El fundador de la empresa de seguridad rusa Intevydis, Evgeny Legerov, declaró que desde hoy al primero de febrero irá publicando información sobre vulnerabilidades 0-day que afectan a diversas bases de datos y webservers.
PUBLICIDAD
Algunos son gratuitos y otros pagados. Algunos son populares y a otros los conoce Santa Isabel, pero todos ellos tienen en común que Legerov intentó contactar a los desarrolladores o responsables con la actitud “divulgación responsable” y no consiguió nada:
“Después de trabajar con los fabricantes y vendedores por largo tiempo, hemos llegado a la conclusión que, en palabras simples, es una pérdida de tiempo. Ahora no nos contactamos con los vendedores ni adherimos a la divulgación responsable. Por ejemplo, vamos a publicar una vulnerabilidad de RealPlayer que les comunicamos hace dos años y no han hecho nada por remediarla.”
En otras palabras, acá la política es: “ya que no hicieron nada, ahora los expondré”.
Entre los softwares que se verán comprometidos están:
- Zeus Web Server
- Sun Web Server
- MySQL
- IBM DB2
- Lotud Domino
- Informix
- Novell eDirectory
- Sun Directory
- Tivoli Directory
Yo tengo mis reparos respecto a la “divulgación responsable”. La otra vez nos contactó una persona diciendo que conocía una falla en Vbulletin y que por USD 20 nos diría cómo parcharla, que había hablado con Jellsoft y ellos no lo habían tomado en cuenta. Yo no dudo que eso pueda ser cierto, pero si la divulgación responsable es pedir plata por ayudar a parchar una vulnerabilidad, a mí más bien me huele a chantaje.
Link: Firm to Release Database & Web Server 0days (Krebs on Security)