Barrapunto

Cuando ellos sacan un software de baja calidad que pasa que los demas debemos de hacer de betatesters y mandarles los fallos con cuidadito de que nadie lo sepa? Creo en la informacion libre y una vulnerabilidad descubierta ha de ser liberada al publico, para ponerla remedio y para que sepamos a que nos enfrentamos, si se ocultan siempre hay la posibilidad de usarla de forma maligna (Imaginemos que M$ hubiera usado alguna de las ultimas vulnerabilidades para meter parches y de paso, spyware)... Tambien creo en la cortesia y que se ha de avisar al fabricante... pero de ahi a seguir las normas de ellos, porque ellos lo hacen mal...

que pasa cuando el "fabricante" no hace ni caso? Recientemente vimos el caso de YA.com [ya.com] y como el descubridor del fallo se quejaba del caso que le hicieron, hasta que el fallo se hizo publico. Todos esto fallos se reducirían considerablemente si se prestara más atención a la seguridad, pero claro, esto está reñido con los beneficios, tiempos de desarrollo, etc. Sinceramente creo que la única forma de concienciar a las empresas es mediante la publicación de sus fallos, más que nada porque eso hace daño a la "imagen" de empresa, y eso si que preocupa. De todas formas esto no está reñido con el hecho de avisar a los responsables para que esten al tanto...

El enlace a Kriptópolis está mal... Ha salido verisign... ¡y me ha devuelto la dirección más parecida que era el enlace correcto! ¿Tendré que dar las gracias a verisign por la comodidad? :)

Lo de liberar las vulnerabilidades les va bien a casi todos y mal a unos pocos, la liberación de las vulnerabilidades sirve de aviso y en el caso del softwarelibre para que la gente desarrolle el parche adecuado, por ejemplo hace poco salieron los holes del OpenSSH, si no se hubiese avisado muchos hubiesemos dejado la daemon corriendo, gracias al aviso la tiramos para prevenir nuestras maquinas de un posible ataque.
En el caso de que sea una vulnerabilidad en un software de MS no les interesa que se publique para mantener su prestigio y para que sus productos no sean objetivo de ataques, aunque los sysadmins no tengan información y tengan sus equipos totalmente vulnerables.

¿Por qué el software ha de recibir un tratamiento distinto que cualquier otro producto comercial?
Si la marca de alimentos X incluye un ingrediente que resulta ser perjudicial para la salud, ¿tienes la obligación de notificar a la empresa la enfermedad que has cogido sin que se entere nadie para que puedan corregirlo sin dañar su imagen?
Si a determinado modelo de coche se le suele averiar el sistema de frenado cuando menos te lo esperas, ¿te tienes que callar?

Si cualquier producto viene de serie con un fallo por parte del fabricante, ¿no es ser un poco cafre el ocultarlo?
¿No se le debería dar la mayor publicidad posible para que la gente pueda evitar perjuicios por su causa? Por supuesto con publicidad no me refiero a las noticias sensacionalistas de los telediarios en las que cuando hablan de sofware avisan de terribles fallos sin explicar en que condiciones se dan ni como solucionarlos. ¿Os imaginais la que se montaría si un día diesen la noticia de que los refrescos provocan cegera en lugar de especificar que a determinado refresco le han encontrado un componente que la provoca?
Sin embargo resulta de lo mas normal decir que tal o cual virus afecta a TODOS los usuarios de ordenadores aunque solo afecte a los usuarios de determinado programa como sucede cada vez que aparece un nuevo virus para Outlook. Así no se le causa perjuicio a la imagen de ninguna marca, ¿no?

Si alguien fabrica un software defectuoso, y lo tiene mucha gente, me puedo sentir en el derecho de avisar a toda esa gente.

Entiendo que el software propietario tiene que vivir en la falsedad, negando absolutamente todos los fallos y ocultandolos. Pero el resto de la gente no vamos a actuar en su beneficio, vamos. Seria como si cada escandalo politico se ocultara para "no afectar la moral de la gente". Inadmisible.

PERO.

No me parece mal que exista un metodo "cubierto" de revelar fallos, que microsoft o quien sea abiliten, y que permite, al que lo desee, informar del fallo de forma privada. Hay buenos documentos de como informar de fallos [greenend.org.uk].

Lo que se pretende (ocultamente) de criminalizar el denunciar abiertamente un bug de los programs de software propietario me parece un horror.

Vamos, seria como ejecutar sumariamente al niño que dice que el emperador esta desnudo.

En el software libre nunca hubo problemas en este sentido. Cualquier aviso de bug es bien recibido y subsanado lo más rápidamente posible.

Si observamos la lista de fallos hechos públicos y comparamos la lista de software GNU con la lista equivalente de software Windows veremos que se reportan muchos más bugs en el software GNU, y no porque funcione peor.

La clave del desarrollo del software actual pasa por ahí, y no cimentando la seguridad en la ignorancia como pretenden otros.

Si les perjudica como marca es por su manera de lidiar con los errores y de corregirlos, no porque se hagan públicos los fallos, eso siempre fué así y DEBE ser así. El consumidor ya está bastante jodido con la EULA de marras.

Independientemente de que debamos o no Notificar el fallo, personalmente creo que aunque el descubrimiento del fallo es siempre trabajar para la empresa de software entiendo que lo que verdaderamente realizamos con la notificación es dar un aviso a la comunidad. Es como decir oye tu no tenias en la cocina tal cosa??, pues ten cuidado porque aunque la marca te diga que es totalmente segura como venga una subida de tensión dile adios a la cocina.

Esto realmente ocurre, y lo peor es que no hay una relación entre fallo de seguridad y responsabilidad de la empresa de Software. Ninguna empresa pide daños y perjuicios porque en su servidor se ha colado un gusano y ha parado la empresa durante X días, tu sigue pagando la licencia y oye por cierto tenemos una actualización ¿la quieres? pues paga. Que por cierto no sabemos si tiene mas fallos, es que nosotros somos así :))

Para mi hay una cosa fundamental que a ver si conseguimos para las empresas que es si tenemos cualquier sistema con un posible acceso desde el exterior y si realmente la línea de trabajo de tal o cual software es la interconexión en cierta forma nos han de asegurar un nivel de seguridad aceptable, que haya una responsabilidad por estos fallos, porque estos fallos se producen por muchos motivos pero fundamentalmente es por la velocidad con la que se desarrolla hoy en día, ninguna versión practicamente dura un año. Con este ritmo no se puede sacar nada al mercado libre un 85% de fallos.

Pero como el problema no es que ellos fallen, sino mas bien que un 'malicioso' se aprovecha del sistema para fastidiarnos. Porque no es lo mismo un fallo de seguridad que encontremos en el OpenSSH o en el Plug&Play de todas las versiones de algo que se suponía con un 90-95% de seguro a algo que se aprovecha un gusano y que afecta a casi la totalidad por no decir a todos los servidores a nivel mundial y que al ser ademas el servicio tan fundamental ni siquiera se puede parar para estar seguros.

Aunque este ejemplo es bastante viejo, se adapta muy bien a la actualidad. Como muchos sabeis, la unica manera de que Cuartango se hiciera escuchar sobre su descubrimiento sobre el IExplorer fue cuando hizo publica su informacion. En ese momento, Microsoft reaccionó (no así a los varios emails que envió antes).

¿Técnicas de hacker de sombrero gris o la unica manera de poner remedio?

Arreglado, gracias por el aviso. No me di cuenta.

Que tal si nos callamos en lugar de trabajar gratuitamente como betatesters para las empresas?

Ya, y trabajar con un servidor inseguro que te pueden petar en cualquier momento, sabiendo además que los fabricantes del sistema "no se hacen responsables".

De coña.

Se avisa a la empresa, y si en un plazo razonable no da la solución se publica a los cuatro vientos para meter presión. Si no se hace así los fallos se resuelverían con una nueva versión pasando por caja, eso si llegan a resolverse.