<html><head><meta http-equiv="Content-Type" content="text/html charset=utf-8"></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;" class=""><div class="">El desarrollo del documento tiene como finalidad mitigar o prevenir lo que se conoce por ahora, y no garantiza al 100% la seguridad ya que la continua actualización por parte de los fabricantes es incontrolable.</div><div class=""><br class=""></div><div class="">Por ahora creo que debemos iniciar con todas las recomendaciones y mejores practicas para evitar el abuso de CPEs. </div><br class=""><div><blockquote type="cite" class=""><div class="">On Sep 26, 2017, at 11:23 AM, Fernando Quintero <<a href="mailto:fernando.quintero@csiete.org" class="">fernando.quintero@csiete.org</a>> wrote:</div><br class="Apple-interchange-newline"><div class=""><div dir="ltr" class="">Hola!<div class="gmail_extra"><br class=""><div class="gmail_quote">2017-09-26 11:05 GMT-05:00 Fernando Gont <span dir="ltr" class=""><<a href="mailto:fgont@si6networks.com" target="_blank" class="">fgont@si6networks.com</a>></span>:<br class=""><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On 09/26/2017 12:52 PM, Fernando Quintero wrote:<br class="">
> Cordial saludo,<br class="">
><br class="">
> Después de analizar muchos modelos de dispositivos CPE, ONT el tema de<br class="">
</span>> "/features/" nos preocupa demasiado, incluso mas que las configuración<br class="">
> /by default/, porque finalmente las "/features/ ocultas" = "/backdoors/"<br class="">
<span class="">> han sido los principales hallazgos preocupantes, por lo menos en Colombia.<br class="">
<br class="">
</span>Un backdoor no es un feature -- y si lo es, es un feature para quien<br class="">
espia/lo_accede :-)<br class="">
<br class=""><br class=""></blockquote><div class=""><br class=""></div><div class="">Creo que se entiende lo que quiero decir ;)</div><div class=""><br class=""></div><div class="">La respuesta del fabricante es: "is a feature", aún cuando sabemos que un acceso remoto tiene mas pinta de <i class="">backdoor</i>.</div></div></div></div></div></blockquote><div><br class=""></div><div>En realidad la mayoría de los casos, por no decir en todos, los backdoors son descubiertos por individuos que no están del lado del fabricante ni del ISP, y a veces solo es cuestión de tiempo para que estos sean públicos.</div><br class=""><blockquote type="cite" class=""><div class=""><div dir="ltr" class=""><div class="gmail_extra"><div class="gmail_quote"><div class=""> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<br class="">
> Durante años nos hemos preguntado, ¿porque razón llega un /backdoor/ a<br class="">
<span class="">> un dispositivo?.<br class="">
> Han pasado los años y no hemos logrado obtener una respuesta y esto<br class="">
> ocurre en toda la región. <br class="">
><br class="">
</span>> El mismo dispositivo (versión y modelo) tiene diferentes /backdoors/<br class="">
<span class="">> (personalizados) para cada país, entonces donde radica el problema?<br class="">
<br class="">
</span>Documentado o no documentado?<br class=""></blockquote><div class=""><br class=""></div><div class="">Oficialmente no documentado, solo especulación, sin embargo exploit-db y otros repositorios de vulnerabilidades/<i class="">exploits</i> apoyan esa especulación.</div><div class=""><br class=""></div><div class="">Pienso que es un tema a tratar de resolver con las mejores prácticas en el proceso de adquisición  y los acuerdos entre <i class="">Vendors-ISPs</i> para los <i class="">firmware</i> personalizados, ya que hemos indagado con fabricantes y con ISPs y no hemos obtenido una respuesta acertada desde donde se produce el problema de dispositivos vulnerables por puertas traseras.</div><div class=""><b class=""><br class=""></b></div><div class=""><b class="">Las respuestas mas comunes de los fabricantes son:</b></div><div class=""><br class=""></div><div class="">1. Es una característica, no es una puerta trasera</div><div class="">2. Es algo que el equipo de ingeniería dejó por error, no es algo que hicimos apropósito</div><div class=""><br class=""></div><div class=""><b class="">Las respuestas mas comunes de los ISP son:</b></div><div class=""><br class=""></div><div class="">a. Nunca solicitamos algo así para nuestros dispositivos (CPE, ONT, DVR, SetupBox, etc.)</div><div class="">b. No sabíamos que eso estaba así</div><div class=""><br class=""></div><div class="">Un saludo!</div><div class=""><br class=""></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<br class="">
 Saludos,<br class="">
<div class="HOEnZb"><div class="h5">--<br class="">
Fernando Gont<br class="">
SI6 Networks<br class="">
e-mail: <a href="mailto:fgont@si6networks.com" class="">fgont@si6networks.com</a><br class="">
PGP Fingerprint: 6666 31C6 D484 63B2 8FB1 E3C4 AE25 0D55 1D4E 7492<br class="">
<br class="">
<br class="">
<br class="">
<br class="">
</div></div></blockquote></div><br class=""><br clear="all" class=""><div class=""><br class=""></div>-- <br class=""><div class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr" class=""><div class=""><div dir="ltr" class=""><span style="font-size:13.3333339691162px" class="">-- </span><br style="font-size:13.3333339691162px" class=""><div dir="ltr" style="font-size:13.3333339691162px" class=""><div class=""><div style="font-size:13.3333339691162px" class=""><div style="font-size:13.3333339691162px" class=""><b class="">Fernando A. Quintero Londoño</b></div><div style="font-size:13.3333339691162px" class="">Director de Operaciones</div><div style="font-size:13.3333339691162px" class="">CEL : (+57) 300 579 23 80</div><div style="font-size:13.3333339691162px" class=""><b class="">CORPORACIÓN CSIETE</b></div><div style="font-size:13.3333339691162px" class="">Calle 14 # 30 - 153, Oficina 4</div><div style="font-size:13.3333339691162px" class="">PBX : (+574) 581 11 01</div><div style="font-size:13.3333339691162px" class="">Medellín, Colombia</div></div><div style="font-size:13.3333339691162px" class=""><font face="Arial, Helvetica, sans-serif" class=""><span style="line-height:16.6399993896484px" class="">Web: <a href="http://www.csiete.org/" style="color:rgb(17,85,204)" target="_blank" class="">www.csiete.org</a></span></font></div></div><div class=""><font face="Arial, Helvetica, sans-serif" class=""><span style="line-height:16.6399993896484px" class=""><br class=""></span></font></div><div class=""><font face="Arial, Helvetica, sans-serif" class=""><span style="line-height:16.6399993896484px" class="">Advertencia legal: </span></font></div><div class=""><font face="Arial, Helvetica, sans-serif" class=""><span style="line-height:16.6399993896484px" class="">Este mensaje y, en su caso, los ficheros anexos son confidenciales, especialmente en lo que respecta a los datos personales, y se dirigen exclusivamente al destinatario referenciado. Si usted no lo es y lo ha recibido por error o tiene conocimiento del mismo por cualquier motivo, le rogamos que nos lo comunique por este medio y proceda a destruirlo o borrarlo, y que en todo caso se abstenga de utilizar, reproducir, alterar, archivar o comunicar a terceros el presente mensaje y ficheros anexos, todo ello bajo pena de incurrir en responsabilidades legales. Las opiniones contenidas en este mensaje y en los archivos adjuntos, pertenecen exclusivamente a su remitente y no representan la opinión de la empresa salvo que se diga expresamente y el remitente esté autorizado para ello. El emisor no garantiza la integridad, rapidez o seguridad del presente correo, ni se responsabiliza de posibles perjuicios derivados de la captura, incorporaciones de virus o cualesquiera otras manipulaciones efectuadas por terceros.</span></font></div><div class=""><br class=""></div><div class=""><font face="Arial, Helvetica, sans-serif" class=""><span style="line-height:16.6399993896484px" class="">Disclaimer:</span></font></div><div class=""><font face="Arial, Helvetica, sans-serif" class=""><span style="line-height:16.6399993896484px" class="">This message and any attached files transmitted with it, is confidential, especially as regards personal data. It is intended solely for the use of the individual or entity to whom it is addressed. If you are not the intended recipient and have received this information in error or have accessed it for any reason, please notify us of this fact by email reply and then destroy or delete the message, refraining from any reproduction, use, alteration, filing or communication to third parties of this message and attached files on penalty of incurring legal responsibilities. The opinions contained in this message and the attached archives, belong exclusively to their sender and they do not represent the opinion of the company unless it is said specifically and the sender is authorized for it. The sender does not guarantee the integrity, the accuracy, the swift delivery or the security of this email transmission, and assumes no responsibility for any possible damage incurred through data capture, virus incorporation or any manipulation carried out by third parties.</span></font></div></div></div></div></div></div>
</div></div>
_______________________________________________<br class="">BCOP mailing list<br class=""><a href="mailto:BCOP@lacnog.org" class="">BCOP@lacnog.org</a><br class="">https://mail.lacnic.net/mailman/listinfo/bcop<br class=""></div></blockquote></div><br class=""></body></html>