[LACNIC/Seguridad] Temas de interes en la comunidad

[Carlos M. Martinez]

Si, efectivamente, no lo puse, pero el tema de seguridad en software
sería mas que importante de incluir.

mtorreal62 en cantv.net wrote:
> Saludos a todos
> 
> Humilldemente creo que hay un punto crítico en todo este asunto que se está
> quedando por
> fuera. El problema de la calidad del software que sale al mercado. Gran
> cantidad de
> ataques que acontecen tiene que ver con el modelo de desarrollo de software
> que se
> emplea por muchos fabricantes; un modelo que en el caso de fabricantes de
> software
> "propietario" tiene como objetivo el lucro inmediato y máximo. Ojo, que no
> estoy en
> contra de ganar dinero de ese modo, solo que estoy recordando que muchas
> decisiones
> sobre la calidad del software que se desarrolla, se subordinan al objetivo
> de la ganancia
> económica con la venta del producto. Por eso salen tantos productos y los
> "parches"
> aparecen casi al mismo tiempo de liberar el producto. Y eso se ha hecho tan
> común que
> ya nadie se preocupa por ello. Una pregunta tonta: ¿quién compraría un
> automóvil o coche
> -como prefieran decirle- que apenas lo sacas del consesionario te indican
> que debes llevarlo
> a un taller urgentemente para que le instale esto, y le corrija esto otro,
> o de lo contrario no
> se te garantiza que llegues a tu destino bien? Por cierto, si no lo haces y
> deseas demandar
> al fabricante del vehículo, este te dice: "En mi página web yo puse una
> advertencia sobre
> una falla que acabábamos de descubrir y era tu responsabilidad montar el
> "parche"
> correctivo?
> 
> También ocurre que dentro de no pocas empresas de desarrollo de software,
> salen al
> mercado productos y ya hasta se tienen contados los "bugs" que no se han
> corregido.
> Aquí el problema de liberar el producto y no dejar que el competidor tome
> la delantera
> influye en los criterios; obviamente, la ganancia está de trasfondo
> nuevamente.
> 
> Así que bajo esta forma de pensar se llega al puinto donde entra la
> responsabilidad
> ética del profesional que programa. ¿Hasta donde está obligado a luchar por
> un software
> de alta calidad? Supongamos que el sistema de operación en el cual trabaja,
> servirá de
> plataforma para un sistema de control de vida artificial en un centro
> médico. ¿Cómo se
> sentirá si le dicen que el sistema se "colgó" o se "bloqueò" y alguien
> murió. En fin, aunque
> algo drástico se pueden buscar ejemplos similares con sistemas de control
> del
> tráfico aéreo o terrestre, de vigilancia, militares, etcétera. Para algo
> más verósimil
> sugeriría leer la columna de Risks de P. Neumman en ACM Comm.
> 
> ¿Yque hay de las academias que enseñan a programar y no tratan el tema de la
> confiabilidad del software?
> 
> En fin, humildmente pienso que hay que considerar necesariamente, el tema
> de la
> programación, su calidad y modelos de instrumentación.
> 
> Finalmente, me agrada la invitación de Carlos para incorporar y mejorar el
> evento,
> pero creo que en algún momento habrá que precisar en detalle el objetivo y
> el
> tipo de audiencia que se desea alcanzar. Porque, de lo contrario siempre se
> pensará que hay temas y aspectos relevantes que no se han tratado. Así
> algunos podrían querer aprender como proteger sus sistemas, otros descubrir
> las últimas técnicas de ataque, o las últimas investigaciones. La educación
> de
> usuarios, como ya alguien mencionó, también puede resultar fundamental y una
> propuesta alterna es incluir talleres que enseñen algo práctico y puntual.
> En fin,
> hace poco salió un ensayo, que B. Schneier refierió en su "blog", de
> alguien que
> está criticando fuertemente las últimas conferencias de seguridad en EEUU
> por
> su marcado matiz académico y poco pragmático en el quehacer diario de los
> administradores de sistemas telemáticos.
> 
> Gracias por la atención y disculpen lo largo
> Miguel
> 
> 
> PD: Mónica, por favor, puedes precisar mejor a que te refieres cuando
> señalas criptografía
>       vinculada al comercio electrónico. Seguramente tienes alguna
> perspectiva que te
>        luce interesante, pero que no descubro, porque el trabajo
> criptogràfico se hace
>       màs desde una perspectiva de técnicas como la complejidad algoritmica
> y de la teoría
>       de aritmética modular o de los números primos, o de la computación
> cuántica, etc, sin
>        tomar en cuenta el contexto de la aplicación en que se operará. Ojo,
> no estoy
>        negando la idea, de hecho me luce llamativa, solo que no termino de
> entender
> 
> 
> 
> ----------- Mensaje Original --------------
> De: Carlos M. Martinez [carlos.martinez en csirt-antel.com.uy]
> Para: seguridad en lacnic.net [seguridad en lacnic.net]
> Cc: 
> Asunto: [LACNIC/Seguridad] Temas de interes en la comunidad
> Fecha: 11/09/2007 12:16:35
> Mensaje:
> 
> Hola a todos,
> 
> Si bien todavía falta mucho, me interesa relevar la opinion de la lista
> sobre el evento de Seguridad en LACNIC.
> 
> En particular, me interesaría muchísimo conocer:
> 
> 1- Que temas son de interés. Esto es fundamental para la búsqueda y
> selección de los presentadores.
> 
> Vuelco algunos temas que me surgen a mi personalmente y los considero de
> interés, viendo los threads de la lista y de otras listas de temática
> similar.
> 
>    * Grupos de respuesta a incidentes (CSIRTs): creación, gestión,
>      experiencias
> 
>    * Uso efectivo de criptografía (GPG, certificados)
> 
>    * Seguridad en IPv6
> 
>    * HoneyPots y herramientas similares
> 
>    * Lucha contra el Spam
> 
> 2- Aquellos que estuvieron en LACNIC X en Margarita, ¿Qué les pareció
> bueno del evento? ¿Qué les pareció que debe mejorar?
> 
> 3- ¿Existe interés en la realización de algún curso o taller similares a
> los de LACNIC X pero en temas de seguridad?
> 
> slds y gracias
> 
> Carlos
> _______________________________________________
> Seguridad mailing list
> Seguridad en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/seguridad
> 
> 
>