Barrapunto

(...) Una acción coordinada podría, de hecho, doblegar a toda Internet (...)

Y eso por qué?

Con la pasta que vale un router cisco y siguen siendo "mortales". Me parece bien que salgan a la luz esas vulnerabilidades, pero tampoco hay que hacerle un "how-to" para lerdos.

En la web del BlackHat no está disponible el material de esa conferencia. ¿Sabeis si está disponible por algún lado?

No se si habra sido orgullo de hacker o realmente conciencia de lo que se puede hacer comprometiendo con un simple offset (no hacen falta varios segun el articulo) los routers de cisco.

Es practicamente rendir a tus pies internet, y si encima la empresa (como casi siempre) tiene conocimiento del fallo pero no lo ha arreglado por una cuestion de imagen y seguridad, me alegro de que este tio lo haya hecho.

Ole sus huevos!!

...que ha llegado el momento de cambiar esos "pilares" de enrutado de Internet a software libre.
Queda demostrado que usar software propietario de Cisco (o de cualquier compañía) en una red global con la "seguridad" basada en la "oscuridad" es un gravísimo error. Y además tenemos como agravante un intento de censura en toda regla.

Mis felicitaciones para el señor Lynn.

En cuanto a Cisco; por encima vuestra bancarrota está la seguridad de Internet.
En cuanto a ISS; por encima de posibles demandas de Cisco está el respeto a un trabajador, la libertad de expresión y la seguridad de Internet.

Si señor, éste tipo los tiene bien puestos, y con una ética intachable, vamos de lo que ya no hay. Espero que le vaya bien en la vida (seguro porque a un tipo como él se lo rifan)por mi parte, acaba de ganar un admirador ;-).

Os iba a contestar uno por uno pero me llevaría demasiado tiempo. Empiezo...

OmyKDE dice: "Me parece bien que salgan a la luz esas vulnerabilidades, pero tampoco hay que hacerle un "how-to" para lerdos".

OmyKDE, yo te digo: Lo preocupante es que las vulnerabilidades estén saliendo, y que se publiquen por grupos independientes antes que por el fabricante. O el fabricante no tiene bien cogido su producto, o no sabe relacionarse con la comunidad hacker (entendida esta palabra con el BUEN sentido que tiene).

meth dice: "Es practicamente rendir a tus pies internet, y si encima la empresa (como casi siempre) tiene conocimiento del fallo pero no lo ha arreglado por una cuestion de imagen y seguridad, me alegro de que este tio lo haya hecho."
Yo te digo: en varias referencias que he leído hoy Cisco e ISS apuntaban que estaban trabajando para subsanar el asunto. Puede ser o no verdad, pero es lo que ambas partes han declarado. Y esto no es responsible disclosure. Pero además, lo grave es el contrato que, como apunta matahacker, debe tener el colega (hasta ayer) con ISS. Así no se hacen las cosas, cojones, y menos aún si has firmado ese contrato. Si no, no lo firmes, pero si lo firmas, jodete y sé coherente.

El PH de "que lo metan en la cárcel": bueno chavalote, tranquilito que también es cierto que en el mundo de la seguridad queda mucho por andar, y hay por ahí mucho admin que no tiene puta idea de lo que hace, y mucho fabricante/distribuidor de software (libre o no) que tardan su tiempo en sacar actualizaciones...

wel: lo mismo que a meth, si el fulano tiene un contrato no puede ir por ahí hablando de según qué cosas. Es como si yo soy poli y he sabido que te investigan por narcotráfico; no lo puedo comentar con mis colegas en el bar (o con TUS CLIENTES) porque es información a la que he accedido bajo secreto profesional. De "profesional", por cierto, este tipo ha demostrado más bien poco, por mucho nivel técnico que probablemente tiene.

Al escueto PH de "Si los fallos no se comunican, los errores nunca se arreglán...": ahí estamos, afirmaciones bien sustentadas.

Neutrino, dices "Al anunciar esta vulnerabilidad publicamente esta forzando a Cisco a darse prisa a solucionarla". Te recomendaría leer una entrevista (diría que es de hoy jueves 27) con Mary Ann Davidson, quien lleva el tema seguridad en Oracle; lo siento, no encuentro el enlace (quizá mañana, desde el curro). Dice algunas cosas con las que puedo no estar de acuerdo, pero cuando habla del tiempo que lleva publicar una actualización, te enseña que las cosas no son blancas o negras... hay mil tonos de gris, ¿los ves? "Ademas Lynn tambien comenta que conocia la existencia de gente con malas intenciones trabajando en como aprovecharse de estas vulnerabilidades"... vale, yo diría lo mismo, pero ¿es cierto? Quién sabe...

Al otro PH iluminado, de "las únicas consecuencias son para Cisco"... cuentamelo cuando nos quedemos un día o dos sin cajeros automáticos, por ejemplo. La responsabilidad puede ser de Cisco o de Lynn, o de ISS, o... de cualquiera. Pero las CONSECUENCIAS las sufriremos todos, puedes creerme.

Al PH de "informa de lo que podría pasar si no se subsana el problema"... algo más que esa información habrá dado, más que nada porque si no no se habrían tomado tantas molestias. En cualquier caso, me gusta tu comentario.

A NeoSng y su "por encima de posibles demandas de Cisco está el respeto a un trabajador, la libertad de expresión y la seguridad de Internet": sí, pero si yo soy una empresa de seguridad y mis chicos tienen que comer todos los meses, no me parece que la mejor forma de colaborar con grandes compañías sea que tus currantes vayan levantando trapos sucios en sus ratos libres. Y esto lo digo (valga también para otras respuestas que doy en este post) porque JURARÍA que he leído hoy que el tipo se fundamentaba en trabajo que había hecho en ISS (si estoy patinando, mañana cuando llegue al curro y revise mis fuentes pediré disculpas, lo digo en serio).

Ya sólo

...supongo que se referirán a crackers :-P

Ese hombre ha dado una conferencia sobre el tema, ¿crees REALMENTE que un niñato podría hacer lo mismo que él en un par de minutos?

Para mí es una persona que cree en la información libre. Si Cisco no es capaz de subsanar sus propios errores de software y decide "ocultarlos", ¿qué calidad estará ofreciendo al público?

-

Eres un autentico descerebrado, el unico gilipollas aqui eres tu.
No dio los detelles de como se puede aprovechar esa vulnerabilidad, ni proporciono ningun tipo de codigo para hacerlo. Simplemente informo de que existe esa vulnerabilidad y creo que hizo lo correcto.

La intencion de Cisco era silenciar esto para que no se ensuciara la imagen que tiene de alta seguridad y robustez. El resultado hubiera sido probablemente que dentro de un par de años algun grupo hubiera lanzado un ataque masivo jodiendo medio internet con el caos economico y social que ello conllevaria.

Al anunciar esta vulnerabilidad publicamente esta forzando a Cisco a darse prisa a solucionarla y cambiar su actitud frente a este tipo de cosas, porque si te hubiseses molestado por lo menos en leer el articulo [securityfocus.com] verias que Lynn comenta que Cisco tenia pensado abstraer el hardware de los ruters mediante software, lo cual hubiera permitido crear un exploit que afectara a todos los ruters de Cisco, cuando actualmente se necesitaria un exploit diferente para cada modelo de ruter.

Ademas Lynn tambien comenta que conocia la existencia de gente con malas intenciones trabajando en como aprovecharse de estas vulnerabilidades.

Me parece una falta de todo por tu parte ese comentario que acabas de dejar, te debio quedar bien descansado tu cerebro ¿que lo metan en la carcel? seras subnormal, por encima de que pierde su empleo para dar a conocer esta vulnerabilidad y asi forzar a Cisco a que haga algo rapido y cambie su actitud de encubrir el problema...

El problema es que no tienes ni puta idea de lo que estas hablando asi que hubiera sido mejor que para decir lo que has puesto te hubieses mordido la lengua, capullo