[LACNIC/Seguridad] Pedido de opinión: Lista para la difusión de alertas de seguridad
Arturo Servin
aservin en lacnic.net
Mie Ene 26 22:37:25 BRST 2011
Fernando,
Creo que tenemos ideas diferentes. Algunos comentarios para tratar de aclarar.
On 26 Jan 2011, at 18:15, Fernando Gont wrote:
> On 26/01/2011 04:53 p.m., Arturo Servin wrote:
>
>>>> Cuando decía repositorio me refería al banco de alertas.
>>>>
>>>> No se si una lista de correo sin información catalogada,
>>>> verificación, etc. tenga mucho valor.
>>>
>>> bugtraq ha sido, desde siempre (y hoy junto con full-disclosure),
>>> la lista para enviar y distribuir informacion de alertas. Y ni
>>> catalogan ni verifican la informacion que se envia por las mismas.
>>> (*)
>>
>> Con todo el respeto y amor que le tengo a la camiseta de LAC, no creo
>> que podamos comparar con bugtraq.
>
> Hablo de la metodologia. Justamente, si no nos podemos comparar, menos
> aun deberiamos apuntar a cambiar una metodologia de trabajo (para el
> envio de alertas), ya establecida.
>
Yo pensaba en alertas mas definidas como las de isc.sans o el repositorio de alertas del us-cert, pero veo que hablas de algo diferente. Si lo que quieres es una lista como la de bugtraq pero a nivel LAC, entonces tenemos diferentes visiones.
De todas formas veo complejo que una lista como la de bugtraq pueda implementarse exitosamente. (mas abajo explico porque)
>
>
>>> Y creo que es indiscutible el valor que estas listas han tenido y
>>> siguen teniendo para la comunidad.
>>
>> Tomando en cuenta las diferencias de dimensiones encuentro difícil
>> encontrar el valor en una simple lista.
>
> No entiendo. A que te referis?
>
>
Básicamente que esas listas son exitosas por otros factores dificiles de replicar. Por ejemplo el volumen de contenido y participantes, el perfil de los inscritos, etc.. Eso hace que la lista se autoregule y automodere. En una lista regional como la que propones no creo que tengamos el volumen de contenido y participantes necesarios.
>
>>> (*) Catalogar y verificar la informacion, casi-casi, atentaria
>>> contra el propio proposito de la lista.
>>
>> Entonces creo que lo que propones es diferente a una lista de
>> difusión de alertas de seguridad. A mi me parece entonces que es "una
>> lista de posibles y no corroboradas alertas de seguridad que la
>> comunidad cree que existen".
>
> Asi le llamarias a bugtraq, tambien?
No, bugtraq como menciono se autoregula y eso asegura que el contenido sea veraz e importante. Simplemente veo difícil de replicar.
>
>
>
>>> Por un lado, porque la lista perderia agilidad (que en estas
>>> cuestiones es escencial). Por otro lado, porque en ocasiones se
>>> hace muy dificil verificar los alertas (por ej., uno deberia
>>> disponer de un exploit, y de una instalacion de lo sistemas
>>> afectador, para poder corroborar que la vulnerabilidad existe).
>>
>> Bueno, creo que de eso se trata. De tener información confiable y que
>> agregue valor.
>
> No conozco lista de seguridad alguna que trabaje de la forma que lo
> indicas. -- al menos ninguna cuya uscripcion sea gratuita, y que sea
> abierta a la comunidad.
>
Porque no pensabamos en lo mismo, mi idea inicial era diferente a lo que ahora entiendo propones.
> Un abrazo,
> --
> Fernando Gont
> e-mail: fernando en gont.com.ar || fgont en acm.org
> PGP Fingerprint: 7809 84F5 322E 45C7 F1C9 3945 96EE A9EF D076 FFF1
>
>
>
Saludos,
.as
Más información sobre la lista de distribución Seguridad