Login Barrapunto
Cisco censura la publicación de vulnerabilidades
kput nos cuenta: «Tras la reciente retahila de censura, coacción, mentiras y amenazas por parte de Cisco al investigador de seguridad Michael Lynn, ex trabajador de ISS, por la publicación, ni siquiera de un bug, si no de una forma de explotación de bugs ya conocidos, que había sido reportado a Cisco con más de 3 meses de antelación, me siento obligado moralmente a publicar un vídeo de trabajadores de Cisco arrancando, literalmente, las hojas de la presentación de Lynn mostrando la vulnerabilidad de la que Cisco niega su existencia.» Aquí os dejo otro enlace al vídeo.
Historias relacionadas
[+]
La FSF denuncia a Cisco por violación de la licencia GPL
La FSF, tras 5 años de infructuosas protestas a Cisco solicitándole que cumpliera los términos de la licencia GPL que cubre a varios productos de software que su filial Linksys está distribuyendo (incluídos GCC, binutils, y la librería de C de GNU), ha decidido presentar una denuncia por incumplimiento de los derechos de copyright contra esta empresa en los juzgados de Boston, Massachusetts. Slashdot también se hace eco de la noticia.
Este hilo ha sido archivado.
No pueden publicarse nuevos comentarios.
Cisco censura la publicación de vulnerabilidades
|
Log in/Crear cuenta
| Top
| 55 comentarios
| Buscar hilo
Y recuerda: Los comentarios que siguen pertenecen a las personas que los han enviado. No somos responsables de los mismos.
Y eso...
(Puntos:1)( http://donkeyg5.com/ | Última bitácora: Miércoles, 03 Diciembre de 2008, 18:54h )
Por que si yo tuviera una empresa y me enterase de como Cisco intenta ocultarme los fallos de sus productos, los riesgos que tomo al usarlos y como defenderme, sinceramente, me lo pensaría dos veces a la hora de comprar nuevos equipos.
Impresionante
(Puntos:1)( http://serhost.com/ | Última bitácora: Jueves, 28 Julio de 2005, 16:26h )
Y creo que ciertos movimientos también haran "actos de protesta" de los que creo que todos saldremos perjudicados por culpa de este mal hacer de cisco a reconocer errores y corregirlos.
¡Se nota que es una gran empresa...
(Puntos:2, Divertido)( http://barrapunto.com/~kukoh/bitacora | Última bitácora: Sábado, 18 Marzo de 2006, 01:40h )
Éstos sí que parchean bien...
imágen
(Puntos:1)( http://www.flickr.com/photos/alexmilla/ )
Otra cosa es que se publiquen ciertos datos antes de haber sido corregido, sigo pensando que no es buena idea, ya que siempre saldrá alguien con ganas de tocar las narices, ese video ya estaban subsanados los fallos? Si es NO encuentro lógico el impedir esa información por el momento, tal vez yo haría lo mismo y no, no me vale compararlo con los coches, ya que no es lo mismo y tampoco con los aviones.
Hoy día creo que Cisco ha desistido de intetnar evitar esas diapositivas, cualquiera con un poco de luces encontrará tales diapositivas sin mucho esfuerzo.
Todo vale.
(Puntos:2, Interesante)( http://barrapunto.com/ | Última bitácora: Viernes, 03 Octubre de 2008, 19:51h )
Son la hostia. Ya me imagino al jefazo enviando a sus empleados a quemar los servidores que alberguen esa información.
-
Apuñalo gatitos con bollitos de crema. Razón aquí.
Security through obscurity...
(Puntos:1)( http://www.icelimit.com/ )
Si que se toman en serio eso de "seguridad a través de la oscuridad".
Cuando los descubren, apedrean los focos
--- A predator is always another predator prey ---
Buff...
(Puntos:1)( http://conclavedigital.host.sk/ )
Como cliente, es preocupante...
(Puntos:3, Interesante)( http://barrapunto.com/ )
Lo jodido de este tema (y de que no se quiera desvelar más información) es que lo clientes de Cisco que utilizamos sus routers no sabemos si estamos afectados o no.
Al menos yo no he encontrado información sobre si afecta a todas sus IOS o tan sólo a las de las máquinas más potentes.
Y lo cierto es que no me apetece cambiar la IOS de los routers, primero pq son bastante caras y segundo pq es un coñazo... y en algunos modelos has de reprogramar toda la configuración. Además, es posible que algunos modelos antiguos tengan que actualizar el HW, ya que muchas de las nuevas IOS necesitan más memoria, etc.
Al respecto del este tipo de incidentes, cualquier usuario de Cisco sabe que todos sus equipos incorporan puertas traseras (for password recovery). De hecho, estan pubicadas en su web. Y en principio estas sólo pueden ser utilizadas si estas físicamente al lado del equipo.
Esto puede llevar a una conclusión un poco alarmista, que no creo que sea cierta ya que si hasta ahora ningun experto lo ha insinuado y seguramente existen motivos para desmentirlo. Pero lo cierto es que el hecho de que el bug descubierto por Lynn no haya sido resuelto en 3 meses da que pensar:
Es raro que una empresa como Cisco tarde tanto en arreglar el bug y encima quiera ocultar su existencia. Más bien suena a una puerta trasera como en su día se comento que tenía el kernel NT del Windows, etc. ¿No creeis?
Al más puro estilo película de Hollywood!!
It is not a bug, it is a feature!
Me cisco.
(Puntos:2)¡Hala!
libro
(Puntos:1)Es perturbador
(Puntos:2)( http://barrapunto.com/ )
En el caso que se diera realmente un worm de routers el qual atacara los routers principales encargados de gestionar el trafico de Internet la situacion seria cahotica.
Normalmente la forma de solucionar problemas de virus radica en aislar los equipos infectados y descargar desde Internet los parches para solucionar el problema. En pocas horas el parche esta distribuido mundialmente y el problema pasa a ser una simple molestia.
Si caen los routers principales de Internet debido a un worm las unicas opciones serian:
- Recibir el parche o firmware actualizada usando metodos convencionales (cdrom + correo postal).
- Sustituir el equipo por uno nuevo que no estuviera afectado por el problema. Ya sea del mismo fabricante (glups!) o de la competencia.
En qualquiera de los 2 casos el tiempo de la resolucion de la averia seria de varias horas o dias!
Cisco, siendo el lider mundial en su sector,no puede pemitirse el lujo de minimizar internamente (de puertas afuera me da igual) los riesgos potenciales de estas vulnerabilidades.
Saludos.
Interesante
(Puntos:1)( http://www.barrapunto.com/ )
A veces me maravillo del comportamiento humano. En lugar de contratar a Lynn para trabajar sobre el problema (realmente quién mejor que él? y creo que cisco puede permitirselo) realizan una maniobra con tintes nazis de destruir el conocimiento pensando que así desaparece... solo que hoy en día esto ya no es aplicable (o al menos necesitas algo más que una buena hoguera para hacerlo).
También es fascinante comprobar como ciertas premisas básicas que en teoría son de sentido común para la mayoría de entendidos en seguridad (creo que al menos debe haber *uno* en cisco) informática son aqui completamente ignoradas...¿creen que van a mantener la seguridad a traves del secretismo? y más ahora que hay copias del documento rulando por ahí...), en fin, que estas cosas pasan en empresas como Cisco y uno lo flipa.
En fin, increible el comportamiento de cisco... parece un mal endémico de las grandes compañías de hw/sw, "dando ejemplo"... ;)
---
La imaginación es más importante que el conocimiento.
Albert Einstein
Re:TENGO GANAS DE MEARME EN LA BOCA DE UNA GUARRA
(Puntos:1)( http://barrapunto.com/ )
An old man dies, a young girl lives; A fair trade
Re:TENGO GANAS DE MEARME EN LA BOCA DE UNA GUARRA
(Puntos:1)( http://barrapunto.com/ )
An old man dies, a young girl lives; A fair trade
Re:Matizaciones
(Puntos:2)( http://presi.org/ )
¿Y quién te asegura que aparte de Lynn no hay más gente que sabe explotar la vulnerabilidad y que pueden usarla en su beneficio o venderla a terceros? El hecho de que no sea pública no garantiza que no se vaya a explotar y en cualquier caso es mejor publicarla por varias razones: para que los clientes sepan a qué atenerse con sus equipos, y para intentar presionar a la empresa para que ponga remedio.
Si, puede que sea costoso, pero siguiendo el paralelismo con el mundo de la automoción, como ya han comentado, si existe un fallo en un coche que pueda provocar accidentes, el hecho de que sea costoso para la empresa solucionarlo no la exhime de hacerlo.
Re:Matizaciones
(Puntos:2)( http://barrapunto.com/ )
-> totalmente ilegal. Que tipo de empresa es esto?
Una empresa que se dedica a la seguridad informatica.
La ilegalidad de la ingenieria inversa puede ser defendible en casos en que se use para romper protecciones a nivel de licencias o para usarla para copiar parte del producto.
En el caso que se use la ingenieria inversa para detectar fallos de seguridad no veo justificacion alguna para que eso sea ilegal y menos cuando el producto tiene como argumento de venda su calidad en ese sentido.
De hecho la ingenieria inversa solo debe ser ilegal a nivel de programas informaticos ya que yo puedo, por ejemplo, comprar un coche y desmontarlo pieza a pieza para ver como funciona. De incluso hay gente que se gana la vida con eso (mecanicos ?).
Si compro una cocacola puedo hacerle todos los tests quimicos que quiera y si consigo la formula puedo usarla.
El hecho que el software proteja su seguridad por ocultacion usando leyes como la prohibicion de la ingenieria inversa me parece un insulto a la inteligencia. Que sea ilegal no privara a aquellos que pretendan hacer uso malicioso de "saltarse" esa ley en cambio si que limita la capacidad de accion de aquellos que buscan problemas de seguridad de forma legitima.
Si yo compro un producto por su nivel de seguridad tengo todo el derecho del mundo a verificar si eso es realmente asi, usando los medios que yo decida. (como si quiero tirarlo contra una pared para ver si resiste "ataques" fisicos).
Saludos.
Re:Tendriamos que censurar mas!!!
(Puntos:1)( http://barrapunto.com )
se te olvido el punto 9
(Puntos:2)( http://remeseiro.com/metadata | Última bitácora: Viernes, 03 Junio de 2005, 21:14h )
:: In Log we trust ::