[LACNIC/Seguridad] Pedido de opinión: Lista para la difusión de alertas de seguridad

Arturo Servin aservin en lacnic.net
Mie Ene 26 22:37:25 BRST 2011 

Fernando,

	Creo que tenemos ideas diferentes. Algunos comentarios para tratar de aclarar.

On 26 Jan 2011, at 18:15, Fernando Gont wrote:

> On 26/01/2011 04:53 p.m., Arturo Servin wrote:
> 
>>>> Cuando decía repositorio me refería al banco de alertas.
>>>> 
>>>> No se si una lista de correo sin información catalogada,
>>>> verificación, etc. tenga mucho valor.
>>> 
>>> bugtraq ha sido, desde siempre (y hoy junto con full-disclosure),
>>> la lista para enviar y distribuir informacion de alertas. Y ni
>>> catalogan ni verifican la informacion que se envia por las mismas.
>>> (*)
>> 
>> Con todo el respeto y amor que le tengo a la camiseta de LAC, no creo
>> que podamos comparar con bugtraq.
> 
> Hablo de la metodologia. Justamente, si no nos podemos comparar, menos
> aun deberiamos apuntar a cambiar una metodologia de trabajo (para el
> envio de alertas), ya establecida.
> 

	Yo pensaba en alertas mas definidas como las de isc.sans o el repositorio de alertas del us-cert, pero veo que hablas de algo diferente. Si lo que quieres es una lista como la de bugtraq pero a nivel LAC, entonces tenemos diferentes visiones. 

	De todas formas veo complejo que una lista como la de bugtraq pueda implementarse exitosamente. (mas abajo explico porque)

> 
> 
>>> Y creo que es indiscutible el valor que estas listas han tenido y
>>> siguen teniendo para la comunidad.
>> 
>> Tomando en cuenta las diferencias de dimensiones encuentro difícil
>> encontrar el valor en una simple lista.
> 
> No entiendo. A que te referis?
> 
> 
	Básicamente que esas listas son exitosas por otros factores dificiles de replicar. Por ejemplo el volumen de contenido y participantes, el perfil de los inscritos, etc.. Eso hace que la lista se autoregule y automodere. En una lista regional como la que propones no creo que tengamos el volumen de contenido y participantes necesarios.

> 
>>> (*) Catalogar y verificar la informacion, casi-casi, atentaria
>>> contra el propio proposito de la lista.
>> 
>> Entonces creo que lo que propones es diferente a una lista de
>> difusión de alertas de seguridad. A mi me parece entonces que es "una
>> lista de posibles y no corroboradas alertas de seguridad que la
>> comunidad cree que existen".
> 
> Asi le llamarias a bugtraq, tambien?

	No, bugtraq como menciono se autoregula y eso asegura que el contenido sea veraz e importante. Simplemente veo difícil de replicar.

> 
> 
> 
>>> Por un lado, porque la lista perderia agilidad (que en estas
>>> cuestiones es escencial). Por otro lado, porque en ocasiones se
>>> hace muy dificil verificar los alertas (por ej., uno deberia
>>> disponer de un exploit, y de una instalacion de lo sistemas 
>>> afectador, para poder corroborar que la vulnerabilidad existe).
>> 
>> Bueno, creo que de eso se trata. De tener información confiable y que
>> agregue valor.
> 
> No conozco lista de seguridad alguna que trabaje de la forma que lo
> indicas. -- al menos ninguna cuya uscripcion sea gratuita, y que sea
> abierta a la comunidad.
> 

	Porque no pensabamos en lo mismo, mi idea inicial era diferente a lo que ahora entiendo propones.


> Un abrazo,
> -- 
> Fernando Gont
> e-mail: fernando en gont.com.ar || fgont en acm.org
> PGP Fingerprint: 7809 84F5 322E 45C7 F1C9 3945 96EE A9EF D076 FFF1
> 
> 
> 

Saludos,
.as

Más información sobre la lista de distribución Seguridad