[LACNIC/Seguridad] Temas de interes en la comunidad

mtorreal62 en cantv.net mtorreal62 en cantv.net
Mie Sep 12 14:19:42 BRT 2007 

Saludos a todos

Humilldemente creo que hay un punto crítico en todo este asunto que se está
quedando por
fuera. El problema de la calidad del software que sale al mercado. Gran
cantidad de
ataques que acontecen tiene que ver con el modelo de desarrollo de software
que se
emplea por muchos fabricantes; un modelo que en el caso de fabricantes de
software
"propietario" tiene como objetivo el lucro inmediato y máximo. Ojo, que no
estoy en
contra de ganar dinero de ese modo, solo que estoy recordando que muchas
decisiones
sobre la calidad del software que se desarrolla, se subordinan al objetivo
de la ganancia
económica con la venta del producto. Por eso salen tantos productos y los
"parches"
aparecen casi al mismo tiempo de liberar el producto. Y eso se ha hecho tan
común que
ya nadie se preocupa por ello. Una pregunta tonta: ¿quién compraría un
automóvil o coche
-como prefieran decirle- que apenas lo sacas del consesionario te indican
que debes llevarlo
a un taller urgentemente para que le instale esto, y le corrija esto otro,
o de lo contrario no
se te garantiza que llegues a tu destino bien? Por cierto, si no lo haces y
deseas demandar
al fabricante del vehículo, este te dice: "En mi página web yo puse una
advertencia sobre
una falla que acabábamos de descubrir y era tu responsabilidad montar el
"parche"
correctivo?

También ocurre que dentro de no pocas empresas de desarrollo de software,
salen al
mercado productos y ya hasta se tienen contados los "bugs" que no se han
corregido.
Aquí el problema de liberar el producto y no dejar que el competidor tome
la delantera
influye en los criterios; obviamente, la ganancia está de trasfondo
nuevamente.

Así que bajo esta forma de pensar se llega al puinto donde entra la
responsabilidad
ética del profesional que programa. ¿Hasta donde está obligado a luchar por
un software
de alta calidad? Supongamos que el sistema de operación en el cual trabaja,
servirá de
plataforma para un sistema de control de vida artificial en un centro
médico. ¿Cómo se
sentirá si le dicen que el sistema se "colgó" o se "bloqueò" y alguien
murió. En fin, aunque
algo drástico se pueden buscar ejemplos similares con sistemas de control
del
tráfico aéreo o terrestre, de vigilancia, militares, etcétera. Para algo
más verósimil
sugeriría leer la columna de Risks de P. Neumman en ACM Comm.

¿Yque hay de las academias que enseñan a programar y no tratan el tema de la
confiabilidad del software?

En fin, humildmente pienso que hay que considerar necesariamente, el tema
de la
programación, su calidad y modelos de instrumentación.

Finalmente, me agrada la invitación de Carlos para incorporar y mejorar el
evento,
pero creo que en algún momento habrá que precisar en detalle el objetivo y
el
tipo de audiencia que se desea alcanzar. Porque, de lo contrario siempre se
pensará que hay temas y aspectos relevantes que no se han tratado. Así
algunos podrían querer aprender como proteger sus sistemas, otros descubrir
las últimas técnicas de ataque, o las últimas investigaciones. La educación
de
usuarios, como ya alguien mencionó, también puede resultar fundamental y una
propuesta alterna es incluir talleres que enseñen algo práctico y puntual.
En fin,
hace poco salió un ensayo, que B. Schneier refierió en su "blog", de
alguien que
está criticando fuertemente las últimas conferencias de seguridad en EEUU
por
su marcado matiz académico y poco pragmático en el quehacer diario de los
administradores de sistemas telemáticos.

Gracias por la atención y disculpen lo largo
Miguel


PD: Mónica, por favor, puedes precisar mejor a que te refieres cuando
señalas criptografía
      vinculada al comercio electrónico. Seguramente tienes alguna
perspectiva que te
       luce interesante, pero que no descubro, porque el trabajo
criptogràfico se hace
      màs desde una perspectiva de técnicas como la complejidad algoritmica
y de la teoría
      de aritmética modular o de los números primos, o de la computación
cuántica, etc, sin
       tomar en cuenta el contexto de la aplicación en que se operará. Ojo,
no estoy
       negando la idea, de hecho me luce llamativa, solo que no termino de
entender



----------- Mensaje Original --------------
De: Carlos M. Martinez [carlos.martinez en csirt-antel.com.uy]
Para: seguridad en lacnic.net [seguridad en lacnic.net]
Cc: 
Asunto: [LACNIC/Seguridad] Temas de interes en la comunidad
Fecha: 11/09/2007 12:16:35
Mensaje:

Hola a todos,

Si bien todavía falta mucho, me interesa relevar la opinion de la lista
sobre el evento de Seguridad en LACNIC.

En particular, me interesaría muchísimo conocer:

1- Que temas son de interés. Esto es fundamental para la búsqueda y
selección de los presentadores.

Vuelco algunos temas que me surgen a mi personalmente y los considero de
interés, viendo los threads de la lista y de otras listas de temática
similar.

   * Grupos de respuesta a incidentes (CSIRTs): creación, gestión,
     experiencias

   * Uso efectivo de criptografía (GPG, certificados)

   * Seguridad en IPv6

   * HoneyPots y herramientas similares

   * Lucha contra el Spam

2- Aquellos que estuvieron en LACNIC X en Margarita, ¿Qué les pareció
bueno del evento? ¿Qué les pareció que debe mejorar?

3- ¿Existe interés en la realización de algún curso o taller similares a
los de LACNIC X pero en temas de seguridad?

slds y gracias

Carlos
_______________________________________________
Seguridad mailing list
Seguridad en lacnic.net
https://mail.lacnic.net/mailman/listinfo/seguridad

Más información sobre la lista de distribución Seguridad