[LACNIC/Seguridad] Pedido de opinión: Lista para la difusión de alertas de seguridad

Mie Ene 26 23:55:28 BRST 2011

Hola, Arturo,

On 26/01/2011 09:37 p.m., Arturo Servin wrote:
>>> Con todo el respeto y amor que le tengo a la camiseta de LAC, no
>>> creo que podamos comparar con bugtraq.
>> 
>> Hablo de la metodologia. Justamente, si no nos podemos comparar,
>> menos aun deberiamos apuntar a cambiar una metodologia de trabajo
>> (para el envio de alertas), ya establecida.
> 
> Yo pensaba en alertas mas definidas como las de isc.sans o el
> repositorio de alertas del us-cert, pero veo que hablas de algo
> diferente. 

Claro. Algo de ese estilo es imposible de llevar a cabo sin recursos
humanos dedicados a eso.

> Si lo que quieres es una lista como la de bugtraq pero a
> nivel LAC, entonces tenemos diferentes visiones.

Exacto. Pero, como explique en mi mail original, los contenidos de dicha
lista no se solaparian con los de bugtraq. Es decir, la lista seriviria
para llenar un vacio existente, y no para "competir" con bugtraq (lo
cual seria bastante tonto, a esta altura del partido).

>>>> Y creo que es indiscutible el valor que estas listas han tenido
>>>> y siguen teniendo para la comunidad.
>>> 
>>> Tomando en cuenta las diferencias de dimensiones encuentro
>>> difícil encontrar el valor en una simple lista.
>> 
>> No entiendo. A que te referis?
>> 
>> 
> Básicamente que esas listas son exitosas por otros factores dificiles
> de replicar. Por ejemplo el volumen de contenido y participantes, el
> perfil de los inscritos, etc.. Eso hace que la lista se autoregule y
> automodere. En una lista regional como la que propones no creo que
> tengamos el volumen de contenido y participantes necesarios.

Jamas tendriamos el mismo nivel de volumen, porque bugtraq es global, y
esta lista seria regional, en distinto idioma (lo cual acota la cantidad
de participantes), etc.

Pero creo que *si* hay participantes como para generar contenido. No
olvidar que, por ejemplo, una de las compañias mas importantes del area
tiene su sede de I+D en Argentina (CORE), asi como tambien hay una
variedad de investigadores de la region, que usalmente publican alertas
(Rodrigo Branco, de Brasil, por mencionar uno). Asimismo, hay varios
CSIRTs de la region que publican alertas (UNAM-CERT y ArCERT, por ejemplo).

>>>> (*) Catalogar y verificar la informacion, casi-casi, atentaria 
>>>> contra el propio proposito de la lista.
>>> 
>>> Entonces creo que lo que propones es diferente a una lista de 
>>> difusión de alertas de seguridad. A mi me parece entonces que es
>>> "una lista de posibles y no corroboradas alertas de seguridad que
>>> la comunidad cree que existen".
>> 
>> Asi le llamarias a bugtraq, tambien?
> 
> No, bugtraq como menciono se autoregula y eso asegura que el
> contenido sea veraz e importante. Simplemente veo difícil de
> replicar.

No se hasta que punto es asi. Por ej., full-disclosure tiene un nivel de
señal/ruido bastante bajo. Y en cuanto bugtraq mismo, bajo ese criterio
tambien deberias decir "alertas no corroboradas". La calidad de la lista
termina siendo determinada por sus participantes. Y en nuestro caso no
tenemos nada asegurado: ni para bien, ni para mal.

Como otras tantas cosas, es solo cuestion de intentarlo.

Con ese mismo criterio, esta lista (seguridad en lacnic.net), tampoco
deberia existir, ya que con ese criterio todos deberiamos estar
participando en bugtraq o full-disclosure, o alguna lista de ese estilo.
Pero esta claro que esta lista sirve otro proposito. Del mismo modo que
una lista de alertas para LAC serivira otro proposito para la region de LAC.

Un abrazo,
-- 
Fernando Gont
e-mail: fernando en gont.com.ar || fgont en acm.org
PGP Fingerprint: 7809 84F5 322E 45C7 F1C9 3945 96EE A9EF D076 FFF1