[MASOCH-L] Sipvicious

Douglas Fischer fischerdouglas at gmail.com
Fri Apr 25 14:14:46 BRT 2014


Entendo sua posição Durval!

Atuo como engenheiro de rede já há algum tempo, e uso soluções fechadas e
OpenSource em diversos ambientes.

Quando eu analiso o ambiente do cliente, e chego a conclusão que o que cabe
melhor ali é uma solução de caixa fechada, um dos fatores que levo em
consideração é justamente o código ser fechado.

Vou exemplificar minha posição tomando como exemplo descoberta de novas
vulnerabilidades de segurança em soluções.

TODAS soluções estão sujeitas a vulnerabilidades de segurança.
Acho que disso ninguém discorda, certo?

Empresas como Checkpoint, Cisco, Palo-Alto, quando tem vulnerabilidades
identificadas em suas soluções tem a prática de INFORMAR INDIVIDUALMENTE
que estão cadastrados como usuários daquela plataforma afetada ANTES DE
DIVULGAR PUBLICAMENTE A VULNERABILIDADE.
   P.S.: Daí a importância de manter um contrato
      de suporte com o fabricante, e lógicamente
      manter seu cadastro devidamente atualizado
      por lá..

Quando se usa ferramentas OpenSource, a informação sobre a vulnerabilidade
chega ao mesmo tempo na mão do administrador do ambiente e do possível
intrusor, o que dispara uma corrida entre corrigir e atacar(Haja vista o
HeartBleed).





Em 25 de abril de 2014 13:25, Durval Menezes <durval at tmp.com.br> escreveu:

> Prezados,
>
> Desculpem-me, mas discordo de ambas as posicoes; a saber:
>
> Douglas: o que voce diz muito se parece com a velha posicao de que
>          "ninguem nunca foi mandado embora por comprar da IBM".
>          Com todo o respeito (e ressalvando que nao acredito que tenha
>          sido isso que que voce tenha *querido* dizer), esta e' uma
>          posicao mediocre de quem esta' tentando somente proteger o
>          proprio traseiro, nada digna de tecnicos como nos, que
>          frequentamos o MASOCH-L.
>
> Bruno: ninguem garante que *somente* a NSA saiba; se o furo esta' la',
>        e' questao de tempo ate' ser descoberto por alguem que ira' vender
>        a falha no mercado de "zero days" para o proximo ataque em massa
>        a la Zeus ou similar. Questoes de privacidade `a parte, na minha
>        opiniao o grande problema do "conchavo" entre os fabricantes de
>        produtos fechados e a NSA e' que ele praticamente garante que
>        os problemas vao permanecer no codigo eternamente enquanto nao
>        forem descobertos (e utilizados) por terceiros... o que IMNSHO
>        mais uma vez demonstra que nao e' possivel construir estruturas
>        de informacao realmente seguras utilizando produtos fechados.
>
> Um Grande Abraco,
> --
>   Durval Menezes (durval AT tmp DOT com DOT br, http://www.tmp.com.br/)
>
>
> On Fri, Apr 25, 2014 at 12:04:44PM -0300, Douglas Fischer wrote:
> > Assim...
> >
> > Eu n??o acho que a NSA precise usar meu SIP Session Manager p/ vender
> > liga????es VOIP Piratas.
> >
> > E se o Router que eu especifiquei e configurei for hackeado pela NSA,
> > atrav??s de supostas backdoors impostas ao fabricante, bom... Meu
> trabalho
> > foi bem feito!
> > N??o ser?? uma vergonha para mim.
> >
> > Mas se eu especificar uma distro X, deixar passar algum furo, e algum
> > noobie usando Cain e Abel conseguir entrar nela, meu filme vai ficar bem
> > tostado...
> >
> >
> >
> > Em 25 de abril de 2014 11:48, Bruno Cabral <bruno at openline.com.br>
> escreveu:
> >
> > > Aquelas que os furos apenas a NSA sabe...
> > >
> > > !3runo
> > >
> > >
> > > > Por isso eu amo appliances...
> > > >
> > > > Appliances MESMO, n??o distro customizadas.
> > > > Aquelas onde tudo ?? chrootado, onde a console ?? limitada, onde
> tudo ??
> > > > capado...
> > >
> > > __
> > > masoch-l list
> > > https://eng.registro.br/mailman/listinfo/masoch-l
> > >
> >
> >
> >
> > --
> > Douglas Fernando Fischer
> > Eng?? de Controle e Automa????o
> > __
> > masoch-l list
> > https://eng.registro.br/mailman/listinfo/masoch-l
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l
>



-- 
Douglas Fernando Fischer
Engº de Controle e Automação


More information about the masoch-l mailing list