Estas aquiContenido / Más vulnerabilidades de pago
Más vulnerabilidades de pago
Los suscriptores de los feeds sobre exploits de la empresa francesa FrSIRT nos hemos llevado hoy una desagradable sorpresa:
Exploits and PoCs are available to FrSIRT VNS™ subscribers only.
Public exploits section has been definitively closed.
Y es que FrSIRT acaba de poner en marcha un servicio de notificación de vulnerabilidades previo pago.
Aunque entendemos que la decisión de FrSIRT pueda generar malestar, no nos coge por sorpresa, porque responde a una tendencia que empieza a generalizarse...
En España hace ya tiempo que una empresa regala una vulnerabilidad al día y cobra por el resto.
También hace un año que iDefense puso en marcha VCP, una polémica línea de negocio -que parece haberse revelado bastante rentable- dirigida a comerciar con las vulnerabilidades descubiertas por terceros.
Frame4 Security Systems también ha puesto en marcha MD:Pro, otro servicio de pago que proporciona decenas de miles de ejemplos de malware e incluye el acceso a un curioso depósito de troyanos.
Sin embargo (y aunque no falta gente que se muestra muy crítica con algunos de estos "nuevos" modelos de negocio), personalmente no me sorprenden, ni veo motivo alguno para rasgarse las vestiduras.
La seguridad vende y las empresas están para lo que están: ganar dinero.
Nadie debería engañarse demasiado al respecto.
Solamente se me ocurre que todos los que programamos, hagamos programas tan buenos y libres de fallos, que todos estos que comercian con nuestros errores, se mueran de hambre.
Bueno, lo anterior es broma, claro está.
Creo que está claro, no todo puede ser gratis y aquí simplemente se cobra por un valor añadido (trabajo de recopilación y/o comentarios) a una información que está disponible a través de los fabricantes. Si no hay modelos de negocio viables para algunos servicios, está claro que no serán sostenibles.
Recordemos también que estos servicios no trabajan con información de los fabricantes en régimen de exclusividad y el hecho de que ellos quieran cobrar por el trabajo de recopilación, no significa que se limite el acceso a la información, puesto que está disponible a través de otras fuentes.
En ocasiones he hablado del modelo de negocio del Software Libre y he dicho que se basa en el soporte y los servicios. Aunque hay mucha gente que está de acuerdo con esta afirmación, hay otros que pretenden que todo, absolutamente todo, lo que rodea al software libre sea gratis total (or free taxes), lo que lo convertiría en un modelo inviable hasta para los desarrolladores más aguerridos, que de un modo u otro tienen que cobrar algo para poder vivir.
El mismo Stallman dice que el software libre es libre, pero no gratis y que si se puede, que se cobre todo lo que se pueda, para garantizar el modelo de negocio.
"Copyleft 2006 Fernando Acero Martín. Verbatim copying, translation and distribution of this entire article is permitted in any digital medium, provided this notice is preserved".
Espero, JMG, que la encuesta no sea vinculante para con este sitio ;-)
En cualquier caso, todo el material "gratix" es gratis porque alguien ha pagado por ti (anunciantes, subvenciones). Si no se dispone de ese dinero, debe tomarse una decisión: cobrar o morir de hambre :)
Saludos.
Tranquilo, que ninguna lo es.
Pero ésta, aún menos ;)
Hola a todos:
Por lo que a mi respecta, ningún inconveniente.
Sin embargo, puestos a desarrollar nuevos modelos de negocio se me ocurre otro, a saber: si estos tios van a ganar dinero vendiendo información seguro que querrán ofrecer valor añadido. Es decir, querrán ofrecer las vulnerabilidades más calientes, recien descubiertas, antes que otros competidores.
Si yo tengo alguna responsabilidad en el desarrollo de un producto o acceso privilegiado a él y descubro una debilidad podría intentar vender esa información privilegiada en lugar de corregir el problema. Aún más, si no encuentro nada en mis productos y necesito pagar la universidad de mis niños podría introducir de manera deliberada la debilidad que luego vendería a esas empresas que crean nuevos modelos de negocio.
En definitiva, no hay nada malo en ganar dinero, pero cuidado con lo que vendemos ya que si creamos un mercado seguro que aparecerán los que fabriquen el producto en épocas de escasez.
Saludos a todos y a seguir al pie del cañon.
De hecho entre los modelos de negocio basados en vulnerabilidades que comento ya hay un espectro de peligrosidad bastante amplio, desde casi nulo a preocupante. Por ejemplo, el de iDefense me parece ya bastante arriesgado (no hay más que echar un vistazo a sus condiciones y lista de "tarifas").
Sin embargo algo que todos ellos comparten es la tendencia a que quienes más recursos tienen, dispongan de información privilegiada con respecto a la amplia mayoría no abonada. Pero eso -insisto- es sólo una característica más de la sociedad de mercado que nos toca a la vez disfrutar y padecer.
En todo caso (y para quienes quizás puedan estar preocupados por cómo entiende Kriptópolis la información sobre vulnerabilidades), mi idea es que siempre existirán recursos libres y abiertos, y a ese modelo, y no a ningún otro, es al que -en la medida de mis fuerzas- espero que podamos seguir contribuyendo.
Pues a eso es a lo que voy, que sitios como este son necesarios y que la iniciativa empresarial acabará corrompiéndose si se lo permitimos.
La sociedad civil, tú, yo y mi vecino del quinto; debe mantenerse activa, en todos los frentes.
Más saludos.
Pues para algunas cosas parece que tenemos la sociedad civil más activa del mundo ;)
Es cierto que tal y como estan planteadas las cosas hoy en dia, el que tiene dinero lo tiene mucho mas facil, para cualquier cosa, pero eso no implica que el que no lo tiene lo tenga imposible, y eso es un avance...
En mi opinion es lo segundo lo que tenemos que asegurar, y agradezco el esfuerzo a todos aquellos que lo hacen posible, entre los cuales esta esta pagina (como os paseis a pago, vereis, me entretendre en aprender Redes y Criptografia solo para haceros un hara-kiri ¬¬)
en definitiva lo que quiero decir es q. mientras q. los que no tengan dinero puedan tener acceso a la informacion, los que realmente se preocupen podran conseguir lo mismo que que los otros, aunque por supuesto con mucho mas esfuerzo, pero eehh... conozco sitios en donde eso seria imposible, tanto Comunistas (China) como Fascistas (el Salvador, o España en epoca de Franco), por lo que en el fondo solo podemos decir, dentro de lo malo, lo menos malo
No si ya, que le vamos a hacer...
Aunque todos hemos sido jóvenes alguna vez (bueno, algunos más que otros como dirían los cerdos de la granja de George Orwell) y hemos hecho tonterías.
Saludos.