Vulnerabilidades que debes pagar...
Interesante informacion publicada en kriptopolis (la cito textual)
¨Los suscriptores de los feeds sobre exploits de la empresa francesa FrSIRT nos hemos llevado hoy una desagradable sorpresa:
Exploits and PoCs are available to FrSIRT VNS™ subscribers only.
Public exploits section has been definitively closed.
Y es que FrSIRT acaba de poner en marcha un servicio de notificación de vulnerabilidades previo pago.
Aunque entendemos que la decisión de FrSIRT pueda generar malestar, no nos coge por sorpresa, porque responde a una tendencia que empieza a generalizarse...
En España hace ya tiempo que una empresa regala una vulnerabilidad al día y cobra por el resto.
También hace un año que iDefense puso en marcha VCP, una polémica línea de negocio -que parece haberse revelado bastante rentable- dirigida a comerciar con las vulnerabilidades descubiertas por terceros.
Frame4 Security Systems también ha puesto en marcha MD:Pro, otro servicio de pago que proporciona decenas de miles de ejemplos de malware e incluye el acceso a un curioso depósito de troyanos.
Sin embargo (y aunque no falta gente que se muestra muy crítica con algunos de estos "nuevos" modelos de negocio), personalmente no me sorprenden, ni veo motivo alguno para rasgarse las vestiduras.
La seguridad vende y las empresas están para lo que están: ganar dinero.
Nadie debería engañarse demasiado al respecto.¨
Creo que todos somos coincidentes en eso...
Salu2
3 Comments:
Entiendo que si da dinero, es compresible que intenten conseguirlo.
Pero no encuentro licito ganarlo a costa de publicar lo que te envian al mail, echo con el esfuerzo y el tiempo de otra persona. A no ser que te paguen por enviarles la vulnerabilidades.
Acabaremos teniendo los exploits repartidos en muchas webs o incluso puede ser que el mismo autor del exploit exponga este explusivamente en su propia web haciendo pagar aquel que lo quiera ver.
Por un lado esta opcion es buena ya que si pagamos por una documentacion esta sera ofrecida mas profesionalmente, pero por otro lado la dispercion de los textos producira que nos perdamos la mayoria por no encontrarlos.
Es el principio del fin del conocimiento de las vulnerabilidades publicas?
Empieza un tiempo en que solo las empresas de seguridad conoceran la mayoria de vulnerabilidades? haciendo esto que el usuario final se sienta mucho mas inseguro?
Entiendo que si da dinero, es compresible que intenten conseguirlo.
Pero no encuentro licito ganarlo a costa de publicar lo que te envian al mail, echo con el esfuerzo y el tiempo de otra persona. A no ser que te paguen por enviarles la vulnerabilidades.
Acabaremos teniendo los exploits repartidos en muchas webs o incluso puede ser que el mismo autor del exploit exponga este explusivamente en su propia web haciendo pagar aquel que lo quiera ver.
Por un lado esta opcion es buena ya que si pagamos por una documentacion esta sera ofrecida mas profesionalmente, pero por otro lado la dispercion de los textos producira que nos perdamos la mayoria por no encontrarlos.
Es el principio del fin del conocimiento de las vulnerabilidades publicas?
Empieza un tiempo en que solo las empresas de seguridad conoceran la mayoria de vulnerabilidades? haciendo esto que el usuario final se sienta mucho mas inseguro?
Coincido con vos.Es de esperar que las empresas de seguridad comiencen a explotar la veta de obtener dinero para dar a conocer los fallos de los programas...pero por otro lado creo, que siempre habra quien la haga publica...
Saludos
Publicar un comentario
<< Home