[MASOCH-L] Sipvicious
Douglas Fischer
fischerdouglas at gmail.com
Fri Apr 25 14:14:46 -03 2014
Entendo sua posição Durval!
Atuo como engenheiro de rede já há algum tempo, e uso soluções fechadas e
OpenSource em diversos ambientes.
Quando eu analiso o ambiente do cliente, e chego a conclusão que o que cabe
melhor ali é uma solução de caixa fechada, um dos fatores que levo em
consideração é justamente o código ser fechado.
Vou exemplificar minha posição tomando como exemplo descoberta de novas
vulnerabilidades de segurança em soluções.
TODAS soluções estão sujeitas a vulnerabilidades de segurança.
Acho que disso ninguém discorda, certo?
Empresas como Checkpoint, Cisco, Palo-Alto, quando tem vulnerabilidades
identificadas em suas soluções tem a prática de INFORMAR INDIVIDUALMENTE
que estão cadastrados como usuários daquela plataforma afetada ANTES DE
DIVULGAR PUBLICAMENTE A VULNERABILIDADE.
P.S.: Daí a importância de manter um contrato
de suporte com o fabricante, e lógicamente
manter seu cadastro devidamente atualizado
por lá..
Quando se usa ferramentas OpenSource, a informação sobre a vulnerabilidade
chega ao mesmo tempo na mão do administrador do ambiente e do possível
intrusor, o que dispara uma corrida entre corrigir e atacar(Haja vista o
HeartBleed).
Em 25 de abril de 2014 13:25, Durval Menezes <durval at tmp.com.br> escreveu:
> Prezados,
>
> Desculpem-me, mas discordo de ambas as posicoes; a saber:
>
> Douglas: o que voce diz muito se parece com a velha posicao de que
> "ninguem nunca foi mandado embora por comprar da IBM".
> Com todo o respeito (e ressalvando que nao acredito que tenha
> sido isso que que voce tenha *querido* dizer), esta e' uma
> posicao mediocre de quem esta' tentando somente proteger o
> proprio traseiro, nada digna de tecnicos como nos, que
> frequentamos o MASOCH-L.
>
> Bruno: ninguem garante que *somente* a NSA saiba; se o furo esta' la',
> e' questao de tempo ate' ser descoberto por alguem que ira' vender
> a falha no mercado de "zero days" para o proximo ataque em massa
> a la Zeus ou similar. Questoes de privacidade `a parte, na minha
> opiniao o grande problema do "conchavo" entre os fabricantes de
> produtos fechados e a NSA e' que ele praticamente garante que
> os problemas vao permanecer no codigo eternamente enquanto nao
> forem descobertos (e utilizados) por terceiros... o que IMNSHO
> mais uma vez demonstra que nao e' possivel construir estruturas
> de informacao realmente seguras utilizando produtos fechados.
>
> Um Grande Abraco,
> --
> Durval Menezes (durval AT tmp DOT com DOT br, http://www.tmp.com.br/)
>
>
> On Fri, Apr 25, 2014 at 12:04:44PM -0300, Douglas Fischer wrote:
> > Assim...
> >
> > Eu n??o acho que a NSA precise usar meu SIP Session Manager p/ vender
> > liga????es VOIP Piratas.
> >
> > E se o Router que eu especifiquei e configurei for hackeado pela NSA,
> > atrav??s de supostas backdoors impostas ao fabricante, bom... Meu
> trabalho
> > foi bem feito!
> > N??o ser?? uma vergonha para mim.
> >
> > Mas se eu especificar uma distro X, deixar passar algum furo, e algum
> > noobie usando Cain e Abel conseguir entrar nela, meu filme vai ficar bem
> > tostado...
> >
> >
> >
> > Em 25 de abril de 2014 11:48, Bruno Cabral <bruno at openline.com.br>
> escreveu:
> >
> > > Aquelas que os furos apenas a NSA sabe...
> > >
> > > !3runo
> > >
> > >
> > > > Por isso eu amo appliances...
> > > >
> > > > Appliances MESMO, n??o distro customizadas.
> > > > Aquelas onde tudo ?? chrootado, onde a console ?? limitada, onde
> tudo ??
> > > > capado...
> > >
> > > __
> > > masoch-l list
> > > https://eng.registro.br/mailman/listinfo/masoch-l
> > >
> >
> >
> >
> > --
> > Douglas Fernando Fischer
> > Eng?? de Controle e Automa????o
> > __
> > masoch-l list
> > https://eng.registro.br/mailman/listinfo/masoch-l
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l
>
--
Douglas Fernando Fischer
Engº de Controle e Automação
More information about the masoch-l
mailing list