EDICIóN GENERAL
304 meneos
11198 clics
Ocho claves de la bronca Chema Alonso-Rubén Sánchez por el agujero de seguridad

Ocho claves de la bronca Chema Alonso-Rubén Sánchez por el agujero de seguridad

El responsable de datos de Telefónica, Chema Alonso, y el portavoz de Facua, Rubén Sánchez, se han enzarzado en Twitter en lo referente a la gestión del agujero de seguridad que Movistar tapaba el lunes pasado tras recibir un aviso por parte de la organización de consumidores. ¿Cómo empieza la guerra? Comienza con un post de Chema Alonso en su blog, El Lado del Mal, en el que, primero, explica muy bien el origen del problema. Después achaca a Facua un comportamiento incorrecto: “Es decir, lo último que le preocuparon fueron los clientes..."

| etiquetas: bronca , chema alonso , rubén sánchez , facua , movistar , agujero de seguridad
Comentarios destacados:                                  
#32 #1 "Comienza con un post de Chema Alonso en su blog, El Lado del Mal, en el que, primero, explica muy bien el origen del problema".

No leáis más. Si los de FACUA hicieron un denuncia pública para no pillarse los dedos, se puede juzgar mejor o peor, en este caso lograron el objetivo de sensibilizar sobre un fallo importante, que también es necesario.

Pero lo de Chema Alonso es sencillamente un intento impresentable de desviar la responsabilidad, ya sea culpando a Malvados hackers con la "URL Manipulation", que es una ridiculez inventada, ya sea FACUA, por darle publicidad, que me parece correcto si pensamos en evitar esas chapuzas en el futuro.
Hostia... comparar meltdownd y spectre con un bug error de seguridad (por falta de QA presumiblemente) que permitía acceder a facturas sin ninguna credencial, eso si que es Kafkiano... :shit:
#1 No los compara en ningún sitio, tan solo dice que los bugs existen y que pueden ser de muchas formas.

No me voy a detener en citar los más de 1.000 bugs publicados este mes en productos de Microsoft, Oracle, Apple y demás compañías tecnológicas, porque creo que los que trabajamos en seguridad sabemos que este es nuestro día a día. Los bugs aparecen inducidos por muchas causas.

A veces simplemente por error humano. A veces por error en el proceso. A veces por cambios en el software

…   » ver todo el comentario
#4 No me voy a detener en citar los más de 1.000 bugs publicados este mes en productos de Microsoft, Oracle, Apple y demás compañías tecnológicas,
Puntualización sobre productos de código cerrado. Pueden y sufren en mucha más medida la ingeniería inversa para descubrir esos fallos. Pero claro estamos confiando nuestra seguridad a una panda de compañias tecnológicas que son mierda, visto lo visto y sobre todos esos bugs que publican mes a mes. Puede que no ayude al resolver el problema, pero puede que a esclarecer las causas y las fallas.
#1 "Comienza con un post de Chema Alonso en su blog, El Lado del Mal, en el que, primero, explica muy bien el origen del problema".

No leáis más. Si los de FACUA hicieron un denuncia pública para no pillarse los dedos, se puede juzgar mejor o peor, en este caso lograron el objetivo de sensibilizar sobre un fallo importante, que también es necesario.

Pero lo de Chema Alonso es sencillamente un intento impresentable de desviar la responsabilidad, ya sea culpando a Malvados hackers con la "URL Manipulation", que es una ridiculez inventada, ya sea FACUA, por darle publicidad, que me parece correcto si pensamos en evitar esas chapuzas en el futuro.  media
#32 En seguridad informática informar de los detalles de un bug 60 minutos antes de una rueda de prensa es muy poco ético.

Aunque en la rueda de prensa no digan los detalles, podría haber una jauría de informáticos sin escrúpulos buscando el error y a lo mejor el error tarda en resolverse más de una horita ¿no te parece?
#39 No. Lo que es un error es ocultarlo, sobre todo algo así de grave y que lleva meses expuesto.
Se corre el riesgo de que traten de ocultarlo y que, más pronto que tarde, encuentren otro coladero y terminen explotandolo volcando toda la base de datos en Tor, que es donde estaba el problema.

Esto no es una vulnerabilidad de contar a escondidas, es algo crítico y que afecta a los clientes, que deben conocer el riesgo y que se denuncie esa falta de control en la protección de sus datos.

El problema no es el "Bug" por si mismo. Es la falta de controles y procedimientos para proteger la información de los clientes. Es mucho más grave que tapar un agujero con el dedo y disimular.
#51 ese bug tenía que estar reportado a Movistar el mismo viernes cuando lo detectaron (twitter.com/RubenSanchezTW/status/1017859495878385665) y una vez solucionado por Movistar ya haces el anuncio que te de la gana.
#56 Aquí no prima el interés de Movistar y Telefónica. Aquí se trata de que los clientes sean los primeros en conocer esa falta de protección y seguridad de sus datos.
#58 ¿y entonces la forma de proteger al usuario es no dar detalles a Movistar para que no lo parchee y que al anuncio, siendo un fallo tan básico, tengas a 100 personas explotandolo ya que es ultra fácil de encontrar? Movistar me la pela, me preocupa la protección de los usuarios.
#60 El bug no es importante. Se desconecta el servicio y se pone en mantenimiento hasta que se arregla. No se parchean los errores de ese tipo en producción, porque eso es una mala práctica y un error en sí mismo.

El problema es ocultar la mala praxis parcheando malamente un acceso aislado y dejando el problema de fondo fuera del conocimiento del público.

Una cosa es el manual del hacker, que no le interesa a nadie, y otra los procedimientos de auditoría y seguridad.
#62 de nuevo, si no avisas que y donde antes de publicar que COJONES vas a poner en mantenimiento o desconectar... ¿Me lo puedes explicar?

Insisto en que el viernes tendrían que haber avisado a Movistar para que o parchease si fuese simple (como era el caso, la cuestión era saber donde estaba el problema) o hacer lo que tu dices. Pero desde luego por ciencia infusa no funcionan, si no se les avisa y se les dice donde no pueden hacer nada. No se como te cuesta tanto entenderlo.

El viernes ya…   » ver todo el comentario
#82 60 minutos es tiempo suficiente para eso.
#84 No. No se si tendras experiencia en estos temas pero un bug medio no se suele arreglar tan rapido, los hay que tardan semanas o meses. No puedes decir que 60 minutos son suficientes para solucionar algo por que no sabes que puede implicar.

Aun en el caso de que sea facil de resolver no sabes si esa parte del sistema comparte codigo con otras y el bug realmente pueda ser mucho mayor.
#92 suficiente para deshabilitar el servicio problemático.
#93 #84 el problema es que no es verdad que les dieran una hora. Ya el domingo a la tarde abrieron la bocaza en RRSS para denunciarlo twitter.com/RubenSanchezTW/status/1018567638656708609

Repito no, no, no, no, no y no. No han actuado correctamente, primero se contacta con ellos en privado con tus pruebas y si Movistar es conocida por actuar mal o no hacer caso pues que usen un notario o lo que sea como hicieron. Si luego se niegan tu tienes tus pruebas y haces tu rueda de prensa y es…   » ver todo el comentario
#84 no creas, en grandes compañías, 60 minutos no es nada, es un tiempo bastante justo para ser honesto
#82 Ya les dijeron una hora antes de la rueda de prensa que el fallo era de acceso a las facturas. Una hora es más que suficiente para detener el servicio y evitar la explotación del bug. ¿Has leido el artículo? porque explica muy bien las motivaciones de por qué hacerlo así. Por desconfianza (merecida) y falta de comunicación.


Fijate que hasta levantaron acta notarial del error porque sospechaban que telefónica lo iba a negar (parece ser que no es la primera vez que actúan así).
cc #83
#58 Yo creo, teniendo en cuenta que el usuario no puede hacer nada por evitar el robo de sus datos, que lo primero debería ser arreglar el error.
#58 Vaya tonteria acabas de decir. Los primeros en conocerlo deben ser los que deben repararlo, y acto seguido los clientes (mientras se repara) de nada me sirve que me digan que alguien puede ver mis facturas si no puedo evitarlo y los que pueden hacerlo no lo saben.
#51 El problema es la falta de ética al no dar un mínimo tiempo para arreglar el error. Google Project Zero encuentra bugs en todo tipo de plataformas y da un tiempo de 90 días para arreglarlos. Y sí, pasados esos 90 días los revelan. Facua dio 1 HORA. Son unos impresentables.
#61 Legalmente tienen 72 horas para hacer público el fallo. Si Telefónica tarda más, es sancionada por la AEPD.
#64 Yo no he hablado de legalidad, he hablado de ética.
#65 Yo hablo de seguridad, no de hackers de barrio sésamo. Eso no es ética.
#66 Hackers de Barrio sésamo son entonces la gente de Google Project Zero ¿no?

"Los errores encontrados por el equipo del Proyecto Cero son reportados al fabricante y sólo se hacen públicamente visibles una vez que un parche ha sido liberado. O si han pasado 90 días sin que un parche haya sido liberado. La fecha límite de 90 días es la forma en que Google implementa la revelación responsable, dando a las empresas de software 90 días para solucionar un problema antes de informar al público para que los propios usuarios puedan tomar las medidas necesarias para evitar ataques."
es.wikipedia.org/wiki/Proyecto_Cero#Descubrimientos_notables
#67 ¿Vale si te doy un positivo por uso avanzado de la wikipedia? :shit:
#67 El problema no es comparable en absoluto. Nadie duda de Project Zero, si dicen que ha habido tal fallo de seguridad aunque la empresa ya lo haya arreglado y luego lo niegue nadie va a dudar de que existiera el fallo.

En este caso, había precedentes de malas prácticas de Telefónica. Facua sospechaba que telefónica iba a negar la mayor, y lo importante en este caso era reportar las malas prácticas. El procedimiento ha sido el siguiente:

- Levanto acta notarial del error para poder…   » ver todo el comentario
#65 En cualquier caso es responsabilidad de Telefonica. Intentan desviar la atención.
#64 como ya dije antes, les das 72h y sin darles la información de que, donde y como, juguemos a las adivinanzas.
#64 72 Horas son 72 veces el plazo dado por facua.

Y en cuanto a la AEPD, me parece una cagada que va a acabar dando mas de un problema, me explico: si encuentro un bug muy dificil de arreglar, de los que tardan 90 dias en arreglarse y solo 72 horas para notifica, los delincuentes tendran 87 dias para explotarlo.

Esta ley la han hecho los mismos que los del aviso de cookies, quieren algo bueno pero no tienen ni idea de las implicaciones de lo que legislan, y si no ahi esta el tema de whois...
#94 si es un fallo dificil de arreglar, suspende el servicio.
#39 En una hora te da tiempo a chapar la parte afectada y poner una página de mantenimiento en su lugar. Y luego ya lo arreglas tranquilo. Es cierto que 1h a primera vista no suena muy ético, pero cuando ves la historia de mala sangre entre movistar y facua, ya se entiende mejor.
#71 No, una hora no es muy ético. Claro que puedes parar el servicio en una hora. ¿Estás diciendo que obligar a parar cualquier servicio a millones de clientes es una política de seguridad ética por parte de Facua? En fin. Facua, gran defensora de los consumidores.
#72 No es ni culpa ni problema de facua, no son ellos quienes tenían el bug. Y no exageres, nadie se muere por estar 24h sin poder acceder a sus facturas de movistar.

Yo aquí veo una mala relación y falta de confianza entre ambas partes. Y mala leche por ambos lados tb. Si movistar no se hubiera comportado como un niño de 5 años prohibiendo a facua usar su logo, igual otro gallo habría cantado. Yo creo que facua no se fiaba que movistar corrigiese el bug y luego negase haberlo tenido, si les daban más tiempo.
#39 ¿tu sabes que le cuesta al área de TI de una empresa sacar de producción una sección de una web? o incluso poner toda la web en mantenimiento? nada o menos, ahí ya tienes todo tu tiempo del mundo para arreglar tu fallo.

O esperas que el bug se solucione directamente en producción?
#97 Perfecto, entonces que Telefónica deje inaccesible una web frente a millones de clientes porque a Facua, que se supone que defiende a los consumidores, avisa con 1 hora de antelación de un bug en vez de por ejemplo 90 días como hace Google Project Zero. Una gran defensa del consumidor sin duda. La de Facua es una política de revelación de fallos de seguridad magnífica, deberían de darles premios de ética hacker.
Llevar gorro en verano... :tinfoil:
#2 Cuando empieza a asomar el cartón, está claro que lo mejor para que el pelo crezca con fuerza es que no vuelva a darle el sol. Lo saben todos los calvos.
#2 calvus detected
#2 No es un gorro, realmente es un pasamontañas que se encasqueta cada vez que pasa al Lado del Mal y se pone a hackear xD
#13 Pues lo tendría que llevar siempre bajado.
Siempre ha estado en el Lado del Mal. Entre Telefónica y Microsoft.
#2 Asi no se quema el cartón.
#2 El cartón.
#2 Porque si se pone turbante ya sería demasiado evidente su parecido con Gaspar Llamazares. xD  media
Pataleta del gorritos de Telefónica.
Facuo como siempre buscando protagonismo.
#6 En realidad es pelea de divas...
#7 Pues te voy a dar la razón. Lucha de egos.
#6 Lo que no se comunica no existe. FACUA hace muy bien en dar publicidad a sus acciones para poder sobrevivir como organización y continuar con su función social: proteger los derechos de los consumidores.
Hace unos meses estuvo como ponente en un congreso en el que yo estaba currando..curioso personaje...iba con el gorro, por supuesto...
Primero nos dijo que el no se ponía micros de diadema y que lo ponía en su contrato..así que le dijimos que podía hablar desde el micro del atril...entonces nos dijo que era posible que se moviera y se separara del atril..así que le ofrecimos un micro de mano inalámbrico...a lo que nos dijo que tb usaba las manos con el ordenador y que vaya engorro... ya nos vio…   » ver todo el comentario
#9 Es que me da que es más "showman" que otra cosa...
#10 El tío llegó a currar en Microsoft, y ese es un logro que le gustaría alcanzar a muchos.

Aunque en alguna de sus conferencias habló en alguna ocasión de otra gente en España que, aunque no trabajaron en MS, montaron sus propias empresas y luego fueron compradas por multinacionales, y se podría decir que han llegado realmente lejos, aunque no impresionen tanto a los admiradores pardillos de B. Gates.
#31 miles de españoles trabajan en Microsoft, en sí mismo no sé en qué consiste el logro.

En cualquier caso Chema Alonso no trabajó en Microsoft, era MVP, que es otra cosa, simplemente un reconocimiento por parte de MS de que controla de cosas relativas a Microsoft. En el mundo de la seguridad informática ser MVP de Microsoft es como ir a la guía michelín diciendo que has ganado el concurso de tortilla de patata de tu pueblo.

Que no te digo yo que si la guardia civil tiene servidores Windows pues igual le ponen un medalla, igual que se la ponen a la virgen. Pero con esas credenciales en el mundo de la seguridad se reirían de él si no fuera por que no saben quién es.
#40 Creí que tenía algo más importante con MS. Es más interesante que sea el director del máster de seguridad informática de la Universidad Europea de Madrid.
#9 #10 #15 #18 #20 Supongo que dependerá del ámbito del congreso, yo le he visto en la Black Hat y en la Def Con y tiene ponencias bastante interesantes con casos prácticos, sí que es cierto que tiene pinta de ser un poco notas showman el tío, pero eso no quita para que tenga conocimientos
#9 Es un showman que se gana la vida con esos congresos chorras donde parece que va gente no muy preparada.

Ahora no me acuerdo del nombre, pero hay uno que viene de Guru de la bolsa, y su cartera privada se habia descalabrado y se ganaba realmente la vida con charlas tipicas usanas, de tu puedes coger el control de tu vida y bla bla bla
#15 Josef Ajram... Y su empresa Ajram Capital. Y como todos los inversores de bolsa, un tirador de dados del copón.
#15 #20 lo conozco desde hace más de 15 años cuando estaba en Informatica64 , y no tienes razón. Es cojonudo de verdad, pero se ha inventado un personaje. No puedo decirte lo que sabe hacer y de qué es capaz pero te aseguro de que no es un lammer de mierda no un hablador y punto.
Hace cosas chungas y no diría esto con la panda de frikachus que me junto si no fuera capaz de cosas serias
#34 "hace cosas chungas"

jajajajajajaja perdona que me ria... Pero es que ha sonado tan a patio de colegio xD
#98 lo sé, eso pretendía, pero los buenos no va predicando qué saben hacer y vacilando del tema. Se juegan sobre todo su prestigio y la publicidad no les mola nada en general (de forma abierta y loca)
Cosas chungas son por ejemplo hacerte un clon gsm y desviarte las llamadas haciendo que el destination id que eres tú llame a cierto sitio haciendo cosas malas...y eso si, sin tocarte el móvil...para que no sepas por donde te viene... Patio de colegio también es utilizar un programa “amoroso” para…   » ver todo el comentario
#98 hay gente muy chunga y otra que tiene que estar al loro constantemente para que no pasen estas cositas tan “graciosas”. Auditar es lo que tiene, ir lo más por delante posible.
Es un tío que ha estudiado en la upm, no en la URJC ;-). Se caga vinagre para ello y la base es sólida de cojones para hacer cosas serias. No una bromita de aficionados. Pero el papel es lo que le ha dado la fama.
#15 josef ajram
#9 este sólo vale pars ir a Pablo motos, correr wifislax y aircrack y decir que es hacker
#9 un tío que es "una eminencia" en seguridad informática y vende su software (la FOCA) SOLO para Windows (y no para Linux. De hecho, parece que odia bastante Linux), ya te digo yo lo que sabe de informática y seguridad... NADA
#20 yo llevo en contacto con fsf y con el mundo Microsoft toda la vida y te digo que quien dice que Windows es una mierda es porque no tiene ni puta idea (y contribuyo en Debian, Red Hat, Ubuntu y otras menos conocidas). Lo que pasa es que es muy guay decir “tío Windows es una mierda” (yo también lo hice y entiendo el por qué). Pero si tantos ejércitos usan las versiones militares de Windows será por algo. Un sistema operativo es lo bueno o malo que sean sus admin.
Es bueno conocer…   » ver todo el comentario
#9: Pues yo aplaudo que no sucumba a la obsolescencia planificada con el portátil.
#78 entonces lo suyo sería que utilizara algo como LXDE, en mi opinión.
#9 "Estamos vigilados..., por eso utilizo un sistema operativo propietario de una empresa con acusaciones de meter spyware, al menos en iOS". :-S
Ya enterandome de qué va la movida...una manipulación de URLs..jo :-D
Eso después de aquel ataque de ramsonware que afectó a telefónica aprovechando una vulnerabilidad de SAMBA que llevaba PUBLICADA Y CORREGIDA por Microsoft varios meses...vamos no me jodas, eso tiene pinta de ser el coño de la bernarda...lo siguiente que será, instalar el emule y compartir C:?
#12 Lo siguiente será: ';drop database;--
:troll:
Joder, el tío este es bastante showman, está claro. Ha vivido y vive (muy bien, parece) de su imagen, que hay que reconocer que se ha ganado con cierta competencia técnica bien explotada. No es precisamente santo de mi devoción, pero en este caso tengo que darle la razón. Los de Facua han ido directamente a darse publicidad a costa de una empresa que saben que no es precisamente la mejor valorada en España, y se han comportado de una manera muy poco profesional y bastante desleal.
#14 ¿Has leído el artículo? Alonso ha quedado como un mentiroso. Facua no se negó a informarles del fallo. Se aportan capturas de whatsapp con Serrahima.
#21 ¿lo has leído tú? los de Facua acordaron, seguramente después de que los de Telefónica intentasen hacer entrar a los de Facua en razón, en que les darían la información del bug 60 minutos antes de la conferencia. 60 minutos.

Estos se creen que programar es como sale en las películas, que en 10 minutos tienes todo hecho, probado, con sus test unitarios y revisada la seguridad de la ñapa que acabas de hacer para que no hackeen las cuentas de varios millones de clientes en 50 minutos.
#42 Y vosotros os debéis de creer que el departamento de informática es designado por los dioses y no está sometido a las políticas previas de la empresa, que tu empresa puede jugársela a alguien las veces que quiera y luego este debe ayudarla como si no hubiese pasado nada.

Acotaron mucho la búsqueda diciendo que era de facturación, pero porque había buena relación personal con uno, que de Movistar no se fiaban un pelo de que se la volvieran a jugar. Me parece lógico.
#44 Facua perdió una gran oportunidad de demostrar su fortaleza moral revelando de forma responsable el fallo de seguridad.

Ojo por ojo y diente por diente es la política de Facua, aunque exponga a los consumidores que les importa un pito. Gran política la de Facua sí señor. Facua no es que deba ayudar, es que por muy mal que te lleves con Telefónica ¿qué culpa tienen sus clientes? ¿tienes que exponerlos a un bug de seguridad? La política de revelación de fallos de seguridad no debería variar según si te cae bien o no la empresa afectada. Eso sólo desvela la baja calidad moral de Facua.
#63 Y Movistar estaría dando ahora otra versión, que era mentira por ejemplo. Y ahora la discusión sería si es cierto que facua mentía o no, y gente como tú poniendo verde a facua.
#68 No hace falta ser muy hacker para saber publicar la información hasheada en twitter, y luego revelar los datos que equivalen a ese hash para demostrar que es cierto, como ha hecho Julian Assange y otros varias veces. Eso es una excusa de alguien que no es ético o no tiene ni idea de qué significa una política de revelación responsable de fallos de seguridad.
#70 Partiendo de que tu teoría se sustenta en que el portavoz de facua actúa solo y por motivaciones personales no puedo tomarte en serio.

Ps: le va genial a Assange, sí.
#76 Esa será tu teoría, yo no he dicho nunca que actúa solo. Falacia del hombre de paja. Y Assange que yo sepa no le va mal por usar el hashing como prueba de datos. En todo caso le irá mal por usar esa técnica para revelar según qué datos. Otra falacia como una casa.
#77 En el anterior comentario hacías referencia al individuo. Además has supuesto que no tiene informáticos y abogados detrás.

Assange está jodido y lo que sacó no ha hecho casi nada. Su método no ha funcionado.

Parece que tu objetivo es desacreditar a facua y/o lamerle los huevos a Movistar.
#42 Y mientras te la chupan, como en operación swordfish :troll:

#21 Lo que comenta el artículo es acerca del mal rollo existente entre Facua y Telefónica, y cómo eso lo anteponen al problema en sí de seguridad, y que al final el tema se "resolviÓ" gracias a dos empleados que hicieron por entenderse (Serrahima y Sánchez).
Pero la actitud de Facua fue totalmente irresponsable en cuanto a ciberseguridad se refiere. Pero no, aquí la panda discutiendo si el Chemita mea entrecortado y que ellos la tienen más gorda.
cc. #14
#47: Nada como teclear a toda velocidad, incluso para ganar aún más velocidad se pueden ponerdos personas a la vez en un mismo teclado, como parodió Ncis: www.youtube.com/watch?v=u8qgehH3kEQ #MundoViejuno :-D
#42 Pués está claro que telefónica lo hizo en 10 minutos. De ahí el fallo.
#21 Yo tengo respeto por FACUA pero en esto me parece que se han comportado como unos capullos. Si quieres ayudar a solucionar el problema de seguridad lo haces desde el minuto cero para intentar evitar que nadie se aproveche y no una hora antes de la rueda de prensa tras haber puesto a todo el mundo sobreaviso.
#21 Entregar los detalles del error una hora de la rueda de prensa es no pensar en los usuarios y sólo pensar en darte publi.
Batalla de egos entre victimas de bullying.
Lo unico que envidio de este showman o personajillo de peli mala de informaticos de los 90s es el sueldazo que le tienen que estar cascando por hacer bulto en la pajareria de telefonica.
Me sorprende mucho que no sea delito penal encontrar un agujero de seguridad en la web de una empresa que permite acceder a datos de clientes y no comunicarlo a la empresa o hacerlo tarde y en rueda de prensa.

Siempre va a haber errores humanos, algunos de manual, y más en empresas tan enormes pero es más importante evitar la mala fe al explotar esos errores. No digo que sea el caso. Pero no me gusta que alguien se ponga medallitas a costa del mal ajeno. Lo más ético habría sido comunicar ese error a la empresa.
#24 www.elotrolado.net/hilo_hilo-oficial-caso-prueba-y-veras-adan-gecko_15

Ahí tienes el caso PRUEBA Y VERÁS de Nintendo. Un usuario de ELOTROLADO se da cuenta que se puede acceder a la base de datos del evento de Nintendo de dicho nombre, donde constan los datos de toda la gente que se apuntó.

En vez de avisar a Nintendo de forma normal, da la impresión de que quería conseguir algún tipo de compensación, escribiendo el aviso de un modo que a todas luces parece un chantaje. Total, que Nintendo le denunció.
#24 Mientras no lo explotes, no tienes obligación de ayudar a una empresa. Solo faltaría! Te puede parecer poco ético no informar o hacerlo público a saco, pero no te pueden obligar a hacerle el trabajo a una empresa.
#73 Es más, yo al menos no recomendaría denunciar ni comunicar nada. En cierta ocasión en la universidad los usuarios propagaron un virus y ningún antivirus lo detectaba. Después de estudiar una copia del virus, escribí un antivirus y lo publiqué en una lista de correo de la universidad para que cualquiera que lo tuviera pudiera detectarlo y librarse de él. Al día siguiente me cita el administrador de sistemas de la universidad acusándome de ser el creador del virus porque ningún antivirus lo…   » ver todo el comentario
#73 montar una rueda de prensa para hacerte publicidad con el tema en vez de comunicárselo a la empresa, para mí es una forma de explotar la vulnerabilidad.
hombre si hay un bug severo es normal dar un mes de margen en cual es bug report es privado y trae el mes se hace publico .... si google da a las empresas 90 dias... rueda de prensa para anunciar un bug es ser muy hijo de puta que va a joder, facua esta enviado las señales equivocadas y solo recibirá mas odio por actuar como hijos de puta
Será impresión mía, pero me da la sensación de que el Chema Alonso este no está pasando por su mejor momento en la empresa.

Entró como fichaje estrella, y desde que está en Telefónica ha habido ya dos “sustos”: el del ransomware (que provocó bastante revuelo y pérdida de productividad) y ahora este.

Y los de Facua parece que lo tuvieran apuntado y no quisieran dejarle pasar una. Porque para ser sinceros, en temas de seguridad, si descubres algo, primero avisas sin crear revuelos, y una vez…   » ver todo el comentario
#27 el no es responsable de seguridad. Aunque al ser un personaje mediático, siempre acaba dando la cara por esos temas. Pero detectar esos problemas es responsabilidad de otros departamentos que son ajenos al suyo.
#49 Si no me equivoco, es el CDO. Está por encima del jefe de seguridad. No sale a dar la cara porque sea mediático, sale a dar la cara porque es su obligación. Esto viene en su perfil oficial de Telefónica:

"Es asimismo responsable de los productos y servicios de ciberseguridad global de la unidad ElevenPaths"

Quiero decir, que queda un poco mal que intentes vender ciberseguridad, cuando estás teniendo problemas de seguridad tan básicos.
Aún así, estoy de acuerdo con él en…   » ver todo el comentario
#25 Lo habitual es que se hace eso y la empresa no toca una coma a no ser que se haga público.
Si avisas una vez no hacen nada.
Si avisas dos van a por ti con sus abogados exactamente igual que si lo liberas después de haberles dado un mes y no hacer nada.
Funciona así con practicante todas las empresas. Para ellas la seguridad es solo un problema en tanto en cuanto los clientes se enteren y puedan perder dinero. Así que desde su retorcido punto de vista la inseguridad no es problema, el problema lo crea quien lo hace público. Pase una semana o un año desde el aviso.
#30 Por eso lo mejor es no decir nada y vender el 0-day :troll:
#30 exacto, el problema para ellos no es que exista el fallo, el problema es que se sepa, porque eso supone dar explicaciones y asumir consecuencias, y en corporaciones gordas no suelen ser habituales los jefes de departamentos y directivos honestos o íntegros, al igual que en las estructuras de gobierno.
#30 De eso nada, puede que para las empresas pequeñas o las poco competentes sea así, pero no para las grandes, el coste reputacional ya saben todas que es muy grande
Chemita usando su táctica de siempre de echar mierda a los demás, en este caso a Facua. Construyó su carrera así, aunque no se le puede negar su buen ojo poniéndose siempre al lado del mal que representaba la mierda de Microsoft antaño para meterse en un nicho que casi no tenía defensores, y ahora con Telefónica.
#9Para eso están las def con si esperas algo de nivel o entretenerte pero de todas no pretendas que de un conferencia sobre fallos en el ACPI de un placa base y sus vulnerabilidades.
Ser un comunicador también tiene su merito y hay audiencia que no tiene puta idea pero que quieren entender algo.
Sólo hay un Chema Alonso, el verdadero y es de elbinario.

Bromas aparte, este tío es el Steve Jobs de los hackers, niño de papa que le monto la empresa (donde otros trabajaban para el), poco después que casualidad, le compró la empresa Timofonica y allí está de jefe (es decir sigue mancharse las manos).
Claro ejemplo de startup española.
#38 Por curiosidad, ¿cuál es esa empresa que dices le montó su papá?
#53 Informática 64
#75 Pero ... Informatica64 fue la empresa en la que empezó a trabajar como consultor, posteriormente asumió la dirección y luego fue comprada por Telefónica para fundar ElevenPaths.
¿Estás diciendo que Informática64 la creó/financió el padre de Chema Alonso?
Los de facua, muy mal,los bugs se reportan,sobre todo si quieres proteger a los usuarios.

El bug...un error del becario subcontratado...que se escapó a los deQA.
Pasa en las mejores familias
Yo solo digo que leí la discusión esta mañana en directo y ha sido lamentable, me los podía imaginar dando leches en una barra de bar. Sin entrar en el tema más a fondo.
Responsible Disclosure
(Revelación Responsable)

Cuando se descubre una vulnerabilidad el investigador informa al proveedor del sistema. [...]. Es conveniente esforzarse en que la información sea sólo accesible al menor número de personas posible y de la máxima confianza. Toda la comunicación debería ser por un canal seguro para evitar una filtración.
Si el proveedor es receptivo y coopera adecuadamente en la resolución del problema el investigador espera a que se publique el

…   » ver todo el comentario
El enchufado de facua pidiendo casito otra vez?
Que trabajo para microsoft? pues muy bien, sabrá mucho pero hoy por hoy es mas seguro linux, y no porque no sepan hacer un windows seguro, si no que tendrían que hacerlo de 0 y en realidad windows ha cambiado mucho y mejorado mucho pero va mejorando desde algo inseguro desde el windows 95, que nació ya inseguro, y no pueden hacerlo de 0 porque crearían muchos programas incompatibles de millones de clientes, ese es el problema que tendrá windows toda la vida. Linux nació de por sí basado en la seguridad
Yo es que al ruben de Facua no lo trago. Cada vez que lo veo en la tv parece que le encanta salir en medios y ser protagonista de cualquier cosa que sale

Una cosa es ser portavoz y otra ser tertuliano
Chemita haciendo las veces de operadora que te echa las culpas de todo, menos mal que el inteligente es el hermano y este se quedo en listillo vendemotos
Leyendo el WhatsApp no hay más que darle la razón a Chema Alonso.

Puedo hacer que nuestro departamento jurídico te envíe una hora antes...

1) A primera hora presentamos la denuncia...

2) A las 11 rueda de prensa

3) Contamos que tienen un fallo pero no decimos donde.


Suena a que FACUA antes que soluciones quería publicidad, y que iba a hacer todo lo posible para que nadie le arruine el titular.

¿El resto? cada uno sabrá de qué pierna cojea, si quiere creer que telefónica tiene un títere en seguridad o alguien que sabe es, en el fondo, querer meter opinión donde no se debe ya que se habla de una persona y no del fallo.  media
Yo he dicho que Rubén a todas luces no tiene ni idea de revelación responsable de fallos de seguridad, no que no haya informáticos ni abogados en el equipo de Facua. También hace referencia al individuo la noticia ¿y qué? No puedes ser más tendencioso en tus interpretaciones. Yo solo digo lo que digo, no lo que tú interpretes que pienso o digo.

Assange estará jodido, lo cual no tiene absolutamente nada que ver con que el uso de hashes para demostrar que con anterioridad habia afirmado algo es…   » ver todo el comentario
Ya lo dije en el primer meneo y ahora solo puedo reafirmarme, así no se hacen las cosas.

Un consejo para Pedro Serrahima, para la proxima, das un email del contacto de seguridad y ahí se acaba la conversación sobre ese tema.
Quizás no será que a Chema le molesta que el de Facua tenga ya más atención mediática....

Xq CA se está cubriendo de gloria últimamente con sus explicaciones...

Por otro lado... Un poco de recogimiento bonito!n
Si yo tuviera info. sobre cualquier vulnerabilidad de timofónica también iría a hacer sangre. Igual si fuera una empresa menos HP tendría más simpatizantes. Se pasa los derechos del consumidor constantemente por el arco del triunfo, ¿qué indolencia espera de la gente a la hora de joderles?
yo mismo soy MVP, y te puedo asegurar que no lo pongo en el curriculum xD hay que ser pardillo y friki para hacerlo. Es como decir que tienes un master de la juan carlos I xD
«12

menéame