente tiene con preocuparse de sacar todos los certificados pertinentes, revisar logs, contratar auditorías, tener varias reuniones a la semana, atender a representantes de distintos productos ... <br><br>Vamos, que a no ser que te encuentres a alguien totalmente entregado a su trabajo, y cada vez quedan menos, tu aviso de vulnerabilidad va a caer en el olvido ...<br><br>Saludos,eduardo abrilhttp://www.blogger.com/profile/04910242392966620647noreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-5789865852205743762011-04-05T00:17:52.815+02:002011-04-05T00:17:52.815+02:00Ante todo hay que ser responsable. No se que prefe...Ante todo hay que ser responsable. No se que preferiria que me notificase una persona un bug, o hacerme el loco y ser responsable de robo de información corporativa, o un defacement. No creo que eso de buena imagen. Por eso como en todo tiene que haber personas cualificadas para desarrollar puestos de trabajo. El tiempo que no han invertido en evitar los posibles fallos, que los inviertan en arreglarlos. Ahora me vas a decir que entre capitulo y capitulo de muchachada nui no podian haber subsanado el error :DAnonymousnoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-37636302778352004782011-04-05T00:17:51.181+02:002011-04-05T00:17:51.181+02:00En mi caso, siempre reporto los fallos que encuent...En mi caso, siempre reporto los fallos que encuentro y en el 80% de los casos no obtengo respuesta alguna. De las ultimas que notifique me hicieron perder un empleo. ¿Porque? Estaba en un proceso de selección para una empresa bastante conocida, encargado para la gestión de DNS. SOLO con información publica hice un esquema de red y de los fallos de las versiones no actualizadas (DNS Cache poisoing), y malas configuraciones (sobre todo). Les envie estos problemas a la empresa para que lo tomasen como algo valorable y me costo el posible empleo. A la persona que se lo envie no le sento muy bien que alguien le comunicase que sus servicios estaban mal, así que me "sugieren" que me busque otra empresa y que si hago esa información publica me costara trabajar en mi ciudad porque como todas son demasiado pequeñas . Así que yo me lo plantearia ya 2 veces.Slaihttp://www.blogger.com/profile/05889205535385764359noreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-43955833148408206272011-04-05T00:17:50.646+02:002011-04-05T00:17:50.646+02:00@Juanma, coincido plenamente contigo. Aunque sea d...@Juanma, coincido plenamente contigo. Aunque sea desde que empiezan a procesar la vulnerabilidad, por lo menos un "Nos ponemos con ello. Gracias" No cuesta nada y quedas hasta bien (las respuestas automáticas al minuto de haber notificado no cuentan eh?) <br><br>@tkanomi -> Lo que planteas sería lo deseable. Desgraciadamente hay gente que o no tiene educación o no tiene gratitud.<br><br>@Zerial -> El problema es que si no las reportas, éticamente no es correcto aprovecharte de fallos de una web para obtener un beneficio (por ejemplo: amueblar gratis tu casa o subir el saldo de puntos de tu móvil, ganar en un casino online, etc...) Sin embargo, si reportas muchos bugs, alguno te contestarán de forma agradable dándote las gracias al menos no? Esperemos que siga compensando :D<br><br>@Slai -> Lo que te pasó a tí fue demasiado. Por la naturaleza de mi actividad laboral actual, antes de ir a un posible cliente, suelo echar un vistazo a la web, ver qué tipo de servidores emplean, y en general y muy muy por encima el estado global. El objetivo es hacer hincapié en la última vulnerabilidad de Apache o de IIS o de.... según lo que vea que tengan, para poderles hacer sentir identificados. En general no se suelen mosquear en exceso, pero claro, siempre hay excepciones como lo que cuentas. <br><br>@Julio Jaime -> gracias por la felicitación. Muy interesante tu postura, aunque aquí entra otro factor. ¿Qué tiempo es prudencial para esperar antes de hacer pública una vulnerabilidad? incluso habiéndola reportado, creo que si no hay respuesta, no es adecuado publicarla. Creo que si hay respuesta pero es un "nos da igual, no vamos a repararla porque no nos afecta", entonces ahí (o si ha sido parcheada) sería viable el publicarlaLorenzo Martínezhttp://www.blogger.com/profile/01754634415587750581noreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-64401064733808709152011-04-05T00:17:50.332+02:002011-04-05T00:17:50.332+02:00yo no encontre vulnerabilidades en empresas import...yo no encontre vulnerabilidades en empresas importantes (habia una de hosting y otra de programación, pero comparadas con lo que postean ustedes no existen). En las webs comunes solo me respondieron una vez agradeciendo. El resto no me contestó, aunque algunos lo arreglaron>> s E t H <<http://www.blogger.com/profile/15727872146507247892noreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-41948387446455931632009-05-19T19:32:00.000+02:002009-05-19T19:32:00.000+02:00yo no encontre vulnerabilidades en empresas import...yo no encontre vulnerabilidades en empresas importantes (habia una de hosting y otra de programación, pero comparadas con lo que postean ustedes no existen). En las webs comunes solo me respondieron una vez agradeciendo. El resto no me contestó, aunque algunos lo arreglaron>> s E t H <<https://www.blogger.com/profile/15727872146507247892noreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-76209594523429342272009-05-19T19:15:00.000+02:002009-05-19T19:15:00.000+02:00@Juanma, coincido plenamente contigo. Aunque sea d...@Juanma, coincido plenamente contigo. Aunque sea desde que empiezan a procesar la vulnerabilidad, por lo menos un "Nos ponemos con ello. Gracias" No cuesta nada y quedas hasta bien (las respuestas automáticas al minuto de haber notificado no cuentan eh?) <br /><br />@tkanomi -> Lo que planteas sería lo deseable. Desgraciadamente hay gente que o no tiene educación o no tiene gratitud.<br /><br />@Zerial -> El problema es que si no las reportas, éticamente no es correcto aprovecharte de fallos de una web para obtener un beneficio (por ejemplo: amueblar gratis tu casa o subir el saldo de puntos de tu móvil, ganar en un casino online, etc...) Sin embargo, si reportas muchos bugs, alguno te contestarán de forma agradable dándote las gracias al menos no? Esperemos que siga compensando :D<br /><br />@Slai -> Lo que te pasó a tí fue demasiado. Por la naturaleza de mi actividad laboral actual, antes de ir a un posible cliente, suelo echar un vistazo a la web, ver qué tipo de servidores emplean, y en general y muy muy por encima el estado global. El objetivo es hacer hincapié en la última vulnerabilidad de Apache o de IIS o de.... según lo que vea que tengan, para poderles hacer sentir identificados. En general no se suelen mosquear en exceso, pero claro, siempre hay excepciones como lo que cuentas. <br /><br />@Julio Jaime -> gracias por la felicitación. Muy interesante tu postura, aunque aquí entra otro factor. ¿Qué tiempo es prudencial para esperar antes de hacer pública una vulnerabilidad? incluso habiéndola reportado, creo que si no hay respuesta, no es adecuado publicarla. Creo que si hay respuesta pero es un "nos da igual, no vamos a repararla porque no nos afecta", entonces ahí (o si ha sido parcheada) sería viable el publicarlaLorenzo Martínezhttps://www.blogger.com/profile/01754634415587750581noreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-9803173692674336812009-05-19T17:02:00.000+02:002009-05-19T17:02:00.000+02:00Hola, antes que nada los felicito por el blog.
Yo...Hola, antes que nada los felicito por el blog.<br /><br />Yo estaba pensando escribir un post similar a este en mi sitio, de hecho creo que hasta encuentro este tipo de situaciones, encontrar un problema y reportarlo, como enviar un mensaje en una botella. Con suerte alguien lo lee , lo encuentra interesante y responde.<br /><br />Hace cerca de tres semanas atras encontré, varias vulnerabilidades en un sitio de Cisco, lo reporte al PSIRT y al otro dia recibi la respuesta.<br /><br />Aun no lo solucionaron, y tengo mis dudas que lo hagan. Cuando creo que un problema puede afectar a terceros, creo que es valido esperar un tiempo prudencial y después hacerlo publico.<br /><br />Piensen que hace pocas semanas atras McAfee tenia varios problemas de XSS en su sitio y luego de varias denuncias y cuando ya fue publico en varios sitios, se dignaron a repararlo.<br /><br />Concuerdo que de acuerdo al tamaño de la empresa y el impacto, la respuesta puede variar. Pero yo tengo la sensación que hoy en dia, las empresas en general tienen la costumbre de las avestruces.<br /><br />Slds.Julio Jaimehttps://www.blogger.com/profile/06263862373506160659noreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-50339261679811756072009-05-19T16:16:00.000+02:002009-05-19T16:16:00.000+02:00En mi caso, siempre reporto los fallos que encuent...En mi caso, siempre reporto los fallos que encuentro y en el 80% de los casos no obtengo respuesta alguna. De las ultimas que notifique me hicieron perder un empleo. ¿Porque? Estaba en un proceso de selección para una empresa bastante conocida, encargado para la gestión de DNS. SOLO con información publica hice un esquema de red y de los fallos de las versiones no actualizadas (DNS Cache poisoing), y malas configuraciones (sobre todo). Les envie estos problemas a la empresa para que lo tomasen como algo valorable y me costo el posible empleo. A la persona que se lo envie no le sento muy bien que alguien le comunicase que sus servicios estaban mal, así que me "sugieren" que me busque otra empresa y que si hago esa información publica me costara trabajar en mi ciudad porque como todas son demasiado pequeñas . Así que yo me lo plantearia ya 2 veces.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-79846825880369163062009-05-19T15:52:00.000+02:002009-05-19T15:52:00.000+02:00Yo he tenido experiencias similares. Me ha tocado ...Yo he tenido experiencias similares. Me ha tocado reportar distintos fallos y vulnerabilidades a distintas empresas. Me doy el trabajo de contactarlos para que corrigan el error y no recibo ninguna respuesta, ni si quiera un gracias. Y posteriormente, como a los 3 o 4 meses, misteriosamente, esa vulnerabilidad aparece corregida. Llega un punto en que me pregunto ¿Vale la pena reportarlas?Zerialhttp://blog.zerial.orgnoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-30895983508271110362009-05-19T15:47:00.000+02:002009-05-19T15:47:00.000+02:00@lorenzo -> Tienes razón. Un responsable sea de...@lorenzo -> Tienes razón. Un responsable sea de lo que sea ante una notificación de seguridad tiene que arreglarla, no vale mirar para otro lado. En seguridad o por lo menos eso creo yo, es una profesión, es decir uno es profesional ante cualquier adversidad y mas si te dedicas a seguridad.<br /><br />En mi caso (como el amigo @Juanma) me encontrado en ambas situaciones. Reportando vulnerabilidades y recibiéndolas y considero agradecer como mínimo a quien te avisa y no las explota.conexioninversahttps://www.blogger.com/profile/13523654065853341780noreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-21435378322490086332009-05-19T14:56:00.000+02:002009-05-19T14:56:00.000+02:00Este comentario ha sido eliminado por el autor.Unknownhttps://www.blogger.com/profile/16035912907493431957noreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-5651972870388737132009-05-19T12:41:00.000+02:002009-05-19T12:41:00.000+02:00Yo me he encontrado en ambas situaciones. Reportan...Yo me he encontrado en ambas situaciones. Reportando vulnerabilidades y recibíendolas. Reportando me he encontrado un poco de todo. HP respondió bien y siguiendo un procedimiento bien montado. IBM en cambio no respondió y el esCERT de la UPC en su día tampoco respondió. Parece increible que organizaciones y empresas que juegan un papel importante en este mundillo no atiendan correctamente este tipo de comunicados pero es así. <br />Personalmente me parece triste que una oficina de seguridad no responda cuando se les está avisando de un problema que les afecta y ofrece una imagen muy pobre en cuanto a conciencia de seguridad.<br /><br />Saludos,<br />JuanmaAnonymousnoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-74315698240128483892009-05-19T11:58:00.000+02:002009-05-19T11:58:00.000+02:00Ante todo hay que ser responsable. No se que prefe...Ante todo hay que ser responsable. No se que preferiria que me notificase una persona un bug, o hacerme el loco y ser responsable de robo de información corporativa, o un defacement. No creo que eso de buena imagen. Por eso como en todo tiene que haber personas cualificadas para desarrollar puestos de trabajo. El tiempo que no han invertido en evitar los posibles fallos, que los inviertan en arreglarlos. Ahora me vas a decir que entre capitulo y capitulo de muchachada nui no podian haber subsanado el error :DAnonymousnoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-31047308310062297532009-05-19T11:27:00.000+02:002009-05-19T11:27:00.000+02:00@Eduardo -> estoy de acuerdo contigo en algunos...@Eduardo -> estoy de acuerdo contigo en algunos puntos, y en otros no. Se supone que la gente tiene ciertas responsabilidades a su cargo. Si la persona que recibe el correo (que en general, suele ser un grupo, un alias a una lista,...) no le hace caso por pereza, para empezar demuestra un nivel de profesionalidad ínfimo y merece irse a la cola del paro. <br /><br />Se supone que un responsable de seguridad que encomienda unas labores a su equipo, entre otras, está el atender los correos que otras personas desinteresadamente envían para notificar fallos, al final, se debería estar agradecido a quien lo notifica y cuanto menos tenerlo en cuenta. Al fin y al cabo el que está trabajando gratis es el notificador. Considéralo como parte gratuita de la auditoría (sin pagar $$$$ por ello) <br /><br />Por otro lado, no sacas nada con gastarte millones en poner puertas blindadas si te dejas la ventana abierta.<br /><br />Un tópico muy cierto es el decir que la fortaleza de una cadena viene dada por el más débil de sus eslabones y en el caso de la seguridad de sistemas se aplica a la perfección.Lorenzo Martínezhttps://www.blogger.com/profile/01754634415587750581noreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-48942506078349265262009-05-19T11:15:00.000+02:002009-05-19T11:15:00.000+02:00@Lorenzo: todo eso que dices suena muy bien, pero ...@Lorenzo: todo eso que dices suena muy bien, pero ponte un poco en el papel del tío que recibe el mail avisando de un agujero de seguridad en su red ... <br /><br />Suponiendo que llegue, y suponiendo que se lo lea, que ya es mucho suponer, el tío va a tener que verificar paso a paso que lo que le dicen es correcto, abrir una petición al departamento correspondiente, encargarse de hablar con todo el mundo e incluso puede ser que le toque trabajar a él.<br /><br />Y todo esto, ¿para qué?<br /><br />El problema de su responsabilidad ya se lo ha quitado de encima haciendo auditorías. NO es culpa suya. Y a nadie le gusta hacer horas extra. Suficiente tiene con preocuparse de sacar todos los certificados pertinentes, revisar logs, contratar auditorías, tener varias reuniones a la semana, atender a representantes de distintos productos ... <br /><br />Vamos, que a no ser que te encuentres a alguien totalmente entregado a su trabajo, y cada vez quedan menos, tu aviso de vulnerabilidad va a caer en el olvido ...<br /><br />Saludos,eduardohttps://www.blogger.com/profile/04910242392966620647noreply@blogger.com