Random IRC quote :      <madalenasbuenas> preguntate ke has hecho tu por el assembler

Tres Por Ciento.

Hay un artículo en darkreading de un puto cherif de la seguridad, Peter Tippett. Hay algunas cosas que me han llamado la atención ya que no estoy muy de acuerdo. En esto de la IT Security cuando alguien se inclina hacia un lado u otro dando opiniones más subjetivas que objetivas creo que no lo hace gratuitamente. Todo tiene un objetivo. Marketing lo suelen llamar…

En cualquier caso, aunque yo no soy nadie para rebatir o cuestionar opiniones de un tio que ya estaba programando cuando yo aun no había nacido, hay cosas que me parecen pura demagogia. Por ejemplo:

For example, today’s security industry focuses way too much time on vulnerability research, testing, and patching, Tippett suggested. «Only 3 percent of the vulnerabilities that are discovered are ever exploited,»

¿Qué tipo de argumento es ese? Aunque sólo el 0.02% de las vulnerabilidades que se publican (98% morralla pura) se explotara, debido a las características del mercado ese 0.02% podría afectar a más del 90% de los ordenadores. No tiene sentido hablar de porcentajes en una cuestión como esta. Es como si decimos, bueno para que nos vamos a preocupar de las mutaciones en los genes ya que sólo una ínfima parte muta alguna vez. Pues sólamente hace falta un 0,000001% defectuoso para que estés bien jodido.Al igual que sólo hace falta una vulnerabilidad chunga para petarte toda la red de una empresa o ¿Qué seriedad tendría hablar de en términos de % de incidentes en sistemas SCADA ?
– «No bueno es que sólo el 0.1% de las centrales nucleares han sido atacadas…»

Y ya no digo más, ale.

6 Comentarios para “Tres Por Ciento.”

  1. ash
    Comment por ash | 02/07/08 at 7:33 pm

    Ese Ru!

    Estoy completamente de acuerdo. La última vez que alguien se metió con un sistema SCADA en serio, salió volando un cacho gordo de Siberia!

    Trabajo todos los días con la seguridad de empresas que tienen tanto servidores «comunes» como sistemas SCADA y, para serte sincero, me procuparía mucho más una vuln en un sistema SCADA que 40 en un IIS!

    No es cuestión de porcentajes, hay muchos más factores que influyen en la «peligrosidad» de una vuln.

    S2

  2. Comment por Miguel | 02/07/08 at 7:44 pm

    /**

    No puedo estar mas de acuerdo contigo.

    Además, aunque en el mundo de la seguridad informática el que un bug sea explotable o no es sumamente importante, existen puntos de vista diferentes, como el de los equipos de desarrollo, para los que en teoría todo bug, sin excepción, debe ser corregido.
    Si no, ¿Qué tipo de metodología estamos intentando defender?

    **/

  3. Comment por Zohiartze Herce | 02/08/08 at 4:33 pm

    Uhmm,

    El articulo no es del tal Tippett, aunque lo único que hace su autor (un tal «Tim Wilson») es transcribir algo que Tippett dijo. Vamos, un gran merito por parte del autor del articulo, que supongo no debe ser más que un personaje de alguna empresa de relaciones publicas a la que Tippett paga los correspondientes honorarios.

    Creo que Tippett se refiere a que el dinero que se gasta en seguridad no se esta invirtiendo inteligentemente. Es decir, se invierte mucho en el ciclo de vida de las vulnerabilidades y esto trae una rentabilidad desde el punto de vista de la seguridad. Pero en cambio, con una inversión menor en otro tipo de aspectos de la seguridad, la rentabilidad concerniente a la seguridad, podría ser mayor.

    Esto no se refiere a las compañias AV y demas, que estan obligadas a desarrollar productos con el menor numero de vulns posible y a correjirlos rapidamente cuando se descubrá alguna, si no más bien a las empresas que pagan por estos productos.

    Por ejemplo, ¿que considerais más rentable en aspectos de seguridad, invertir en todo tipo de productos como AVs, firewalls, etc… o invertir en auditorias periodicas? Desde luego ambas cosas son complementarias, pero es que si tienes un firewall y lo tienes mal configurado de que te vale… ¿O de que vale tener un AV si luego tienes en los servidores las contraseñas por defecto?

    Y antes de que os lanceis a mi cuello, que os conozco, decir que ni estoy de acuerdo ni en desacuerdo con Tippett, solamente pienso que se puede interpretar el articulo de otra manera. Aunque la verdad es que los ejemplos que pone no me parecen más que falacias (AKA «fallacia non causae») y por lo tanto me la pela tanto como lo que dicen los politicos.

    All rights reserved, no me toqueis los post que os denuncio a la SGAE…

  4. Comment por Ruben | 02/08/08 at 5:07 pm

    Gud mornin Mrs Herce.

    Yo lo que he planteado no es el fondo de la cuestión sino las formas. Si quieres defender un proyecto alternativo, no vale defenderlo a toda costa. Da igual a lo que se refiera reálmente Tippet, sea lo que sea, si quiere hacerlo creible no puede usar los argumentos que da.
    Y en cuanto a la rentabilidad, pues teniendo en cuenta el daño que puede causar una única vulnerabilidad explotada existósamente, creo que están justificados los gastos. Y ahora la gente dirá,

    «¡Claro eso lo dices porque tu vives de eso hijodeputa!, estás haciendo lo que criticas; arrimarte el ascua a tu sardina, ¡¡tu sardina está tan cerca del ascua que se está chamuscando!!»

    Pues no, porque ahí están los datos, los incidentes y todo documentado para que cualquiera pueda ver las perdidas que se producen debido a estas movidas. Creo que las empresas no están por regalar el dinero alégremente, si hay una fuerte inversión en eso es por algo. Ojo, no estoy diciendo que no haya que avanzar e innovar en otros sentidos ( en breve lo veréis… ) pero tampoco hay que olvidar otros que se ha demostrado que no pueden ser obviados.

    Ese es mi punto de vista y si no estás de acuerdo, probáblemente intentaré matarte.

    Sin más, tenga usted un buen día ( y cuidado con peer xDD)

  5. Comment por Zohiartze Herce | 02/08/08 at 5:35 pm

    El caso es que en el fondo estamos mas o menos de acuerdo. Las formas que emplea Tippett son las de un politico: no importa lo que se dice, sino como se dice. Y por lo tanto, que le fuking. Y digo que le fuking pese a que no he leido nada más escrito por él y reconozco que es una persona más respetable que servidor. Pero que le fuking de todos modos, no se puede ir asi por la vida. Y si vas asi por la vida, pues que te fuking, copon.

    Una única vulnerabilidad puede ser realmente grave, pero seguramente es igual de grave una password por defecto. Entre protegerse contra una nueva vuln, o cambiar las pass por defecto (por poner un ejemplo), sale más barato lo segundo y seguramente te proteja de un número mayor de ataques. Y repito que lo de la pass por defecto es solo un ejemplo que hay que llevar a lo genérico, como configurar bien los firewall etc… Hasta aqui lo que servidor a entendido que explica el tal Tippett a su manera. Pero estamos de acuerdo en que en realidad, ambos aspectos deben ser tenidos en cuenta, aunque puede que haya empresas a las que no les llegue el presupuesto para todo y tengan que elegir.

    Bueno, que os fuking a ti y a tu colega peer tambien x)

  6. Comment por Ruben | 02/08/08 at 5:46 pm

    Hemos razonado como personas cabales para llegar a un punto común.

    Aunque son todo son meras apariencias, no penséis que realmente creemos en lo que decimos.Todo esto no es más que un circo para aumentar las visitas y así poder poner anuncios de adsense.

Se han cerrado los comentarios