Random IRC quote :      * rutkowska mira a matalaz con ojillos de gata hacker <rutkowska> meow

Bugs Associates.

Estos días lo hemos estado comentando, no hay mes que no salgan un par de advisories para algún producto de Computer Associates. No es algo anecdótico, más de 20 advisories llevan en 2007: Ver en Securityfocus

Los bugs afectan a prácticamente todos los productos que tienen en el mercado,recordemos que principalmente son productos de seguridad,backup etc…No se salva nada, todos los puntos calientes donde hay que poner énfasis a la hora de programar de forma segura, vease RPC,daemons, protocolos propietarios, son vulnerables. Pero no es que sean vulnerables por un despiste en un buffer, un off-by-one o lo que sea que nos puede pasar a todos, son vulnerables desde el mismo momento en que fueron programados, vulnerables por diseño. Echadle un ojo a los advisories descubiertos en las interfaces RPC, no tienen desperdicio.

Esto no se puede concebir para una empresa de la dimensión de CA y que ofrece productos de «seguridad». Símple y llánamente, esos productos no pueden haber pasado una auditoria seria, es imposible, o si lo han pasado deberían dedicarse a otra cosa porque se han lucido.

Yo creo que ha habido un «efecto llamada», desde que se empezaron a publicar los primeros bugs, la peña ha visto a CA como un filón y la cosa sigue su curso, eEye ya tiene en la cola otro advisory para CA ARCServe Backup ( ¿Cuántos van ya? ) y ZDI tampoco se queda atrás…

Pero lo que me pregunto es porqué no ha habido un efecto llamada también dentro de la propia CA y se dedican a pegar un buen repaso al código, porque a este paso le van a pagar la jubilación a media comunidad de researchers 🙂

Mi experiencia personal con esta empresa tampoco es para echar cohetes, al informarles de unos bugs en sus drivers ni me contestaron, pese a que se dieron por enterados aunque posteriormente lo negaran. Esto lo sé porque poco después de enviarles el primer mail, recibi varias visitas desde la red de CA. Esperé un tiempo prudencial (dos semanas o así creo recordar) y publiqué los exploits y el advisory en la web, a las pocas horas me escribía el director de seguridad de CA diciendo que no sabían nada…

¿Realmente les importa tan poco la seguridad?,¿ prima más la imagen y mientras que no se descubra pues todo va bien?. Yo creo que en algunas empresas funcionan así, lo malo es que tarde o temprano alguien se fija en tu producto y entonces las cosas pueden empezar a ponerse feas…¿qué opináis vosotros? ¿ alguna anécdota con algún vendor «despistado» ?

3 Comentarios para “Bugs Associates.”

  1. Comment por Mario Ballano | 06/25/07 at 12:56 pm

    Tristemente así es, y lo peor del caso es que hay muchas más empresas que están en la misma situación, aunque de momento no estén notando su precaria situación en temas de seguridad es debido a que no están en las listas de ZDI o iDefense, creo que a alguna le vendría bien sobornar a estas empresas para que no las incluyan porque sino se lo van a pasar piruleta con sus productos xD.

    Por otro lado, el mal trato con la gente de CA es algo que me han comentado más sec. researchers, y es que no les debe hacer ninguna gracia que la gente se saque unas pelas a su costa, pero así es la vida… que se tomen las cosas en serio.

    Un saludo,

  2. ash
    Comment por ash | 06/25/07 at 3:43 pm

    Deberían comprender que colaborar con los researchers les puede dar muchos más beneficios que evitarlos o ignorarlos. Para empezar, si el researcher se encuentra con una compañía colaboradora, se mostrará más dispuesto a ayudarlos, ampliarles la información o incluso a mostrarse más flexible con los plazos y las condiciones de la publicación; lo que , entre otras cosas, mejorará la imagen de la compañía frente a sus propios clientes.

    Estoy seguro de que tanto la compañía como sus clientes prefieren que estos se enteren de la existencia de un problema de seguridad por la compañía (y con un parche ya liberado) que, digamos, por las malas.

    S2

  3. Comment por ruben | 06/26/07 at 8:18 pm

    Pues parece que se ha quedado buen día, y eso que amenazaba lluvia…

Se han cerrado los comentarios