[LACNIC/Seguridad] Pedido de opinión: Lista para la difusión de alertas de seguridad

Fernando Gont fernando en gont.com.ar
Mie Ene 26 18:15:57 BRST 2011 

On 26/01/2011 04:53 p.m., Arturo Servin wrote:

>>> Cuando decía repositorio me refería al banco de alertas.
>>> 
>>> No se si una lista de correo sin información catalogada,
>>> verificación, etc. tenga mucho valor.
>> 
>> bugtraq ha sido, desde siempre (y hoy junto con full-disclosure),
>> la lista para enviar y distribuir informacion de alertas. Y ni
>> catalogan ni verifican la informacion que se envia por las mismas.
>> (*)
> 
> Con todo el respeto y amor que le tengo a la camiseta de LAC, no creo
> que podamos comparar con bugtraq.

Hablo de la metodologia. Justamente, si no nos podemos comparar, menos
aun deberiamos apuntar a cambiar una metodologia de trabajo (para el
envio de alertas), ya establecida.



>> Y creo que es indiscutible el valor que estas listas han tenido y
>> siguen teniendo para la comunidad.
> 
> Tomando en cuenta las diferencias de dimensiones encuentro difícil
> encontrar el valor en una simple lista.

No entiendo. A que te referis?



>> (*) Catalogar y verificar la informacion, casi-casi, atentaria
>> contra el propio proposito de la lista.
> 
> Entonces creo que lo que propones es diferente a una lista de
> difusión de alertas de seguridad. A mi me parece entonces que es "una
> lista de posibles y no corroboradas alertas de seguridad que la
> comunidad cree que existen".

Asi le llamarias a bugtraq, tambien?



>> Por un lado, porque la lista perderia agilidad (que en estas
>> cuestiones es escencial). Por otro lado, porque en ocasiones se
>> hace muy dificil verificar los alertas (por ej., uno deberia
>> disponer de un exploit, y de una instalacion de lo sistemas 
>> afectador, para poder corroborar que la vulnerabilidad existe).
> 
> Bueno, creo que de eso se trata. De tener información confiable y que
> agregue valor.

No conozco lista de seguridad alguna que trabaje de la forma que lo
indicas. -- al menos ninguna cuya uscripcion sea gratuita, y que sea
abierta a la comunidad.

Un abrazo,
-- 
Fernando Gont
e-mail: fernando en gont.com.ar || fgont en acm.org
PGP Fingerprint: 7809 84F5 322E 45C7 F1C9 3945 96EE A9EF D076 FFF1

Más información sobre la lista de distribución Seguridad